Нужно ли согласие на обработку персональных данных

Один из самых распространённых вопросов, с которым сталкиваются организации и предприниматели: нужно ли согласие на обработку персональных данных и в каких случаях без него можно обойтись? Ответ не так прост, как может показаться на первый взгляд. Согласие субъекта — это лишь одно из десяти правовых оснований обработки персональных данных, перечисленных в статье 6 Федерального закона №152-ФЗ «О персональных данных».

Широко распространено заблуждение, что для любой обработки ПДн необходимо получить согласие. На практике закон предусматривает ситуации, когда обработка допускается без согласия — на основании договора, закона, жизненно важных интересов субъекта и других оснований. Более того, избыточное получение согласий — когда оператор собирает их «на всякий случай» — само по себе может быть признано нарушением принципа минимизации данных и создаёт дополнительные правовые риски.

Тем не менее согласие субъекта персональных данных остаётся основным и наиболее универсальным основанием. Если ни одно из иных оснований, предусмотренных статьёй 6 152-ФЗ, не применимо к вашей ситуации — вам необходимо получить согласие. Именно поэтому каждый оператор ПДн должен точно знать, когда согласие обязательно, а когда оно избыточно.

В этой статье мы подробно разберём все случаи, когда согласие на обработку персональных данных обязательно, и все случаи, когда закон позволяет обрабатывать данные без согласия. Вы найдёте сводную таблицу для быстрого определения, нужно ли согласие в вашей конкретной ситуации, а также практические рекомендации по правильному оформлению согласия и последствия его отсутствия.

Все ссылки на нормативные акты приведены по состоянию на 2025–2026 год, с учётом последних изменений законодательства, включая Федеральный закон №420-ФЗ об оборотных штрафах за утечки ПДн.

Закон 152-ФЗ прямо указывает ряд ситуаций, когда без согласия субъекта обрабатывать данные нельзя. Рассмотрим каждую из них подробно с практическими примерами.

1. Нет иного правового основания (ч. 1 ст. 6 152-ФЗ).

Если ваша обработка не подпадает ни под одно из исключений, перечисленных в пунктах 2–11 части 1 статьи 6 152-ФЗ, единственным законным основанием является согласие субъекта. Это основное правило: нет другого основания — нужно согласие. Типичный пример: сбор данных через форму обратной связи на сайте, когда договорных отношений с посетителем ещё нет.

2. Обработка специальных категорий ПДн (ст. 10 152-ФЗ).

Для обработки данных о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни требуется письменное согласие субъекта. Исключения крайне ограничены — например, обработка медицинских данных для оказания медпомощи при наличии врачебной тайны, или обработка в целях обязательного социального страхования.

3. Обработка биометрических ПДн (ст. 11 152-ФЗ).

Фотографии (используемые для идентификации), отпечатки пальцев, образцы голоса, радужная оболочка глаза, рисунок вен ладони — для обработки любых биометрических данных необходимо отдельное письменное согласие. На практике это означает: если вы фотографируете сотрудника для пропуска с системой распознавания лиц, используете сканер отпечатков для СКУД — нужно отдельное письменное согласие на обработку биометрии.

4. Трансграничная передача ПДн в страны без адекватной защиты (ст. 12 152-ФЗ).

Если персональные данные передаются на территорию государства, не обеспечивающего адекватную защиту прав субъектов ПДн (не входящего в перечень Роскомнадзора), оператор обязан получить письменное согласие субъекта на такую передачу. Это касается использования зарубежных облачных сервисов, CRM-систем с серверами за рубежом, передачи данных иностранным контрагентам.

5. Распространение персональных данных (ст. 10.1 152-ФЗ).

С 1 марта 2021 года для распространения (предоставления неограниченному кругу лиц) персональных данных требуется отдельное согласие на распространение. Это касается публикации данных на сайте, в социальных сетях, каталогах, справочниках, рекламных материалах. Согласие оформляется по специальной форме, утверждённой приказом Роскомнадзора №18 от 24.02.2021, и должно содержать конкретный перечень данных, разрешённых к распространению.

