Статья 9 152‑ФЗ: Согласие субъекта на обработку персональных данных
Актуальная практическая разбора ст. 9 Федерального закона № 152‑ФЗ «О персональных данных»: когда требуется согласие субъекта, в какой форме его брать, что обязательно указать и как подтверждать факт получения. Опираемся на последнюю редакцию закона — см. полный текст и общие положения о законе 152‑ФЗ.
Коротко о предмете регулирования
Статья 9 152‑ФЗ (ст. 9 федерального закона 152‑ФЗ, ст. 9 закона № 152‑ФЗ; также встречается как «ст. 9 ФЗ‑152 от 27.07.2006») определяет, как именно субъект персональных данных даёт согласие на обработку: требования к содержанию, форме, срокам действия и порядку отзыва. Это ключевая норма в связке с статьёй 6 (правовые основания обработки), принципами обработки, а также специальными статьями о специальных категориях, биометрии и распространении ПДн.
![Схема получения и хранения согласия — блок-схема]
Когда нужно согласие, а когда можно без него
По общему правилу фз 152 согласие — универсальное основание. Однако есть исключения, когда обработка допустима без согласия, если есть иные правовые основания из ст. 6 152‑ФЗ — например:
- исполнение договора с субъектом;
- выполнение обязанностей оператора, установленных законом (налоговый, трудовой учёт и др.);
- защита жизни и здоровья субъекта, при отсутствии возможности получить согласие;
- осуществление правосудия и др.
Подробный перечень см. в обзоре: обработка без согласия. Во всех иных случаях требуется согласие на обработку персональных данных 152‑ФЗ, оформленное по правилам ст. 9.
Форма согласия: устная, электронная, письменная
Статья 9 152‑ФЗ допускает любую форму, позволяющую подтвердить факт получения согласия, если законом не установлена обязательная письменная форма.
- Устная: допустима, но крайне рискованна — сложно доказывать в проверке.
- Электронная: клик‑бокс, код по SMS/e‑mail, подтверждение в личном кабинете, ЕПГУ и т. п. Важны доказательства (логи, технические следы) и привязка к личности.
- Письменная: «фз 152 письменное согласие» требуется в ряде случаев (см. таблицу ниже). Оформляется на бумаге с подписью или в виде электронного документа с ЭП.
Важно: оператор обязан уметь подтвердить получение согласия (предъявить экземпляр/скан, электронные логи, метаданные). Это критично при проверках Роскомнадзора.
Обязательные реквизиты письменного согласия
Чтобы ст. 9 ФЗ‑152 была соблюдена, письменное согласие должно включать минимум:
- ФИО субъекта, адрес, реквизиты документа, удостоверяющего личность (номер, дата выдачи, кем выдан).
- Наименование и адрес оператора (кому даётся согласие).
- Цель(и) обработки.
- Перечень персональных данных, на обработку которых даётся согласие.
- Действия с ПДн и общий способ(ы) обработки (сбор, запись, хранение, систематизация, уточнение, передача, обезличивание, блокирование, удаление, уничтожение; автоматизированная/неавтоматизированная обработка).
- Срок действия согласия и способ его отзыва.
- Подпись субъекта ПДн или его представителя.
Рекомендуется дополнить: сведения о получателях данных, условиях передачи третьим лицам, использовании cookies/аналитики, условиях трансграничной передачи (если есть), ссылкой на политику обработки ПДн.
Примерный шаблон вы найдёте в разделе согласие на обработку ПДн и в наборе шаблонов и форм.
Когда письменная форма обязательна (таблица)
Ниже — типовые ситуации, когда требуется именно письменная форма согласия по ст. 9 закона № 152‑ФЗ:
| Ситуация |
Норма |
Комментарий/пример |
| Обработка специальных категорий ПДн |
Ст. 10 152‑ФЗ |
Если нет иных законных оснований (медицина, соцзащита и т. д.), нужно письменное согласие. |
| Обработка биометрических ПДн |
Ст. 11 152‑ФЗ |
Фото, видео, отпечатки, распознавание лиц — как правило, только при письменном согласии. |
| Распространение ПДн (общедоступные ПДн) |
Ст. 10.1 152‑ФЗ |
Отдельное согласие с возможностью установить запреты и условия распространения. |
| Случаи, прямо установленные иными законами |
Спец. нормы |
Например, отдельные отраслевые регламенты могут требовать письменную форму. |
Примечание: для «обычных» ПДн (ФИО, контакты) письменная форма не всегда обязательна, но по практике часто предпочтительна для надёжного доказывания.
