Образец согласия на обработку персональных данных 2026: как составить правильно
Разбираем требования к согласию на обработку ПДн после изменений с 1 сентября 2025 года. Обязательные элементы по ст. 9 ФЗ-152, частые ошибки, готовый образец и практические рекомендации.
Образец согласия на обработку персональных данных 2026: как составить правильно
Знаете, что чаще всего находят проверяющие из Роскомнадзора? Не отсутствие политики конфиденциальности и не проблемы с уведомлением — а кривое согласие на обработку персональных данных. Документ вроде бы есть, а по факту он ничтожен. И компания остаётся без правового основания для обработки ПДн — со всеми вытекающими штрафами.
С 1 сентября 2025 года правила ужесточились. Согласие больше нельзя «вшивать» в договор мелким шрифтом. Только отдельный документ. Давайте разберёмся, как его составить так, чтобы он реально защищал вашу компанию.
Что изменилось с 1 сентября 2025 года
Главное нововведение — согласие на обработку ПДн теперь обязательно оформляется как отдельный документ. Раньше многие вписывали пункт о согласии прямо в трудовой договор или договор оказания услуг. Строчка мелким шрифтом, галочка внизу формы — и готово. Так больше не работает.
Роскомнадзор прямо указал: согласие должно быть осознанным, конкретным и информированным. Человек должен понимать, на что именно он соглашается. А когда согласие спрятано на 15-й странице договора между пунктом про форс-мажор и реквизитами сторон — какое уж тут осознание.
Штрафы за неправильно оформленное согласие — до 700 000 рублей. И это не теоретическая угроза. Из нашей практики: в конце 2025 года московская клиника получила штраф 300 000 рублей именно за то, что согласие пациентов было частью договора на медицинские услуги, а не отдельным документом.
Обязательные элементы согласия по статье 9 ФЗ-152
Вот в чём штука — закон чётко перечисляет, что должно быть в согласии. Не «желательно», а именно должно. Пропустите хотя бы один пункт — и документ могут признать недействительным.
| # | Элемент | Что писать |
|---|---|---|
| 1 | ФИО, адрес, паспортные данные субъекта | Полные данные того, кто даёт согласие |
| 2 | ФИО, адрес, реквизиты документа представителя | Только если согласие даёт представитель (родитель, опекун, по доверенности) |
| 3 | Наименование и адрес оператора | Полное юридическое наименование вашей компании, ИНН, юридический адрес |
| 4 | Цель обработки | Конкретная цель — «исполнение трудового договора», а не «для различных целей» |
| 5 | Перечень персональных данных | Точный список: ФИО, телефон, email, паспорт — всё, что собираете |
| 6 | Действия с данными | Сбор, запись, систематизация, хранение, использование, передача, уничтожение |
| 7 | Срок действия согласия | Конкретный срок или событие: «до момента отзыва» или «в течение 5 лет с даты подписания» |
| 8 | Порядок отзыва | Как именно человек может отозвать согласие: письменно, через личный кабинет, по email |
Обратите внимание на пункт 4. «Цель обработки» — это не формальность. Нельзя написать «для обработки персональных данных» (да, мы видели и такое). Цель должна быть конкретной и соответствовать вашей деятельности.
Важно: Одно согласие — одна цель. Если вы собираете данные и для исполнения договора, и для маркетинговых рассылок — это два разных согласия. Смешивать нельзя.
Когда нужно специальное письменное согласие
Обычное согласие может быть в любой форме — хоть устно, хоть галочкой на сайте (если она не предустановлена). Но для отдельных категорий данных закон требует именно письменную форму. Без вариантов.
Письменное согласие обязательно для:
- Биометрические данные — фотография в пропуске, отпечатки пальцев для СКУД, распознавание лица
- Специальные категории — состояние здоровья, диагнозы, сведения о судимости, политические взгляды, религиозные убеждения
- Трансграничная передача — если данные уходят за пределы России (серверы за рубежом, иностранные SaaS-сервисы)
- Передача третьим лицам — когда вы передаёте данные своих клиентов контрагентам, подрядчикам, партнёрам
Отдельная история — согласие на распространение персональных данных, которое появилось ещё в 2021 году. Если вы публикуете данные сотрудника на сайте компании (фото, должность, рабочий телефон) — нужно отдельное согласие именно на распространение. И в нём субъект может указать, какие данные разрешает публиковать, а какие — нет.
Пять ошибок, которые мы видим постоянно
За годы аудитов мы насмотрелись на одни и те же грабли. Вот топ-5.
1. Предустановленные галочки на сайте
Классика. Форма заявки на сайте, внизу чекбокс «Согласен на обработку ПДн» — и он уже отмечен по умолчанию. Такое согласие ничтожно. Роскомнадзор расценивает это как отсутствие согласия вообще. Галочку должен поставить сам пользователь.