6. Обработка данных работника для целей, не предусмотренных трудовым законодательством (ст. 86–88 ТК РФ).

Работодатель может обрабатывать данные работника без согласия только для целей, прямо предусмотренных трудовым договором и Трудовым кодексом. Если данные нужны для иных целей — например, для размещения фото на корпоративном сайте, для зарплатного проекта в банке, для оформления ДМС, для передачи данных кадровому агентству — требуется отдельное письменное согласие работника.

7. Получение данных работника от третьих лиц (ст. 86 ТК РФ).

Если работодатель запрашивает персональные данные работника не у самого работника, а у третьих лиц (рекомендательное письмо с предыдущего места работы, проверка через службу безопасности, запрос в образовательное учреждение), необходимо предварительное письменное согласие работника с указанием конкретных данных, целей их получения и источников.

8. Принятие решений на основании исключительно автоматизированной обработки (ст. 16 152-ФЗ).

Если оператор принимает решения, порождающие юридические последствия для субъекта, исключительно на основе автоматической обработки (кредитный скоринг, автоматическое профилирование, алгоритмический отбор кандидатов), такая обработка допускается только с письменного согласия субъекта или в случаях, прямо предусмотренных федеральными законами.

9. Маркетинг и рекламные рассылки.

Обработка персональных данных в целях продвижения товаров, работ, услуг требует согласия по двум основаниям одновременно: Федеральный закон №152-ФЗ (обработка ПДн для маркетинговых целей) и Федеральный закон №38-ФЗ «О рекламе» (ст. 18 — рассылка рекламы по каналам связи). Согласие на маркетинг всегда должно быть отдельным — его нельзя «спрятать» в общем согласии на обработку ПДн. Субъект должен иметь возможность согласиться на обработку для основных целей (исполнение договора) и при этом отказаться от маркетинга.

Статья 6 Федерального закона №152-ФЗ содержит исчерпывающий перечень оснований, при которых обработка персональных данных допускается без согласия субъекта. Рассмотрим каждое из них с практическими примерами.

1. Обработка необходима для исполнения договора (п. 5 ч. 1 ст. 6).

Это самое распространённое основание для обработки без согласия. Если вы заключили договор с клиентом (или работником), вы вправе обрабатывать его данные в рамках исполнения этого договора без отдельного согласия. Примеры:

• Интернет-магазин обрабатывает ФИО и адрес покупателя для доставки заказа
• Банк обрабатывает паспортные данные для открытия расчётного счёта по договору
• Фитнес-клуб обрабатывает контактные данные клиента для оказания услуг по абонементу
• Работодатель обрабатывает данные работника для исполнения трудового договора: начисление зарплаты, ведение кадрового учёта
• SaaS-сервис обрабатывает email и имя пользователя для оказания услуг по подписке

Важно: данные обрабатываются только в объёме, необходимом для исполнения договора. Нельзя ссылаться на договор как основание для рассылки рекламы, профилирования или передачи данных маркетинговым агентствам — это разные цели обработки.

2. Обработка необходима для исполнения обязанностей, возложенных законодательством на оператора (п. 2 ч. 1 ст. 6).

Если обработка данных предписана законом — согласие не нужно. Это мощное основание, которое покрывает большой пласт обработки. Примеры:

• Работодатель передаёт данные работников в ФНС, СФР, Росстат — это требования налогового, пенсионного и трудового законодательства
• Организация ведёт воинский учёт сотрудников (ФЗ «О воинской обязанности и военной службе»)
• Банк выполняет идентификацию клиента по закону №115-ФЗ «О противодействии легализации доходов»
• Бухгалтерия обрабатывает данные для начисления и уплаты налогов (НК РФ)
• Работодатель хранит персональные данные в кадровых документах в соответствии со сроками, установленными архивным законодательством

3. Обработка необходима для осуществления правосудия, исполнения судебного акта (п. 3 ч. 1 ст. 6).

