Если точно не уверены, позвоните нам, поможем разобраться:
+7 (8793) 38-91-51
Рекомендуемые статьи:
Раз в месяц получайте дайджест новых статей
В подарок чек-лист для самопроверки вашей 1С на скрытые нарушения лицензионности
С 1 сентября 2025 года меняется порядок оформления согласий на обработку персональных данных. Согласно поправке в ч.1 ст.9 закона 152-ФЗ, согласия на обработку ПДн теперь нужно будет оформлять отдельным документом.
Что это означает для бизнеса на практике?
Экономить бумагу больше не получится: теперь нельзя добавить в конце договора галочку «Согласен с обработкой персональных данных».
Даже если все пункты «Согласия» в вашем Договоре были прописаны четко и понятно, например, в отдельном разделе «Персональные данные» или «Конфиденциальность», теперь придется вынести «Согласие об обработке персональных данных» на отдельную страницу.
Согласие может быть оформлено как «Приложение к договору», но в таком случае в тексте договора не должно быть текстовки «все приложения к данному договору являются неотъемлемой частью данного договора». Прописываем четко (образец текста договора): «Приложения №1 и №2 являются неотъемлемой частью настоящего договора. Согласие на обработку персональных данных (Приложение №3) действует только в случае его подписания Субъектом персональных данных.»
Согласие на обработку персональных данных может быть сформировано и подписано в электронном виде. В этом случае вы должны предусмотреть возможность его подписания отдельно от других документов.
«Согласие на обработку персональных данных» оформлено как «Приложение к договору». Документы отправляются клиенту в виде pdf-файла по ЭДО.
Основная целья принимаемых поправок: обратить внимание клиента на то, какие персональные данные он передает для обработки и дать ему возможность отказаться от их передачи.
Можем ли мы в этом случае отказать ему в оказании услуги?
По общему правилу, необоснованный отказ в заключении договора на оказание услуг в связи с отказом в предоставлении персональных данных является противоправным и может повлечь за собой привлечение исполнителя услуг к административной ответственности.
Однако есть исключения: если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, согласие не требуется. Такие правила установлены в пункте 5 части 1 статьи 6 Закона о персональных данных.
Рассмотрим несколько конкретных случаев:
|
Ситуация |
Можно ли отказать в услуге? |
Обоснование |
|
Клиент отказывается предоставить паспортные данные при бронировании отеля |
Да |
Ст. 6 (1)(5) 152-ФЗ: обработка данных необходима для исполнения договора (регистрация гостя по закону «О порядке въезда и выезда из РФ»). Без паспорта отель не может оформить проживание. |
|
Клиент не дает номер телефона для доставки товара |
Да |
Доставка невозможна без контактных данных. Это условие исполнения договора купли-продажи (ст. 6 (1)(5) 152-ФЗ). |
|
Клиент отказывается предоставить СНИЛС при оформлении кредита, если он обязателен для страхования |
Да |
Если страхование — часть кредитного договора, СНИЛС необходим для его исполнения. Отказ в кредите правомерен (ст. 6 (1)(5) 152-ФЗ). |
|
Клиент не согласен передать email для онлайн-записи к врачу |
Нет |
Email не является обязательным для оказания медицинской услуги. Отказ в записи незаконен (ст. 16 Закона «О защите прав потребителей»). |
|
Клиент не дает согласие на обработку данных для участия в лояльностной программе |
Нет |
Программа лояльности — дополнительная услуга. Отказ в основной услуге (например, продаже товара) из-за этого неправомерен. |
|
Клиент не предоставляет ИНН для оформления подписки на новости |
Нет |
ИНН не требуется для рассылки. Требование избыточно, отказ в услуге (рассылке) из-за этого незаконен. |
На практике часто встречаются случаи, когда без сбора персональных данных услуга может быть оказана, но не в полном объеме. В этом случае следует прописать в договоре ограничения в случае отказа от предоставления персональных данных.
Например, это может быть такая текстовка:
"Неподписание Согласия на обработку персональных данных не влечет отказа в заключении или исполнении договора, за исключением случаев, когда обработка персональных данных необходима для исполнения обязательств (например, доставка товара на указанный адрес). В таких случаях непредоставление согласия может привести к невозможности оказания услуги в полном объеме".
