Согласия по персданным оформляйте по‑новому. С 1 сентября штраф 700 000 руб.

С 1 сентября вступил в силу ряд важных изменений в законодательстве о персональных данных, которые напрямую коснутся каждого работодателя. Игнорирование этих нововведений может обернуться серьезными финансовыми потерями — штрафы за нарушения теперь достигают 700 000 рублей. Ключевое изменение, о котором должен знать каждый кадровик и бухгалтер — теперь согласие должно оформляться как отдельный документ. Его категорически запрещено включать в состав других форм или документов, содержащих иную информацию о физическом лице.

Эксперты образовательного центра РУНО подготовили подробное руководство, чтобы помочь вам разобраться в новых требованиях.

Содержание:

1. Новые требования к оформлению согласия на обработку персональных данных
2. Как правильно оформить согласие на обработку персональных данных: Ключевые требования
3. Ответственность за нарушение правил обработки персональных данных
4. Будет ли за нарушение платить бухгалтер
5. Перечень обязательных документов по персональным данным для каждой организации

Любая компания или индивидуальный предприниматель, занимающиеся обработкой персональных данных, обязаны получать письменное согласие от физических лиц (ч. 1 ст. 6, ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). С 1 сентября 2025 года вступает в силу требование об оформлении такого согласия на отдельном бланке (Федеральный закон от 24.06.2025 № 156-ФЗ).

Ключевое изменение: Согласие на обработку персональных данных нельзя будет включать в текст договора, анкеты или любого другого документа, содержащего иную информацию о физическом лице. Нарушение этого требования может повлечь за собой штрафные санкции со стороны Роскомнадзора. Поэтому необходимо срочно проверить, готовы ли вы к новым правилам.

Разделение согласий на обработку и распространение

Ранее допускалось оформление единого документа, содержащего согласие на обработку и распространение персональных данных. Физическое лицо своей подписью подтверждало согласие с обеими целями обработки. Теперь закон четко устанавливает запрет на объединение этих согласий. Согласие на распространение персональных данных может быть подписано только после получения согласия на обработку.

Новые правила распространяются на все согласия об обработке персональных данных, оформленные после 1 сентября 2025 года включительно. Это означает, что при приеме нового сотрудника, использовании данных клиента или покупателя необходимо оформить согласие на обработку персональных данных как отдельный документ (ст. 6 Закона № 152-ФЗ).

В 2025 году Роскомнадзор активно отслеживает соблюдение законодательства о персональных данных на веб-сайтах компаний и ИП. Если вы собираете и обрабатываете персональные данные через интернет, обязательно опубликуйте на своем сайте политику обработки персональных данных и политику конфиденциальности. Это поможет избежать претензий со стороны контролирующих органов.

Важно знать!  Оформление единого согласия на обработку и распространение данных после 1 сентября 2025 года может повлечь за собой административную ответственность для компании.

Законодательство не устанавливает унифицированную форму согласия на обработку персональных данных. Это означает, что компании и индивидуальные предприниматели вправе самостоятельно разработать бланк. Однако крайне важно, чтобы документ содержал все обязательные реквизиты, установленные законом (ч. 4 ст. 9 Закона № 152-ФЗ, приказ Роскомнадзора от 24.02.2021 № 18).

В согласии необходимо четко указать:

• Идентификационные данные субъекта: Фамилию, имя, отчество физического лица, дающего согласие, а также его паспортные данные.

• Информация об операторе: Наименование компании или фамилия, имя, отчество индивидуального предпринимателя, получающего согласие на обработку персональных данных.

• Конкретная цель обработки: Четкое и однозначное определение цели, для которой осуществляется обработка персональных данных.

• Перечень обрабатываемых данных: Исчерпывающий список персональных данных, которые будут обрабатываться.

• Действия с данными: Перечисление действий, которые оператор будет совершать с персональными данными (например, сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, блокирование, удаление, уничтожение).

• Способы обработки: Описание способов обработки сведений, которые будут использоваться оператором (например, автоматизированная обработка, неавтоматизированная обработка, смешанная обработка).

• Срок действия согласия: Срок, в течение которого действует согласие на обработку персональных данных.

• Подпись субъекта: Собственноручная или электронная подпись субъекта персональных данных, подтверждающая его согласие на обработку.

