Закреплены дополнительные требования к согласию на обработку персональных данных

25 июня 2025

Информируем Вас о значимых новеллах в сфере регулирования обработки персональных данных, которые закрепляют дополнительные требования к согласию на обработку персональных данных.

Новая редакция требований к согласию на обработку персональных данных


24 июня 2025 года Президент подписал Закон, направленный на создание многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации. Среди прочего, Законом также были внесены изменения в Федеральный закон «О персональных данных» в части дополнительных требований к согласию на обработку персональных данных.

Что поменялось?


Часть 1 статьи 9 Федерального закона «О персональных данных» претерпела следующие изменения, касающиеся требований к согласию субъекта на обработку персональных данных:

Прежняя редакция ч. 1 ст. 9 ФЗ «О ПДн» Новая редакция с 01.09.2025
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.

Данное изменение фактически закрепляет уже сложившуюся судебную практику в отношении признания незаконно полученными согласий, зашитых в договоры и иные документы.1См., например, Определение Верховного Суда РФ от 05.11.2018 г. по делу № 306-АД18-16256; Постановление Арбитражного суда Московского округа от 03.02.2023 по делу № А40-65677/2022; Решение Арбитражного суда Республики Татарстан от 16.02.2022 по делу № А65-31306/2021.

Также данное изменение соответствует тенденции к снижению случаев использования согласий в качестве правового основания для обработки персональных данных и к использованию иных правовых оснований, в частности таких, как обработка персональных данных для целей заключения и исполнения договора, исполнения требований законодательства, осуществления прав и законных интересов оператора или третьих лиц (законный интерес).

Данным Законом также предусматривается создание многофункционального сервиса обмена информацией, который объединит в себе функции мессенджера и сервисы, направленные на предоставление государственных, образовательных и иных услуг. Указанный сервис:

  • Предназначен для обмена сообщениями между пользователями этого сервиса.

  • Не предусматривает размещение пользователями общедоступной информации.

  • Предусматривает возможность взаимодействия с информационными системами, предоставляющие государственные и муниципальные услуги.

  • Предусматривает возможность подписания документов усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью, сертификат ключа проверки которых создан и используется в инфраструктуре электронного правительства.

Что предпринять?


Рекомендуется провести ревизию используемых компанией правовых оснований для обработки персональных данных. В случае использования согласий рекомендуем удостовериться, что такая обработка требует согласия и что все согласия оформлены отдельно от иных документов. Для этой цели рекомендуем обратить внимание на такие документы, как:

  • Локальные нормативные акты, включая положение об обработке персональных данных;

  • Трудовые договоры и иные соглашения с работниками;

  • Пользовательский путь, условия использования и политику конфиденциальности на сайте и (или) в мобильном приложении;

  • Договоры с физическими лицами.

Какая установлена ответственность за несоответствие новым требованиям?

В случае нарушения новых требований должна применяться ч. 1 и ч. 1.1 ст. 13.11 КоАП РФ, в соответствии с которой обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, влечет наложение административного штрафа:

  • в отношении должностных лиц — от 50 000 до 100 000 рублей за первичное нарушение и от 100 000 до 200 000 рублей за повторное нарушение;

  • в отношении юридических лиц — от 150 000 до 300 000 рублей за первичное нарушение и от 300 000 до 500 000 рублей за повторное нарушение.

Более того, стоит обратить внимание, что согласно ч. 2 и ч. 2.1 ст. 13.11 КоАП РФ, обработка персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено, или при нарушении требований к такому согласию может повлечь наложение административного штрафа:

  • в отношении должностных лиц — от 100 000 до 300 000 рублей за первичное нарушение и от 300 000 до 500 000 рублей за повторное нарушение;

  • в отношении юридических лиц — от 300 000 до 700 000 рублей за первичное нарушение и от 1 000 000 до 1 500 000 рублей за повторное нарушение.

Когда новые требования вступят в силу


Положения Закона, вносящие изменения в Федеральный закон «О персональных данных», вступят в силу с 1 сентября 2025 года.

См., например, Определение Верховного Суда РФ от 05.11.2018 г. по делу № 306-АД18-16256; Постановление Арбитражного суда Московского округа от 03.02.2023 по делу № А40-65677/2022; Решение Арбитражного суда Республики Татарстан от 16.02.2022 по делу № А65-31306/2021.

Надеемся, предоставленная информация окажется для Вас полезной.

Если кто-то из Ваших коллег также хотел бы получать наши информационные письма, пожалуйста, направьте ему ссылку на электронную форму подписки.
Узнать больше об услугах практик:
Защита данных и кибербезопасность
Примечание: обращаем Ваше внимание на то, что вся информация была основана на нашем анализе данных из открытых источников, а также на нашем понимании предусмотренных законодательных норм и практики правоприменения. Авторы данного письма, равно как и юридическая фирма АЛРУД, не несут ответственности за последствия, возникшие в результате принятия решений на основе этой информации.

В случае возникновения вопросов, пожалуйста, свяжитесь с нами.

Мария Осташенко | Партнер

Мария ОсташенкоПартнер

Анастасия Петрова | Советник

Анастасия ПетроваСоветник

С уважением,
Юридическая фирма АЛРУД

ул. Лесная, д. 7, этаж 12, Москва, Россия, 125196T: +7 495 234 96 92, T: +7 495 926 16 48, info@alrud.comwww.alrud.ru