В нашей статье поговорим о том, с какими законодательными требованиями мы подходим к новому году в части обработки персональных данных граждан. Определимся с условиями такой обработки, сроком действия согласия и порядком его отзыва. Отдельно обратим внимание на такие категории субъектов, как самозанятые граждане и несовершеннолетние дети.
Над статьей работали:
Автор: Елена Хребтиевская; редактор: Александр Чепенко
Содержание
- Нужно ли согласие на обработку персональных данных
- Согласие на обработку персональных данных ребенка и его представителя
- Самозанятые и согласие на обработку персональных данных
- Согласие на обработку персональных данных на сайте
- Цель обработки персональных данных в согласии
- Где скачать форму и образец заполнения согласия на обработку персональных данных в 2026 году
- Действие согласия на обработку персональных данных
- Ответственность за обработку персональных данных без согласия
- Отзыв согласия на обработку персональных данных
Нужно ли согласие на обработку персональных данных
На данный вопрос нельзя ответить однозначно утвердительно или отрицательно. Он разрешается индивидуально в конкретной ситуации.
Понятие «обработка» применительно к ПД (далее также — ОПД) имеет достаточно широкое значение. Оно подразумевает любые действия, которые совершаются с такими данными.
«Персональные данные» и вовсе перечислить с ходу не получится. В их число входит не только фамилия, имя, отчество, дата рождения, паспортные данные и адрес проживания. К ним относится и голос, и фото, и даже геолокация (правда только в том случае, если такие данные можно соотнести с конкретным гражданином).
Мы сталкиваемся с использованием своих и чужих данных повсеместно. В одних случаях, такая обработка находится за рамками правового поля. К примеру, познакомился Иван с новым коллегой на работе Петром, обменялся с ним личным номером телефона и пригласил его в гости, указав адрес своего места жительства. И Иван, и Пётр в указанной ситуации, по сути, стали использовать персональные данные друг друга (что охватывается понятием «обработка»). Но такие действия законом не регулируются, поскольку они осуществляются для личных или семейных нужд. Понятно, что Иван у Петра никаких разрешений истребовать не будет.
Другая ситуация. У Ивана зуб заболел, и он обратился за медицинской помощью в стоматологическую клинику. В такой ситуации отношения Ивана с медицинской организацией в части обработки его ПД будут регулироваться положениями Федерального закона от 27.07.2006 № 152-ФЗ (Закон № 152). Иван в таких отношениях будет именоваться «субъектом ПД», а клиника – «оператором».
Закон № 152 заложил основу — действия с ПД должны производиться оператором с согласия лица, которому они принадлежат (в указанном примере клиника должна запросить у Ивана разрешение на ОПД).
При этом нормативный акт закрепил исключительные случаи, когда согласие на обработку не требуется (ч. 1 ст. 6). Цитировать закон не станем. Приведём примеры жизненных ситуаций, когда испрашивать разрешение у субъекта не требуется:
1. Иван покупает в магазине диван и предоставляет продавцу свои данные для оформления договора и доставки.
2. Мужчина не удовлетворён качеством стоматологических услуг, обращается в суд за взысканием убытков, сообщает суду сведения о себе и состоянии своего здоровья после лечения.
3. Лицо нуждается в оказании экстренной медицинской помощи, получить у него согласие не представляется возможным.
Делаем вывод. Если конкретная ситуация не подпадает под исключительные случаи, когда закон позволяет производить ОПД без согласия, оператор должен запросить у субъекта соответствующее разрешение. При возникновении сомнений, оператору рационально подстраховаться и согласие взять.
С 01.09.2025 действует правило – согласие должно быть оформлено отдельно (его нельзя «вшивать» в текст иных документов). Предполагается, что такая мера поспособствует более осознанному решению гражданина предоставить информацию о себе в данном конкретном случае.
Для некоторых видов ПД оператор должен не просто получить разрешение от субъекта на обработку его данных. Он обязан получить письменное согласие. «Письменно» означает «при наличии собственноручной подписи» или «подписание электронной подписью».
К видам ПД, когда согласие обязательно запрашивается в письменной форме, относятся:
1) сведения о расовой/национальной принадлежности, политических взглядов, религиозных/философских убеждений, состояния здоровья, интимной жизни конкретного гражданина (ПД специальной категории)
2) информация, которая характеризует физиологические и биологические особенности человека и позволяет установить его личность (биометрические данные). К примеру, фото на пропуске для входа на охраняемую территорию.
Учитывайте, что предоставление биометрических данных является обязательным лишь в исключительных случаях (в частности, для обеспечения правосудия и безопасности, противодействия терроризму, обязательной дактилоскопии). В иных ситуациях оператор не имеет права отказать в обслуживании субъекта при его отказе предоставить свою «биометрию» (ч. 3 ст. 11 Закона № 152).
Согласие на обработку персональных данных ребенка и его представителя
Обращаетесь за медицинской помощью со своим сыном (дочерью)? Оформляете его в детский сад или школу? Ваш ребенок участвует в олимпиаде? Потребуется заполнять «согласие».