Суды, судебные приставы, иные органы, исполняющие судебные решения, обрабатывают ПДн без согласия субъектов. Это же основание применяется, когда организация предоставляет данные по запросу суда или следственных органов.

4. Обработка необходима для исполнения полномочий госорганов (п. 4 ч. 1 ст. 6).

Государственные и муниципальные органы обрабатывают данные граждан при предоставлении государственных и муниципальных услуг без необходимости получения отдельного согласия (если иное прямо не установлено соответствующим законом). Примеры: выдача паспорта, регистрация по месту жительства, постановка на учёт в налоговом органе.

5. Обработка необходима для защиты жизни и здоровья субъекта, когда невозможно получить его согласие (п. 6 ч. 1 ст. 6).

Классический пример: бригада скорой помощи обрабатывает данные пациента в бессознательном состоянии. Также это основание применяется при экстренной госпитализации, в ситуациях катастроф, чрезвычайных происшествий и стихийных бедствий.

6. Обработка необходима для защиты прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6).

Это основание применяется, когда оператор преследует легитимную цель, и при этом обработка не нарушает права и свободы субъекта. Примеры:

• Видеонаблюдение на территории организации (при наличии информационных табличек и уведомления работников)
• Обработка данных для предотвращения мошенничества и обеспечения безопасности
• Хранение данных для защиты интересов оператора в суде (на случай судебного спора)

Важно: Роскомнадзор трактует это основание узко. Его нельзя использовать для маркетинга, профилирования или продажи данных третьим лицам. Полагаться исключительно на «законный интерес» рискованно — рекомендуется иметь дополнительное обоснование.

7. Обработка данных, сделанных общедоступными самим субъектом (п. 10 ч. 1 ст. 6).

Если человек сам опубликовал свои данные — например, в открытом профиле социальной сети — их обработка формально допускается без согласия. Однако после введения ст. 10.1 152-ФЗ (с 1 марта 2021 года) оператор обязан доказать, что данные были сделаны общедоступными самим субъектом, а не третьими лицами. Кроме того, субъект вправе потребовать прекращения распространения его данных в любой момент. На практике это означает: парсить контакты из открытых профилей для холодных рассылок — незаконно.

8. Обработка данных в статистических или исследовательских целях при обязательном обезличивании (п. 9 ч. 1 ст. 6).

Если данные обезличиваются таким образом, что невозможно определить конкретного субъекта, согласие не требуется. Это актуально для маркетинговой аналитики, научных исследований, медицинской статистики. Важно: обезличивание должно быть полным и необратимым, а не простой заменой имени на идентификатор.

9. Обработка данных в журналистских, литературных или научных целях (п. 8 ч. 1 ст. 6).

Обработка ПДн в профессиональных журналистских целях допускается без согласия при условии, что не нарушаются права субъекта. Аналогично — для литературного и научного творчества.

10. Обработка данных, подлежащих обязательному опубликованию в соответствии с законодательством (п. 11 ч. 1 ст. 6).

Сведения, которые закон обязывает публиковать: данные о руководителях юрлиц в ЕГРЮЛ, сведения о кандидатах на выборах, информация о доходах и имуществе госслужащих в рамках антикоррупционного законодательства.

Для удобства мы подготовили сводную таблицу, которая поможет быстро определить, нужно ли вам согласие на обработку персональных данных в конкретной ситуации. Таблица охватывает наиболее распространённые случаи обработки ПДн в организациях.

Эту таблицу можно использовать как чек-лист при определении правового основания обработки. Если ваша ситуация не попадает ни в одно из оснований из графы «Не нужно» — значит, согласие обязательно. При сомнениях безопаснее получить согласие, чем рисковать штрафом за обработку без правового основания.