Так же, если клиент отказывается предоставить персональные данные, можно предусмотреть их обезличивание, то есть возможность обрабатывать информацию без связи с конкретным лицом.
|
Случай |
Как обезличить данные |
Условия |
|
Онлайн-консультация (юридическая, медицинская) |
Клиент использует псевдоним, не указывает ФИО, адрес, паспортные данные. |
Услуга оказывается в обезличенной форме, если не требуется заключение договора или выдача официальных документов. |
|
Анонимные опросы/исследования |
Сбор данных без привязки к личности (например, возрастная группа «18-25 лет», а не точный возраст). |
Результаты используются только в агрегированном виде. |
|
Продажа цифровых товаров |
Клиент оплачивает через криптовалюту или анонимные платежные системы, не передавая ФИО и адрес. |
Товар не требует доставки (например, ключ активации ПО отправляется на email, который не содержит явных идентификаторов). |
|
Участие в форуме/чате |
Регистрация под ником, без указания реальных ФИО и контактов. |
Администратор не запрашивает и не хранит персональные данные. |
|
Анонимная доставка |
Курьер получает только номер заказа и телефон для связи, без ФИО и адреса клиента (например, доставка в постамат). |
Клиент забирает товар по коду из SMS. |
|
Тестирование сервисов |
Пользователь регистрируется с временным email и вымышленным именем. |
Сервис не требует верификации (например, пробный доступ к онлайн-курсу). |
Рекомендуем в вашей конкретной ситуации проконсультироваться с юристом, т.к. судебная практика по подобным делам пока не наработана.
Какой бы из способов работы с отказами от предоставления персональных данных ни выбрала организация, все условия нужно прописать в договоре и правильно указать цель обработки персональных данных в согласии. Не забываем про правило: в одном "Согласии" только одна цель. Помимо этого, согласие должно содержать: конкретные сроки обработки, какие действия будут выполняться с данными, каким образом пользователь может отозвать свое Согласие и т.п.
Общие формулировки "для исполнения договора" и "обработка выполняется до достижения целей" теперь не допускаются.
Форма Согласия на обработку персональных данных на текущий момент не унифицирована. Можно взять за образец готовые согласия по схожим с вашими целям, либо воспользоваться специальными сервисами для подготовки документов по работе с персональными данными.
Если вы передаете собранные персональные данные третьим лицам, то указание этой информации в общем виде в «Политике обработки персональных данных» или в тексте «Согласия на обработку персональных данных» больше не допускается.
Например, вы собираете данные для рассылки по электронной почте или смс. И собранные данные загружаете в специальный сервис рассылок. Пользователь должен дать согласие на обработку его персональных данных вашей организации и на передачу персональных данных в сторонний сервис – то есть, подписать два отдельных документа.
В Согласии на передачу персональных данных должен быть явно указан получатель (ООО «Рассылки», ИНН999999999) и цель передачи персональных данных (например, «рассылка рекламных материалов через сервис X»).
Отдельное согласие на передачу персональных данных не требуется, если передача необходима для исполнения договора.
Задайте вопрос:
«Можно ли оказать услугу без передачи этих данных третьему лицу?»
Если нет (например, доставка товара по договору) → согласие не нужно.
Если да (например, передача в маркетинговый сервис) → нужно отдельное согласие.