Персональные данные детей охраняются законом также как и данные взрослых. Свое согласие на ОПД малолетние дети (до 14 лет) выразить не могут, поэтому соответствующее разрешение даёт от их имени законный представитель (родитель, опекун).
Документами, подтверждающими законность представительства, могут являться свидетельство о рождении, акт о назначении опекуном. Лишение родительских прав (их ограничение) влечёт отмену права давать согласие на ОПД в отношении ребёнка.
В связи с тем, что при заполнении формы согласия представитель указывает сведения и о себе лично, он фактически выдает два разрешения: на обработку данных ребёнка и своих.
Что меняется, когда ребёнок достиг возраста 14 лет?
Закон прямо такую ситуацию не регламентирует и присутствует некоторая правовая неопределённость. Исходя из общих положений ГК РФ о дееспособности, с указанного возраста ребёнок может давать разрешение на обработку своих ПД самостоятельно. Условие – законный представитель дал письменное согласие на это (предварительное или последующее).
На практике соблюдение указанного условия организовать сложно, и согласие в отношении ребёнка старше 14 лет даёт законный представитель (по аналогии с малолетними детьми).
Приведём пример ситуации для иллюстрации различного подхода правоохранительных органов к вопросу ОПД несовершеннолетних.
В школе функционировала система «Ладошки» (считывает особенности ладони для идентификации личности). Согласие на обработку биометрических данных детей давали родители. Прокуратура посчитала это нарушением, указала, что директор школы должен был получать согласие от самих субъектов – детей. Суд счёл доводы прокуратуры ошибочными. Указал, что осуществление ОПД несовершеннолетних с письменного согласия их законных представителей, закону не противоречит (Постановление Шестого кассационного суда общей юрисдикции от 11.12.2023 № 16-6349/2023).
После вступления в брак/эмансипации несовершеннолетние, приобретая дееспособность в полном объеме, дают согласие на обработку своих ПД самостоятельно (п. 2 ст. 21, ст. 27 ГК РФ).
Самозанятые и согласие на обработку персональных данных
Закон № 152 направлен на защиту персональных данных физических лиц. Самозанятые – это особая категория налогоплательщиков (плательщики налога на профессиональный доход). Они выступают, можно так сказать, в двух ипостасях. С одной стороны, это граждане РФ, которые предоставляют информацию о себе в ходе обычной жизнедеятельности: при обращении в больницы за медицинской помощью, участии в системах лояльности торговых сетей и так далее. В этих ситуациях на самозанятых распространяются общие правила о необходимости истребования у них согласия.
С другой стороны, указанная категория может выступать в качестве контрагентов юридических лиц и индивидуальных предпринимателей в сделках гражданско-правового характера. К примеру, компания в целях организации праздника для детей сотрудников договор оказания услуг с «самозанятым» аниматором. Исполнитель – аниматор предоставляет компании – заказчику свои Ф.И.О., паспортные данные, банковские реквизиты. В таком случае согласие на ОПД истребовать не требуется. Обработка здесь необходима для исполнения договора. Правовое обоснование – п. 5 ч. 1 ст. 6 Закона № 152.
А, если объём запрашиваемой у самозанятого информации выходит за рамки необходимых для оформления договора сведений, то у него должно быть испрошено согласие на её обработку. К примеру, компания – заказчик посчитала необходимым получить у аниматора данные о его семейном положении.
Таким образом, для решения вопроса о необходимости истребования согласия на ОПД у самозанятого нужно исходить из анализа ситуации, в которой такой субъект свои данные предоставляет.
Если самозанятый сам обрабатывает ПД иных граждан? Тут опять же смотрим на ситуацию. Если данные других физических лиц используются для заключения и исполнения сделки, согласие на ОПД самозанятый у них не запрашивает. К примеру, гражданин, оформленный в качестве плательщика налога на профессиональный доход, сдаёт квартиру студенту. У студента он запрашивать согласие не должен.
Иная ситуация. Самозанятый оказывает бухгалтерские услуги организации. Должен ли он лично получать согласие от работников данной организации на обработку их данных? Не должен. Но работники должны дать согласие организации – работодателю на передачу их ПД третьим лицам («самозанятому» бухгалтеру). Правовое обоснование – ч.ч. 3, 4 ст. 6 Закона № 152.
Согласие на обработку персональных данных на сайте
Мы «раздаем» своё согласие на ОПД повсеместно. И зачастую даже не задумываемся об этом. Большее внимание на даче разрешения мы акцентируем тогда, когда заполняем согласие «от руки». Но письменное заполнение формы не является единственным способом разрешить работать с нашими данными. Еще одной популярной формой является выражение согласия на сайтах в сети Интернет. Оформляете доставку готовых блюд или регистрируетесь в программе лояльности? Везде у вас должны запросить согласие.
К числу персональных данных, которые обрабатываются в таких случаях, как правило, относятся не только имя пользователя (фамилия, имя, отчество), адрес доставки (проживания), номер телефона и электронная почта.