Федеральный закон №152-ФЗ выделяет две особые группы персональных данных, для которых установлены повышенные требования к получению согласия: специальные категории и биометрические данные. Разберём каждую группу подробно.

Специальные категории ПДн (ст. 10 152-ФЗ)

К специальным категориям относятся данные, касающиеся:

• Расовой и национальной принадлежности
• Политических взглядов
• Религиозных или философских убеждений
• Состояния здоровья
• Интимной жизни

По общему правилу, обработка специальных категорий запрещена (ч. 1 ст. 10 152-ФЗ). Исключения перечислены в части 2 той же статьи:

• Субъект дал письменное согласие на обработку своих специальных категорий данных
• Данные обрабатываются в медицинских целях — для установления диагноза, оказания медпомощи, обеспечения лечения (при условии соблюдения врачебной тайны)
• Обработка необходима для целей обязательного социального страхования в соответствии с законодательством (пенсионный учёт, социальные выплаты)
• Обработка связана с осуществлением правосудия
• Обработка необходима для целей обороны и безопасности государства
• Данные относятся к состоянию здоровья и необходимы для установления или осуществления прав субъекта (например, для назначения пенсии по инвалидности)
• Обработка осуществляется общественной или религиозной организацией в отношении данных своих членов

Практические ситуации для работодателей:

• Обязательные медосмотры. Для проведения обязательных медосмотров (ст. 213 ТК РФ) отдельное согласие на обработку данных о здоровье не требуется — основание в самом трудовом законодательстве. Но для передачи результатов медосмотра страховой компании для ДМС — нужно письменное согласие
• Справки о судимости. Работодатель обязан проверять наличие судимости для определённых должностей (педагоги, работники транспорта и др.) — это требование закона, согласие не нужно. Но хранение справок в личном деле и их обработка — это обработка специальных категорий, и если хранение не предусмотрено прямо законом, рекомендуется получить согласие
• Данные об инвалидности. Для предоставления гарантий, установленных ТК РФ (сокращённый рабочий день, дополнительный отпуск) — обработка допускается без согласия. Для иных целей — нужно согласие

Биометрические данные (ст. 11 152-ФЗ)

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность:

• Фотография (используемая для идентификации)
• Отпечатки пальцев
• Образец голоса
• Радужная оболочка глаза
• Данные ДНК
• Рисунок вен ладони

Обработка биометрии допускается только с письменного согласия субъекта (ч. 1 ст. 11). Исключения крайне ограничены:

• Реализация международных договоров РФ о реадмиссии
• Осуществление правосудия и исполнение судебных актов
• Обязательная государственная дактилоскопическая регистрация
• Обеспечение обороны, безопасности, противодействие терроризму и транспортная безопасность

Важный нюанс о фотографиях. Фотография сотрудника на пропуске, используемая для идентификации при входе в здание (особенно в системах распознавания лиц) — это биометрические данные, требующие письменного согласия. Но фотография в личном деле, которая не используется для автоматической или визуальной идентификации — это обычные ПДн (разъяснения Роскомнадзора от 30.08.2013). Разница определяется целью использования фотографии, а не самим фактом её наличия.

С 2023 года в России действует Единая биометрическая система (ЕБС), и правила обработки биометрии в рамках ЕБС дополнительно регулируются Федеральным законом №572-ФЗ. Коммерческие организации теперь обязаны передавать биометрические данные в ЕБС и не имеют права хранить их самостоятельно (за установленными исключениями). Это существенно изменило порядок работы банков и иных организаций, ранее собиравших биометрию для своих систем.

Если вы определили, что для вашей ситуации согласие обязательно, важно оформить его правильно. Некорректное согласие приравнивается к его отсутствию — а это штрафы до 700 000 рублей для юридических лиц (до 1 500 000 при повторном нарушении).

