Средний

20 минут

Consent 152-FZ GDPR Consent Management

Управление согласиями

Введение

Согласие субъекта данных — один из ключевых механизмов обеспечения законности обработки персональных данных. Но согласие — это не галочка в чек-боксе при регистрации. Это живой документ с жизненным циклом: от получения до отзыва, от обновления до истечения срока. Consent Management (управление согласиями) — система, которая этот жизненный цикл обеспечивает.

:::caution[Правовая оговорка] Данный материал носит образовательный характер и не является юридической консультацией. Для применения в конкретной организации обратитесь к юристу, специализирующемуся на защите данных. :::

Модели согласия

Различные регуляторные фреймворки определяют различные модели получения согласия:

Opt-In (активное согласие)

Субъект данных должен явно выразить согласие на обработку. Чек-бокс по умолчанию не отмечен. Это требование GDPR и 152-ФЗ.

[ ] Я согласен на обработку моих персональных данных для целей маркетинга

Opt-Out (пассивное согласие)

Обработка разрешена по умолчанию, пока субъект не откажется. Модель CCPA для продажи данных.

[x] Вы можете отказаться от продажи ваших данных: [Ссылка]

Отдельное согласие на каждую цель обработки. Best practice по GDPR:

[ ] Исполнение заказа (обязательно)
[ ] Маркетинговые рассылки
[ ] Персонализация рекомендаций
[ ] Передача партнёрам

Требования 152-ФЗ регулярно обновляются. Описанные здесь положения актуальны на 2026-03. Проверяйте текущую редакцию на pravo.gov.ru.

Жизненный цикл согласия

Согласие проходит через пять стадий:

Запрос — организация информирует субъекта о целях обработки
Получение — субъект даёт (или не даёт) согласие
Хранение — согласие записывается с отметкой времени, целью и сроком
Проверка — при каждой обработке система проверяет наличие действующего согласия
Отзыв / Истечение — субъект отзывает согласие или истекает его срок

Для каждой стадии необходим audit trail (журнал аудита): кто запросил, когда получено, какая версия текста согласия была показана субъекту.

Шаблон: Политика управления согласиями (FinSecure)

Версия: 2.1Владелец: DPOСтатус: УтвержденаОбновлено: 2026-03

1. Цель

Определить процедуры получения, хранения, проверки и отзыва согласий субъектов данных FinSecure Bank в соответствии с GDPR и 152-ФЗ.

2. Область применения

Все процессы обработки персональных данных клиентов, сотрудников и контрагентов в российском и европейском подразделениях.

3. Получение согласия

Opt-in модель. Каждая цель обработки — отдельное согласие. Текст согласия версионируется. Pre-checked boxes запрещены.

4. Хранение

Согласия хранятся в centralized consent store с полным audit trail: timestamp, IP, версия текста, юрисдикция. Срок хранения: весь период обработки + 3 года.

5. Проверка

Перед каждой обработкой система проверяет: (a) наличие согласия на данную цель, (b) срок действия не истёк, (c) согласие не отозвано. Без действующего согласия обработка блокируется.

6. Отзыв

Субъект может отозвать согласие через личный кабинет, по email или через отделение. Обработка прекращается в течение 30 дней (GDPR) или 3 рабочих дней (152-ФЗ).

Проверка знаний

FinSecure получил согласие клиента на маркетинговые рассылки в январе 2024 года сроком на 1 год. Сейчас февраль 2025. Может ли банк отправить клиенту рекламное SMS?

Ответ

Нет. Срок согласия истёк в январе 2025. Для отправки маркетингового SMS необходимо повторное получение согласия (renewal). Отправка без действующего согласия — нарушение GDPR и 152-ФЗ. Consent Management система должна автоматически блокировать обработку при истечении срока.