Согласие через представителя (несовершеннолетние и иные случаи)
Ст. 9 ФЗ‑152 допускает согласие через представителя. В этом случае указываются данные представителя и документы, подтверждающие полномочия (доверенность, свидетельство о рождении ребёнка, решение опеки/суда и т. п.).
- Несовершеннолетние: согласие подписывают законные представители. См. нюансы в разделе дети и ПДн.
- Недееспособные: действуют опекуны/попечители.
- Доверенность: для обычных ситуаций — простая письменная форма; для особо значимых действий — нотариальная по общим правилам гражданского законодательства.
Ключевое требование: согласие представителя 152‑ФЗ — это тот же набор реквизитов + подтверждённые полномочия.
Электронные согласия на сайте: доказательства и логирование
Для веб‑ресурсов и мобильных приложений оператору важно обеспечить техническое доказательство согласия:
- Явное действие: отдельный чек‑бокс «Согласен на обработку ПДн» с ссылкой на политику и текст согласия.
- Логи: запись даты/времени, IP/UA, версии формы, значения чек‑боксов, источника трафика.
- Подтверждение личности: e‑mail/SMS‑код, авторизация в ЛК, простая ЭП.
- Безопасность канала: SSL/HTTPS, корректная работа cookie‑баннера, корректная настройка форм на сайте и аналитики (Яндекс.Метрика).
См. также требования к сайтам: технический чек‑лист и аудит сайта на соответствие.
Отзыв согласия и прекращение обработки
Субъект вправе отозвать согласие в любой момент. Основание, порядок и канал отзыва должны быть описаны в согласии. Оператор после отзыва обязан прекратить обработку, если нет иного законного основания (например, обязанности хранить документы по закону), и обеспечить удаление/уничтожение ПДн в срок, установленный законом, обычно не позднее 30 дней, с уведомлением субъекта при необходимости.
Полезно: заявления и отзыв согласия, прекращение обработки, уничтожение и блокировка ПДн, сроки хранения, права субъектов и обязанности оператора.
Согласие на распространение персональных данных
Отдельное согласие по ст. 10.1 152‑ФЗ даёт субъекту возможность управлять, кому и что из его ПДн можно делать общедоступным, а что — запрещено. Оно оформляется отдельно от общего согласия и содержит:
- перечень ПДн для распространения;
- перечень лиц/категорий лиц, которым разрешена обработка;
- запреты и условия распространения;
- право отзыва и изменения настроек.
Подробности и образцы — в разделе согласие на распространение ПДн.
Контроль и ответственность
Роскомнадзор проверяет наличие и корректность согласий, их содержание и возможность подтвердить факт получения. Нарушения по ст. 9 152‑ФЗ могут повлечь штрафы по КоАП 13.11 и иные риски: блокировка сервисов, предписания, репутационные потери. См. разделы: ответственность и штрафы, проверки Роскомнадзора, кейсы в судебной практике.
Чек‑лист по ст. 9 152‑ФЗ
- Определили правовые основания по ст. 6; где оснований нет — оформляем согласие.
- Для спецкатегорий/биометрии — только письменная форма (см. выше).
- Тексты согласий адаптированы под конкретные цели и перечень ПДн; нет «универсальных» размытых формулировок.
- Указаны срок действия и чёткий способ отзыва (канал, адрес, e‑mail/форма).
- Настроено доказательство согласия: логи, хранение копий, версия формы, метки времени.
- Отдельно оформлено согласие на распространение, если требуется.
- Внутренние процедуры: обучение сотрудников и внутренний контроль, регламенты, пакет документов 152‑ФЗ.
- Политика ПДн опубликована и актуальна: шаблон и генератор, политика.
Шаблоны и инструменты
Вывод и что делать дальше
Статья 9 152‑ФЗ — фундаментальная норма о согласии субъекта. Корректное оформление и доказуемость согласий позволяют законно собирать и использовать ПДн, снижая регуляторные и репутационные риски. Проверьте свои формы и процедуры: где можно — используйте иные основания из ст. 6, где нельзя — берите валидное, «узкое» по целям согласие с понятным механизмом отзыва и прозрачной коммуникацией с субъектом.
Нужна помощь? Проведём экспресс‑аудит ваших форм и политики и подготовим комплект под ключ. Обратитесь в разделы аудит сайта и консалтинг и документы — приведём согласия к требованиям ст. 9 закона № 152‑ФЗ быстро и без лишних рисков.