Формы согласия по закону

Федеральный закон 152-ФЗ предусматривает несколько форм согласия:

• Письменное согласие — обязательно для специальных категорий (ст. 10), биометрии (ст. 11), трансграничной передачи в страны без адекватной защиты (ст. 12), автоматизированного принятия решений (ст. 16). Подписывается собственноручно или квалифицированной электронной подписью (КЭП)
• Согласие в иной форме, позволяющей подтвердить факт его получения — для остальных случаев. Может быть в форме чекбокса на сайте, SMS-подтверждения, галочки в приложении. Устное согласие формально допустимо, но крайне сложно доказать
• Согласие на распространение — специальная форма по ст. 10.1 152-ФЗ, оформляется отдельно от согласия на обработку. Утверждена приказом Роскомнадзора №18

Обязательные реквизиты письменного согласия (ч. 4 ст. 9 152-ФЗ)

Письменное согласие должно содержать все нижеперечисленные реквизиты — отсутствие любого из них делает согласие недействительным:

• ФИО, адрес субъекта, номер документа, удостоверяющего личность, сведения о дате выдачи и выдавшем органе
• ФИО, адрес представителя субъекта и реквизиты доверенности или иного документа, подтверждающего полномочия (если согласие даёт представитель — например, родитель за ребёнка)
• Наименование или ФИО и адрес оператора, получающего согласие
• Цель обработки — конкретная, не абстрактная. Формулировки «для любых целей» делают согласие ничтожным
• Перечень ПДн, на обработку которых даётся согласие — закрытый список, без формулировок «и другие данные»
• Наименование или ФИО и адрес лица, осуществляющего обработку по поручению оператора (если обработка передана на аутсорс)
• Перечень действий с ПДн, на совершение которых даётся согласие: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение
• Общее описание способов обработки — автоматизированная, неавтоматизированная, смешанная
• Срок действия согласия и способ его отзыва
• Подпись субъекта (собственноручная или КЭП)

Три принципа получения согласия (ч. 1 ст. 9 152-ФЗ)

• Конкретность — из согласия должно быть ясно, на обработку каких именно данных и для каких целей оно даётся. Чем точнее сформулировано — тем надёжнее
• Информированность — субъект должен понимать, что он даёт согласие и какие последствия это влечёт. Текст должен быть написан понятным языком, без чрезмерного юридического жаргона
• Сознательность — согласие должно быть добровольным и осознанным. Нельзя принуждать к даче согласия, обусловливая оказание услуги согласием на маркетинг

Типичные ошибки, которые делают согласие недействительным:

• Предзаполненный чекбокс на сайте — не является активным действием субъекта
• Одно согласие на все цели разом — для маркетинга нужно отдельное
• Формулировка «для обработки персональных данных» без указания конкретных целей
• Открытый перечень данных: «ФИО, телефон и иные данные»
• Отсутствие срока действия или формулировка «бессрочное»
• Навязывание согласия: «без согласия мы не можем оказать вам услугу» (если услуга не связана с целями обработки)
• Мелкий шрифт или скрытый текст — ставит под сомнение информированность субъекта

Как фиксировать электронное согласие

Для онлайн-форм рекомендуется фиксировать и хранить следующие данные — они будут доказательством получения согласия при проверке Роскомнадзора или в суде:

• Дату и точное время получения согласия (таймстамп)
• IP-адрес пользователя
• Полную версию текста согласия на момент его получения
• Идентификатор сессии, User-Agent браузера
• Описание действия пользователя (клик по чекбоксу, нажатие кнопки)
• URL страницы, на которой было получено согласие

Обработка персональных данных без надлежащего правового основания — одно из наиболее распространённых и серьёзно караемых нарушений в области персональных данных. Рассмотрим все виды ответственности, которые грозят оператору.