Согласие на обработку персональных данных должно быть конкретным, предметным, однозначным и информативным (ч. 1 ст. 9 Закона № 152-ФЗ). Физическое лицо должно четко понимать, какой документ оно подписывает и для чего. Поэтому в согласии необходимо подробно разъяснять, что подразумевается под обработкой сведений (например, сбор, запись, хранение и т.д.).

Согласие может быть оформлено как на бумажном носителе, так и в электронном виде. В любом случае, физическое лицо — субъект персональных данных — должно подписать документ собственноручно (в случае бумажной формы) или с использованием квалифицированной электронной подписи (в случае электронной формы). 

Наличие подписи является обязательным подтверждением того, что компания или ИП получили законное право на обработку сведений. Без надлежащим образом оформленной подписи согласие считается недействительным, и оператор может быть привлечен к ответственности.

Специальный курс “Локально-нормативные акты работодателя (ПВТР, Положения, инструкции)". Практика составления” поможет разобраться в составлении локально-нормативных актов компании и позволит стать компетентным специалистом кадрового делопроизводства. 

Игнорирование обновленных требований к оформлению согласия на обработку персональных данных может повлечь за собой серьезные последствия для компаний и индивидуальных предпринимателей. Если согласие оформлено с нарушениями, например, включено в состав другого документа, оно будет считаться недействительным и неполученным.

Это означает, что оператор будет обрабатывать персональные данные без надлежащего согласия субъекта, что является прямым нарушением законодательства и влечет за собой административную ответственность по части 2 статьи 13.11 КоАП РФ. Санкции применяются не только к самой организации, но и к ответственным должностным лицам, включая бухгалтера или руководителя. (Здесь можно вставить таблицу штрафов, если она есть в статье-источнике).

Помимо нарушений, связанных с оформлением согласий, с 30 мая 2025 года вступили в силу дополнительные штрафы за ряд других серьезных проступков в сфере обработки персональных данных, согласно Федеральным законам от 30.11.2024 № 420-ФЗ и № 421-ФЗ.

В частности, за неуведомление Роскомнадзора о начале обработки персональных данных предусмотрены значительные финансовые санкции:

• Для организаций — до 300 000 рублей.

• Для руководителей компании — до 50 000 рублей.

Эти изменения подчеркивают ужесточение государственного контроля за соблюдением правил работы с персональными данными и повышают риски для компаний, не уделяющих должного внимания этим вопросам.

С 30 мая действуют повышенные санкции за нарушения при работе с персональными данными (ст. 13.11 КоАП). В соцсетях многие бухгалтеры переживают, что именно их будут штрафовать за неполученные согласия и другие ошибки. На деле ситуация более нюансированная.

Ответственность предусмотрена и для организации, и для должностных лиц. Нести её будет прежде всего тот, кто формально назначен ответственным за обработку персональных данных, а также тот, чьи конкретные действия (или бездействие) привели к нарушению. Если, например, руководство не закупило антивирусы и из‑за этого произошёл взлом компьютера бухгалтера, ответственность ляжет на компанию или её руководителя (см. решения судов: Эжвинский районный суд г. Сыктывкара от 23.12.2019, Хасынский райсуд Магаданской обл. от 12.02.2021).

Миф о том, что всё ляжет лишь на бухгалтера, распространён из‑за ужесточения санкций, но он неверен. Бухгалтер отвечает только в том случае, если его приказом действительно назначили ответственным за персональные данные. Директор может назначить другим сотрудника, а при отсутствии такого приказа ответственность обычно несёт директор или сам ИП. Это следует из роли оператора персональных данных: ключевая ответственность лежит на компании или индивидуальном предпринимателе (ч. 2 ст. 3 Закона № 152‑ФЗ).

При этом организация может переложить часть риска на сотрудника, если она документально установила правила и предприняла все меры по их исполнению, а нарушение случилось по вине самого работника. В отдельных случаях нарушение перерастает в уголовную ответственность (например, ст. 272.1 УК): так, была уголовная история, когда уборщицу обвинили за фотографирование экрана с медицинскими данными и их распространение — это данные особо охраняемой категории, за разглашение которых предусмотрена серьезная санкция.

Чтобы минимизировать риски, организации нужно официально распределить обязанности по персональным данным, обеспечить техническую защиту и контроль исполнения — тогда возможность персональной ответственности бухгалтера будет существенно снижена.