Вот распространенные примеры, когда выполняется передача персональных данных третьим лицам:
|
Случай из практики |
Нужно ли отдельное согласие на передачу персональных данных? |
Обоснование |
|
Передача данных в логистические компании (СДЭК, DHL) для доставки товаров |
Нет |
Ст. 6 (1)(б) 152-ФЗ: передача необходима для исполнения договора (доставка товара). |
|
Передача данных клиентов в курьерские службы (Delivery Club, Яндекс.Еда) для доставки заказов |
Нет |
Исполнение договора (ст. 6 (1)(б) 152-ФЗ). Если курьерская служба использует данные для своих целей (например, рекламы) — требуется согласие. |
|
Передача данных в онлайн-системы бронирования |
Нет, если бронирование — часть основной услуги (например, отель). Да, если данные используются для маркетинга. |
Без согласия — ст. 6 (1)(б) 152-ФЗ (исполнение договора). Для маркетинга — ст. 10.1 152-ФЗ (требуется отдельное согласие). |
|
Передача паспортных данных гостей отелей в МВД |
Нет |
Ст. 6 (1)(а) 152-ФЗ: передача в госорганы для исполнения закона (например, регистрация иностранцев). |
|
Передача email клиента в сервис рассылок для отправки уведомлений о статусе заказа |
Нет |
Уведомления связаны с исполнением договора (ст. 6 (1)(б) 152-ФЗ). Для рекламных рассылок — требуется согласие. |
|
Передача данных в соцсети (Facebook, ВКонтакте) для таргетированной рекламы |
Да |
Цель — маркетинг, не связанный с исполнением договора. Требуется отдельное согласие (ст. 10.1 152-ФЗ). |
|
Передача данных страховым компаниям при оформлении кредита |
Нет, если страхование — обязательное условие кредита (например, ипотека). Да, если страхование добровольное. |
Обязательное страхование — часть договора (ст. 6 (1)(б) 152-ФЗ). Добровольное — требует согласия (ст. 10.1 152-ФЗ). |
|
Совместные акции с другими брендами |
Да |
Передача данных партнерам для маркетинга — отдельное согласие обязательно (ст. 10.1 152-ФЗ). |
|
Передача списков участников партнерам (спикерам, площадкам) для подготовки мероприятий |
Нет, если передача необходима для организации мероприятия. Да, если партнеры используют данные для своих целей. |
Исполнение договора (ст. 6 (1)(б) 152-ФЗ) vs. маркетинг (ст. 10.1 152-ФЗ). |
|
Использование облачных CRM (например, amoCRM) для учета клиентов |
Нет, если CRM хранит данные в РФ и используется для исполнения договора. Да, если данные передаются за рубеж. |
Для трансграничной передачи требуется согласие (ст. 12 152-ФЗ). Внутри РФ — ст. 6 (1)(б) 152-ФЗ. |
Изменения касаются так же сайтов: «Согласие на обработку ПДн» не должно быть включено в «Пользовательское соглашение» для посетителей сайта.
Если вы используете на сайте счетчики посещений Яндекс.Метрики, то это означает фактически «передачу» персональных данных третьим лицам. Такие данные собираются автоматически в файлах Cookies.
Что нужно сделать? В тексте согласия обязательно должно быть прописано, что сайт собирает данные для передачи в сервис Яндекс.Метрика для сбора статистики посещений. Помимо этого, обязательно должно быть всплывающее окно с предупреждением, что используются Cookies – в данном случае это и есть то самое отдельное «Согласие на передачу данных».
Если вы используете счетчики Google Analytics – это означает передачу персональных данных за пределы РФ.
В этом случае необходимо:
Или рассмотреть отказ от использования зарубежных сервисов, т.к. штраф за передачу данных без выполнения этих требований – до 300 000 тыс. рублей.
Важно: вы можете даже не знать, что ваш сайт отправляет данные в Яндекс или Google, если настройкой сайта занимались сторонние специалисты.
Пример из практики:
Мы в Спутник Айти узнали о том, что наш сайт собирает cookies для Google, когда создавали форму Согласия на обработку данных для рассылки с помощью конструктора сервиса 1С 152-doc. Сервис предупредил, что наш сайт собирает данные для трансграничной передачи и предложил внести эту информацию в Согласие и во все нормативные документы по персональным данным. Оказалось, что в программном обеспечении сайта прошло обновление и сбор метрик добавился автоматически! По нашей просьбе счетчики Google убрали, оставили только счетчик посещений Яндекс.Метрика, так что наши читатели могут быть спокойны!
Если вы тоже не уверены в том, что ваш сайт не собирает лишних данных с посетителей, предлагаем выполнить для вас бесплатную проверку сайта. Пришлем подробный отчет о собираемых cookies вам на почту.
Ждем ваших писем!