Административная ответственность (ст. 13.11 КоАП РФ)

Обработка ПДн без согласия субъекта (когда согласие обязательно) влечёт наложение штрафа:

Обратите внимание: штрафы начисляются за каждый выявленный состав нарушения. Если Роскомнадзор обнаружит, что у вас нет согласия для формы обратной связи, формы заказа и формы подписки — это может быть квалифицировано как три отдельных нарушения с совокупным штрафом до 2 100 000 рублей.

Отдельные составы правонарушений по ст. 13.11 КоАП:

• Обработка без письменного согласия, когда оно требуется — ч. 2 ст. 13.11
• Обработка без согласия на распространение — ч. 2.1 ст. 13.11
• Непредоставление информации субъекту по его запросу — ч. 4 ст. 13.11
• Невыполнение требования об уничтожении данных — ч. 5 ст. 13.11
• Необеспечение записи, систематизации и хранения ПДн на территории РФ — ч. 8-9 ст. 13.11

Оборотные штрафы за утечку ПДн (Федеральный закон №420-ФЗ от 30.11.2024)

С 2025 года введены оборотные штрафы за утечку персональных данных:

• Первичная утечка — от 3 000 000 до 15 000 000 рублей (в зависимости от объёма утечки)
• Повторная утечка — от 0,1% до 3% годовой выручки компании (не менее 15 000 000, не более 500 000 000 рублей)

Связь с согласием: если данные были получены без согласия (или с недействительным согласием), а затем утекли — оператор несёт двойную ответственность: за обработку без основания и за утечку.

Гражданско-правовая ответственность

Субъект ПДн вправе обратиться в суд и потребовать:

• Компенсации морального вреда — судебная практика 2024–2025 годов: от 5 000 до 50 000 рублей, в исключительных случаях — более
• Возмещения убытков — если незаконная обработка привела к материальному ущербу
• Прекращения обработки и уничтожения данных

Уголовная ответственность (ст. 137 УК РФ)

За незаконное собирание или распространение сведений о частной жизни лица без его согласия предусмотрено:

• Штраф до 200 000 рублей
• Обязательные, исправительные или принудительные работы
• Лишение свободы до 2 лет (до 5 лет — при использовании служебного положения)

Последствия проверки Роскомнадзора

Помимо штрафов, Роскомнадзор может вынести предписание:

• Прекратить обработку персональных данных
• Уничтожить незаконно собранные данные в установленный срок
• Привести документы в соответствие с законом
• Отчитаться об исполнении предписания

Невыполнение предписания — дополнительный штраф по ст. 19.5 КоАП РФ: от 30 000 до 50 000 рублей для должностных лиц. Для бизнеса, зависящего от данных клиентов (интернет-магазины, SaaS-сервисы, онлайн-платформы), блокировка обработки может означать фактическую остановку деятельности.

Чтобы определить, нужно ли согласие в вашей конкретной ситуации, рекомендуем пройти по следующему алгоритму из пяти шагов. Этот алгоритм применим к любому процессу обработки ПДн в организации.

Шаг 1. Определите цель обработки.

Чётко сформулируйте, зачем вы обрабатываете персональные данные. Одна обработка — одна цель. Если целей несколько (например, исполнение договора + маркетинг + аналитика), для каждой цели определяется своё правовое основание отдельно. Нельзя «прикрыть» маркетинг основанием «исполнение договора».

Шаг 2. Проверьте, есть ли специальное правовое основание.

Проверьте, подпадает ли обработка под одно из оснований из пунктов 2–11 части 1 статьи 6 152-ФЗ. Задайте себе вопросы:

• Есть ли заключённый договор с субъектом, для исполнения которого нужны эти данные?
• Обязывает ли какой-либо федеральный закон обрабатывать эти данные?
• Необходима ли обработка для защиты жизни и здоровья, и невозможно получить согласие?
• Есть ли легитимный интерес оператора, не нарушающий права субъекта?
• Являются ли данные общедоступными по инициативе самого субъекта?

