С 01.09.2025 вступают в силу изменения в часть 1 статьи 9 Закона о персональных данных (Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ).
Изменение заключается в том, что с 01.09.2025 согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.
Смысл изменения заключается в том, чтобы обеспечить осознанное и добровольное согласие субъектов персональных данных.
Согласие должно оформляться отдельно, не должно входить в состав договоров, оферт, анкет, заявлений, пользовательских соглашений, регистрационных форм на сайтах и т.д. Нельзя будет включать согласие в договор как раздел, пункт или приложение к договору, нельзя получать согласие через проставление галочки в онлайн-интерфейсах в виде: «продолжая использовать сайт/отправляя форму обратной связи вы даёте согласие на обработку персональных данных».
Чек-лист для проверки соответствия новым требованиям законодательства:
1. Аудит существующих документов:
– проверка всех форм договоров (в том числе трудовых договоров, партнёрских соглашений, пользовательских соглашений) и онлайн-интерфейсов;
– удаление блоков о персональных данных из форм документов и усовершенствование онлайн-интерфейсов.
2. Разработка либо дополнительная проверка формы отдельного документа «Согласие на обработку персональных данных» (его бумажных и/или электронных вариантов). На что рекомендуем обратить особое внимание при разработке формы:
– чёткое указание на цель обработки;
– категории и конкретный перечень персональных данных;
– конкретный перечень действий с данными;
– срок действия и способ отзыва;
– указание на передачу конкретным третьим лицам (с указанием наименования получателя и его ОГРН либо ИНН), если предполагается такая передача.
3. Обновление политики обработки персональных данных (включая опубликование обновленной политики на вашем сайте) и актуализация бизнес-процессов, в рамках которых вы собираете согласия.
Ключевая уязвимость, которую вы можете встретить в ваших онлайн-интерфейсах – отсутствие отдельного шага пользователя по даче согласия на обработку персональных данных: чаще всего пользователь отмечает свое согласие галочкой в онлайн-форме, при этом интерфейс не обеспечивает гарантию того, что текст согласия будет открыт и прочитан перед проставлением галочки.
В связи с этим рекомендуем внедрить пошаговое оформление согласия до всех последующих действий, которые может совершить пользователь, отправляя вам свои персональные данные. Так, интерфейс вашего сайта должен обеспечить просмотр текста согласия полностью и отдельное подтверждение такого согласия пользователем до совершения им любого из следующих действий: подписания пользовательского соглашения, регистрации и активации аккаунта, направления информации в форме обратной связи и т.д.
Как это можно реализовать? Например, ввести открывающийся отдельным окном документ (всплывающее окно) с полным текстом согласия, который пользователь должен пролистать до конца и поставить галочку напротив фразы: «С полным текстом согласия на обработку персональных данных ознакомлен, даю свое согласие оператору на обработку моих персональных данных». Только после этого система должна пропускать пользователя далее – к любой из возможностей оставить на сайте свои данные.
Кроме того, дополнительно напоминаем о том, что не только данные, которые пользователь сознательно оставляет в формах на вашем сайте, но также и автоматически собираемые вашим сайтом cookies могут признаваться персональными данными. В связи с этим вам необходимо:
— проверить наличие плашки о сборе cookies на каждой странице вашего сайта;
— в плашке разместить ссылку на согласие пользователя на сбор и обработку cookies, обеспечить наличие кнопок «принимаю» и «отказываюсь»;
— если пользователь отказывается от сбора cookies либо не кликает на плашку, но продолжает пользоваться сайтом – в ваших интересах либо ограничить ему использование сайта, либо обеспечить немедленное удаление всех собранных cookies такого пользователя после того, как он покинул вашу страницу;
— дополнительно убедиться в том, что сервера и сервисы, на которых размещена ваша страница, локализованы — то есть размещены физически на территории РФ: в противном случае вас могут привлечь к ответственности за трансграничную передачу персональных данных ваших пользователей.
4. Уже полученные ранее согласия, не соответствующие новым требованиям, действительны до 01.09.2025. С 01.09.2025 обработка персональных данных при отсутствии оформленного по новым правилам согласия может быть квалифицирована как обработка без согласия в письменной форме – административная ответственность по ч. 2, ч. 2.1 статьи 13.11. КоАП РФ со штрафами вплоть до 1,5 млн. рублей.