2. Согласие «на всё и сразу»
«Даю согласие на обработку моих персональных данных в любых целях любыми способами». Серьёзно? Такая формулировка не выдержит никакой проверки. Цели — конкретные. Способы — перечислены. Данные — названы.
3. Нет механизма отзыва
Человек подписал согласие, а потом захотел отозвать. Куда ему обращаться? На какой адрес писать? В какой срок вы обязаны прекратить обработку? Если в согласии этого нет — оно дефектное.
4. Бессрочное согласие
«Согласие действует бессрочно». Звучит удобно, но Роскомнадзор к таким формулировкам относится скептически. Лучше указать конкретный срок или привязать к событию: «до момента отзыва субъектом», «в течение 3 лет после прекращения договора».
5. Одно согласие вместо нескольких
Компания собирает данные для исполнения договора, для рассылки новостей и для передачи партнёру. И всё это — в одном документе. На деле нужно три отдельных согласия. Да, это больше бумаги. Но закон есть закон.
Как выглядит правильное согласие: структура
Вот примерная структура документа, которую мы используем для наших клиентов:
Шапка:
Согласие на обработку персональных данных
Блок субъекта:
Я, Иванов Иван Иванович, паспорт серия ХХ ХХ номер ХХХХХХ, выдан ... , зарегистрированный по адресу: ...
Блок оператора:
даю согласие ООО «Название компании» (ИНН ..., юр. адрес: ...) на обработку моих персональных данных:
Перечень данных:
фамилия, имя, отчество; дата рождения; номер телефона; адрес электронной почты; ...
Цель обработки:
в целях исполнения договора оказания услуг № ... от ...
Действия:
Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Срок и отзыв:
Согласие действует до момента его отзыва. Отзыв осуществляется путём направления письменного заявления по адресу: ... или на email: ...
Подпись:
Дата, подпись, расшифровка.
Готовые шаблоны согласий для разных ситуаций (сотрудники, клиенты, сайт, распространение) можно скачать в нашем разделе шаблонов.
Согласие на сайте: отдельная головная боль
На деле у большинства компаний проблемы начинаются именно с сайта. Форма обратной связи, заявка на консультацию, подписка на рассылку — везде нужно согласие. И вот тут важные нюансы:
- Чекбокс не должен быть предустановлен — только активное действие пользователя
- Текст согласия или ссылка на него должны быть рядом с чекбоксом, а не где-то в подвале
- Для разных форм могут потребоваться разные тексты согласий (разные цели обработки)
- Факт получения согласия нужно логировать — сохранять дату, время, IP-адрес, текст согласия
Из нашей практики: компания из Новосибирска получила предписание РКН после мониторинга сайта. Чекбокс стоял, текст был — но ссылка вела на несуществующую страницу. Формально согласие получено, а по факту субъект не мог ознакомиться с условиями. Штраф — 100 000 рублей.
Сколько стоит разработать пакет согласий
Можно, конечно, скачать шаблон из интернета и адаптировать самостоятельно. Но тут как с самолечением — если не разбираетесь в нюансах, легко пропустить что-то критичное.
Профессиональная разработка полного пакета согласий (для сотрудников, клиентов, сайта, с учётом передачи третьим лицам и специальных категорий) стоит от 15 000 рублей. Это в десятки раз дешевле одного штрафа.
В стоимость обычно входит:
- Аудит текущих процессов обработки ПДн
- Разработка согласий под каждую цель обработки
- Адаптация под специфику бизнеса (медицина, HR, e-commerce — везде свои нюансы)
- Рекомендации по внедрению на сайте и в документообороте
Если хотите быстро оценить, в каком состоянии у вас документация по 152-ФЗ — пройдите наш экспресс-аудит. Это бесплатно и займёт 5 минут.
Чек-лист: проверьте своё согласие
Пройдитесь по этому списку. Если хотя бы на один пункт ответ «нет» — согласие нужно переделывать.
- Согласие оформлено как отдельный документ (не часть договора)
- Указаны полные данные субъекта (ФИО, паспорт, адрес)
- Указано полное наименование и адрес оператора
- Цель обработки конкретна (не «любые цели»)
- Перечислены все обрабатываемые персональные данные
- Перечислены действия с данными
- Указан срок действия согласия
- Описан порядок отзыва согласия
- Для каждой цели — отдельное согласие
- Для биометрии и спецкатегорий — письменная форма
- На сайте чекбокс не предустановлен
- Факт получения согласия логируется
Если всё в порядке — вы уже впереди большинства российских компаний. Не шутка: по нашим оценкам, корректное согласие имеют менее 30% операторов ПДн.
Нужна помощь с приведением документов в порядок? Посмотрите наши услуги по 152-ФЗ — мы закрываем весь цикл, от аудита до внедрения.
Не уверены, что ваши согласия оформлены правильно? Оставьте заявку — проведём бесплатный экспресс-аудит документации и покажем, что нужно исправить.