Если хотя бы на один вопрос ответ «да» — согласие для этой конкретной цели может не потребоваться.

Шаг 3. Определите категорию данных.

Проверьте, относятся ли обрабатываемые данные к специальным категориям (ст. 10) или биометрическим данным (ст. 11). Если да — для них установлены дополнительные ограничения, и, как правило, требуется письменное согласие, даже если для обычных данных в аналогичной ситуации оно не нужно. Исключения из этого правила узки и перечислены в законе.

Шаг 4. Проверьте наличие дополнительных обстоятельств.

Даже если основная обработка ведётся на ином основании (например, по договору), следующие обстоятельства могут потребовать дополнительного согласия:

• Планируется трансграничная передача данных?
• Планируется распространение данных (предоставление неограниченному кругу лиц)?
• Будет ли проводиться автоматизированное принятие решений с юридическими последствиями?
• Получаются ли данные от третьих лиц, а не от самого субъекта?
• Передаются ли данные третьим лицам, не являющимся стороной договора?

Шаг 5. Оформите и задокументируйте.

Если согласие необходимо — оформите его в надлежащей форме (письменной или иной, в зависимости от категории данных). Если согласие не нужно — задокументируйте, на каком основании ведётся обработка. Роскомнадзор при проверке запросит документ, подтверждающий правомерность обработки. Это может быть договор, ссылка на норму закона, приказ или согласие.

Для каждой цели обработки персональных данных рекомендуется составить реестр правовых оснований — внутренний документ организации, в котором перечислены: цель обработки, категории субъектов, перечень данных, правовое основание (статья закона или согласие), срок обработки и хранения, порядок уничтожения. Этот реестр существенно упрощает прохождение проверок Роскомнадзора и демонстрирует зрелый подход к compliance.

Определить, нужно ли согласие, — это первый шаг. Следующий — правильно его оформить. Как показывает практика проверок Роскомнадзора, большинство нарушений связано именно с ненадлежащим оформлением согласия: отсутствуют обязательные реквизиты, цели сформулированы абстрактно, перечень данных открытый, не указан срок действия или способ отзыва.

Помимо согласия на обработку, оператору персональных данных необходим целый пакет документов для полного соответствия 152-ФЗ:

• Политика обработки персональных данных — должна быть опубликована на сайте и доступна любому субъекту (ч. 2 ст. 18.1 152-ФЗ)
• Уведомление Роскомнадзора — о намерении осуществлять обработку ПДн
• Приказ о назначении ответственного за организацию обработки персональных данных
• Согласия субъектов — для каждого случая, когда согласие обязательно (в том числе отдельное согласие на распространение)
• Инструкции и регламенты для сотрудников, имеющих доступ к ПДн
• Модель угроз и определение уровня защищённости ИСПДн
• Перечень информационных систем и состав обрабатываемых данных

Подготовка всех этих документов вручную занимает от нескольких дней до нескольких недель, требует юридической квалификации и актуальных знаний о требованиях законодательства, которые регулярно обновляются.

Сервис Кибероснова Документы позволяет создать полный комплект документов по 152-ФЗ за считанные минуты. Конструктор автоматически формирует юридически корректные документы с учётом последних изменений законодательства 2025–2026 годов:

• Согласие на обработку ПДн — для работников, клиентов, посетителей сайта, с всеми обязательными реквизитами по ч. 4 ст. 9
• Согласие на распространение ПДн — по форме, соответствующей ст. 10.1 152-ФЗ
• Политику обработки персональных данных — персонализированную под вашу организацию, готовую к публикации на сайте
• Полный пакет внутренних регламентов и инструкций для сотрудников

Вы указываете данные о своей организации и целях обработки — конструктор формирует готовые к подписанию документы с правильными формулировками, закрытыми перечнями данных и всеми обязательными реквизитами. Не рискуйте штрафами — используйте проверенный инструмент для создания документов, которые выдержат проверку Роскомнадзора.