Техническая реализация

Хранение согласий можно реализовать через centralized consent store:

# Структура записи consent store
consent_record = {
    "subject_id": "user_12345",
    "purpose": "marketing_emails",
    "granted": True,
    "consent_date": "2025-01-15T10:30:00Z",
    "expiry_date": "2026-01-15T10:30:00Z",
    "consent_text_version": "v2.3",
    "collection_method": "web_form",
    "jurisdiction": "RU",  # GDPR vs 152-FZ
    "ip_address": "192.168.1.100",
    "revoked": False,
    "revocation_date": None
}

Проверка согласия перед обработкой:

def check_consent(subject_id, purpose, reference_date):
    """Проверяет наличие действующего согласия."""
    consent = get_consent(subject_id, purpose)

    if consent is None:
        return {"status": "no_consent", "allowed": False}

    if not consent["granted"]:
        return {"status": "denied", "allowed": False}

    if consent["revoked"]:
        return {"status": "revoked", "allowed": False}

    if consent["expiry_date"] and reference_date > consent["expiry_date"]:
        return {"status": "expired", "allowed": False}

    return {"status": "authorized", "allowed": True}

Сценарий: FinSecure Bank

Сценарий: FinSecure Bank (ФинСекьюр Банк)

FinSecure обрабатывает данные клиентов для четырёх целей: исполнение банковских операций, маркетинг, кредитный скоринг, передача партнёрам. У банка 500,000 клиентов в России и 50,000 в ЕС.

DPO обнаружил проблему: маркетинговые рассылки отправляются всем клиентам независимо от статуса согласия. Consent management реализован через поле marketing_opt_in: boolean в таблице customers, без отслеживания даты, версии текста и срока действия.

Задача: спроектировать consent management систему, которая:

Поддерживает granular consent (отдельное согласие на каждую цель)

Отслеживает lifecycle (получение, проверка, обновление, отзыв)

Различает юрисдикции (GDPR для ЕС, 152-ФЗ для России)

Обеспечивает audit trail для демонстрации compliance

Проверка знаний

Почему простой boolean-флаг marketing_opt_in недостаточен для consent management?

Ответ

Boolean-флаг не хранит: (1) дату получения согласия (нельзя проверить срок), (2) версию текста согласия (если текст изменился, старое согласие может быть недействительным), (3) способ получения (web/mobile/office — важно для доказательства), (4) юрисдикцию (различные сроки отзыва по GDPR и 152-ФЗ), (5) audit trail (кто, когда, что изменил). Без этих данных невозможно доказать compliance при аудите.

В ФинСекьюр необходимо автоматизировать проверку согласий перед обработкой данных. Напишите функцию, которая принимает список обработок и записи согласий, определяя для каждой обработки: есть ли действующее согласие, истекло ли оно, или отсутствует.

Итоги

Consent Management — не чек-бокс, а система с полным жизненным циклом
Три модели: opt-in (GDPR, 152-ФЗ), opt-out (CCPA), granular consent (best practice)
Пять стадий: запрос, получение, хранение, проверка, отзыв/истечение
Каждое согласие требует audit trail: дата, версия текста, способ получения
Boolean-флаг недостаточен: нужна полноценная consent store с проверкой при каждой обработке

В следующем уроке мы рассмотрим Маскирование данных (Data Masking) — техники замены конфиденциальных значений для безопасного использования данных в непроизводственных средах.

Проверьте понимание

Результат: 0 из 0

Прикладной

FinSecure хранит согласие клиента как boolean-поле marketing_opt_in в таблице customers. Клиент обращается с просьбой доказать, что банк получил его согласие на маркетинг. Почему банк не может выполнить эту просьбу?

Маркетинговые рассылки не требуют согласия по 152-ФЗBoolean-поле хранит только текущее состояние, но не дату получения, версию текста согласия и способ его получения — невозможно доказать complianceКлиент не имеет права запрашивать доказательства согласияBoolean-поле не поддерживается базой данных Oracle

Закончили урок?

Отметьте его как пройденный, чтобы отслеживать свой прогресс

Войдите чтобы оценить урок