1. Согласие на обработку персональных данных. Документ, оформляемый отдельным бланком; содержит цели, перечень данных, способы обработки, срок действия и подпись субъекта.

2. Приказ о создании комиссии по уничтожению документов с персональными данными. Устанавливает состав и полномочия комиссии, порядок отбора документов к уничтожению и сроки проведения процедур.

3. Акт о прекращении обработки персональных данных. Фиксирует факт и дату завершения обработки конкретной категории данных, основания и принятые меры (напр., удаление, блокировка).

4. Акт о выделении к уничтожению документов, которые не подлежат хранению. Перечень и обоснование документов, подлежащих уничтожению; прилагается к процедуре и хранится в деле.

5. Уведомление сотруднику об уничтожении его персональных данных. Информирует субъекта о дате, перечне и способе уничтожения его данных; подтверждает выполнение прав субъекта.

6. Уведомление в Роскомнадзор об уничтожении персональных данных сотрудника. Формируется при необходимости уведомления контролирующего органа в случаях, предусмотренных требованиями законодательства или внутренней политикой.

7. Уведомление о намерении осуществлять обработку персональных данных.  Документ/заявление для регистрации намерений обработки (если требуется по правилам) с указанием целей, категорий данных и мер защиты.

8. Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных. Фиксирует обновления в объёме, целях или способах обработки, направляемые в контролирующие органы и (при необходимости) публикуемые на сайте.

9. Уведомление о прекращении обработки персональных данных. Сообщает о полном прекращении обработки по конкретным основаниям; используется для отчетности и внутреннего контроля.

10. Положение о порядке хранения и защите персональных данных пользователей. Регламентирует места хранения, сроки хранения, технические и организационные меры защиты данных клиентов/пользователей.

11. Положение о работе с персональными данными работников. Внутренний регламент для кадровой службы и подразделений: какие данные собирают, как обрабатывать, кому разрешён доступ и на каких основаниях.

12. Приказ о назначении ответственного за работу с персональными данными. Формальный документ о назначении ответственного лица (или нескольких лиц) с указанием обязанностей и полномочий.

13. Обязательство о неразглашении персональных данных. Подписывается сотрудниками, допущенными к обработке данных; содержит ответственность за нарушение конфиденциальности.

14. Регламент допуска работников к обработке персональных данных. Процедура допуска: обучение, инструктаж, получение доступа, порядок отзыва прав доступа.

15. Правила осуществления внутреннего контроля соответствия обработки персональных данных. Описание плановых и внеплановых проверок, критериев оценки соответствия и порядка устранения нарушений.

16. Регламент действий на случай утечки персональных данных. Пошаговая инструкция реагирования при инциденте: изоляция, оценка масштаба, уведомления, восстановление и профилактика.

17. Уведомление об утечке персональных данных. Шаблон и порядок направления уведомлений в Роскомнадзор, пострадавшим субъектам и иным уполномоченным лицам.

18. Акт об утечке персональных данных. Документальное расследование инцидента: обстоятельства, выявленные уязвимости, последствия и принятые меры.

19. Акт внутреннего расследования по факту утечки персональных данных. Подробный отчет внутренней комиссии с выводами, виновными (при установлении), корректирующими действиями и предложениями по предотвращению повторений.

Все перечисленные документы желательно привести в единую систему (карта процессов, ответственные лица, сроки пересмотра) и хранить в актуальном виде.

Профессиональный совет: Квалифицированные кадровики должны знать, как эффективно разрабатывать, применять и контролировать ЛНА, чтобы соответствовать требованиям трудового законодательства и улучшить условия для работы сотрудников.  Онлайн-курс "Локально-нормативные акты работодателя: Практика составления" даст глубокое понимание разработки и использования локально-нормативных актов в организации. ПО ОКОНЧАНИИ ОБУЧЕНИЯ ВЫ БУДЕТЕ УМЕТЬ:  составлять локально-нормативные акты, определять состав ЛНА  применять порядок ознакомления работников с ЛНА  разрабатывать ПВТР, проводить аудит, выявлять и исправлять ошибки составлять Положение о защите персональных данных  разрабатывать Должностные инструкции, проводить аудит и применять профстандарты  составлять положение об оплате труда с учетом требований трудового законодательства Получите бесплатный ПРОБНЫЙ ДОСТУП на нашем сайте! Учебная программа     Получить доступ