Оператор может обрабатывать также следующую информацию:
— пол и дата рождения;
— текущая геолокация, местоположение;
— данные о созданном на сервисе аккаунте (учетной записи);
— технические данные. Сюда относятся IP-адрес, данные cookie-файлов (в том числе выбранный пользователем город, его координаты), сведения о браузере и операционной системе, идентификатор мобильного устройства, данные о провайдере, программном обеспечении, активности пользователя.
Не маленький перечень, согласитесь?
В соответствии с действующими законодательными предписаниями пользователю сайта должно быть предложено отдельное согласие. При этом его все равно мало кто читает. Как правило, оно доступно для изучения после перехода по ссылке. Для того, чтобы продолжить необходимые действия на сайте, достаточно поставить галочку напротив фразы «При входе или регистрации вы принимаете пользовательское соглашение, политику конфиденциальности и даете согласие на обработку персональных данных».
Цель обработки персональных данных в согласии
Цель ОПД определяет сам оператор. Она должна быть конкретной, заранее определённой и законной. Субъект должен понимать, зачем он даёт согласие оператору.
К примеру, в школе установлена проходная система, которая состоит из турникетов. Каждый турникет оборудован камерами с распознаванием лиц. Для участия в системе распознавания граждане, посещающие учреждение, предоставляют администрации школы:
— ФИО;
— паспортные данные, адрес;
— фотографию.
В таком случае целью ОПД будет идентификация лица при пропуске на территорию образовательного учреждения.
Объём ПД, который обрабатывает оператор, должен быть сопоставим с целью. Директору ресторана при приёме на работу повара совершенно излишни сведения о религиозных убеждениях или политических взглядах специалиста.
Сколько целей можно указать в одном согласии?
Суды со ссылкой на пп. 4 ч. 4 ст. 9 Закона № 152 высказывают мнение, что письменное согласие на ОПД может включать в себя только одну цель. Указывают, что указанная норма является императивной и не подлежит расширительному толкованию (Апелляционное определение Московского городского суда от 27.03.2024 по делу № 33-4761/2024).
На практике операторы руководствуются иной позицией и включают в согласие несколько целей сразу.
Где скачать форму и образец заполнения согласия на обработку персональных данных в 2026 году
На портале Роскомнадзора (https://pd.rkn.gov.ru/soglasiya/maket/) доступен специальный сервис, который может оказать помощь оператору ПД в формировании образца согласия на ОПД для конкретной ситуации. Он также предполагает возможность направить сформированный шаблон на проверку в ведомство.
Условия использования указанного сервиса доступны по ссылке https://pd.rkn.gov.ru/soglasiya/usloviya/?print=1.
На сайте одного из территориальных управлений Роскомндозора также доступна типовая форма согласия в форматах RTF и HTML (https://55.rkn.gov.ru/directions/control/p12797/p16745/).
Образец согласия также доступен для скачивания в справочно-правовых системах.
Действие согласия на обработку персональных данных
Закон № 152 содержит следующие предписания:
— ОПД должна быть завершена при достижении цели, для которой она осуществлялась;
— при достижении цели оператор должен прекратить действия с ПД и уничтожить их. Если по поручению оператора обработка осуществлялась третьим лицом (сторонним бухгалтером), то оператор должен обеспечить прекращение ОПД и их уничтожение таким лицом. На это оператору отводится 30 дней. Иное может быть установлено соглашением между оператором и субъектом.
Срок действия согласия должен быть прописан в документе, который это согласие выражает. Закон позволяет субъекту отозвать данное им разрешение на обработку своих данных в любое время по своему усмотрению.
Ответственность за обработку персональных данных без согласия
Оператор, который нарушил требования законодательства при ОПД, привлекается к административной ответственности по ст. 13.11 КоАП РФ. Часть определяется в зависимости от специфики совершённого деяния.
Обработка без письменного согласия, когда его получение является обязательным, квалифицируется по ч. 2 ст. 13.11 КоАП РФ. Штрафы для юридических лиц составляют от 300 000 р. до 700 000 р.
Более суровой формой ответственности является уголовная. Она наступает по ч.ч. 1, 2 ст. 137 УК РФ за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Санкция предусматривает разные формы наказания, вплоть до лишения свободы.
Отзыв согласия на обработку персональных данных
Субъект ПД вправе в любое время отозвать ранее данное согласие на обработку своих данных. Для этого следует представить заявление (форма свободная) по почте или через Интернет.
В таком случае оператор должен прекратить ОПД и уничтожить данные, если их сохранение не требуется. Это общее правило.
Однако, учитывайте, что в некоторых ситуациях отзыв согласия не влечёт безусловное прекращение всякой обработки персональных данных субъекта. Отдельные случаи подчиняются специальным правилам.
Пример. Гражданин закрыл счёт в кредитной организации и представил банку заявление об отзыве согласия на обработку своих ПД. Банк в таком случае должен исключить сведения о гражданине из базы маркетинговых коммуникаций. При этом он будет хранить сведения, необходимые для идентификации клиента, не менее 5 лет со прекращения отношений с клиентом (п. 4 ст. 7 Федеральный закон от 07.08.2001 № 115-ФЗ).
