Согласие на обработку персональных данных на сайте

Обновлено: март 2026 · 14 мин чтения

Согласие на обработку персональных данных — краеугольный камень 152-ФЗ. Без него любая обработка ПДн незаконна (за исключением нескольких случаев). С 1 сентября 2025 года требования к оформлению согласия стали жёстче: отдельный документ, конкретные цели, запрет «зашивать» согласие в оферту. Разбираем, как всё правильно оформить на сайте.

Содержание

1. Когда согласие обязательно (а когда нет)
2. Новые требования с 1 сентября 2025
3. Как оформить чекбокс на сайте
4. Текст согласия — шаблон
5. Типичные ошибки
6. Штрафы за обработку без согласия

1. Когда согласие обязательно (а когда нет)

Статья 6 закона 152-ФЗ определяет шесть правовых оснований для обработки персональных данных. Согласие субъекта — лишь одно из них. Вот полный список:

1Согласие субъекта (ст. 6 ч.1 п.1)

Основное и самое распространённое основание. Субъект добровольно соглашается на обработку своих данных. Именно для этого нужен чекбокс на сайте.

2Исполнение договора (ст. 6 ч.1 п.5)

Если пользователь оформляет заказ в интернет-магазине, отдельное согласие на обработку ФИО и адреса доставки не требуется — данные нужны для исполнения договора купли-продажи. Но для рассылки промо-материалов всё равно нужно отдельное согласие.

3Исполнение обязанности по закону (ст. 6 ч.1 п.2)

Работодатель обрабатывает паспортные данные сотрудника для налоговой отчётности — это обязанность по Трудовому кодексу. Согласие не нужно.

4Защита жизни и здоровья (ст. 6 ч.1 п.6)

Экстренные ситуации: врач обрабатывает данные пациента без согласия, если тот не может его дать (без сознания).

5Законный интерес оператора (ст. 6 ч.1 п.7)

Оператор может обрабатывать данные без согласия, если это нужно для реализации его законных интересов — при условии, что права субъекта не нарушаются. Основание спорное: Роскомнадзор трактует его узко.

6Статистика и наука (ст. 6 ч.1 п.9)

Обработка для статистических или исследовательских целей с обязательным обезличиванием данных. К обычным сайтам применяется редко.

На практике: Для 90% сайтов основное основание — согласие субъекта. Даже если данные нужны для исполнения договора, для email-рассылки или аналитики cookie потребуется отдельное согласие.

2. Новые требования с 1 сентября 2025

Федеральный закон № 266-ФЗ от 14.07.2022 (вступившие в силу поправки к 152-ФЗ) и разъяснения Роскомнадзора 2025 года существенно изменили правила получения согласия. Вот что нужно знать:

Отдельный документ. Согласие на обработку ПДн должно быть оформлено как самостоятельный документ. Нельзя включать согласие в текст пользовательского соглашения, оферты или договора одним пунктом. Субъект должен принимать решение о согласии отдельно от других условий.

Конкретная цель. Каждая цель обработки требует отдельного согласия (ст. 9 ч.1 152-ФЗ в новой редакции). Одно согласие «на всё» — незаконно. Например: обработка для оформления заказа и обработка для маркетинговых рассылок — это две разные цели и два разных согласия.

Информированность. Перед получением согласия оператор обязан предоставить субъекту полную информацию: кто оператор, какие данные, зачем, кому передаются, сколько хранятся. Без этой информации согласие считается недействительным.

Запрет «пакетного» согласия. Нельзя отказать в услуге, если пользователь не дал согласие на обработку данных, не связанных с этой услугой. Пример: нельзя требовать согласие на рассылку как условие оформления заказа.

Право отзыва. Субъект может отозвать согласие в любой момент. Оператор обязан прекратить обработку в течение 30 дней после получения заявления об отзыве (ст. 21 152-ФЗ). На сайте должен быть описан порядок отзыва.

Внимание: Согласия, полученные до 1 сентября 2025 года по старым правилам (вшитые в оферту, без конкретных целей), Роскомнадзор может признать недействительными. Рекомендуется провести ревизию всех форм и обновить тексты согласий.

3. Как оформить чекбокс на сайте

Чекбокс согласия на обработку ПДн — обязательный элемент каждой формы, которая собирает персональные данные: формы обратной связи, регистрации, подписки на рассылку, оформления заказа, записи на консультацию.

Правильный чекбокс

Я даю согласие на обработку моих персональных данных (ФИО, email, телефон) в целях обработки обращения в соответствии с Политикой конфиденциальности

Чекбокс не отмечен по умолчанию
Указаны конкретные данные и цель обработки
Есть ссылка на Политику конфиденциальности
Форму нельзя отправить без галочки

Неправильный чекбокс

Я согласен с условиями использования сервиса

Чекбокс отмечен по умолчанию
Не указано, какие данные обрабатываются
Нет ссылки на Политику конфиденциальности
Согласие смешано с принятием условий сервиса

Если на сайте несколько форм (обратная связь, подписка, заказ) — каждая должна иметь свой чекбокс согласия с указанием конкретной цели обработки для этой формы. Универсальное «согласие на всё» по новым правилам не работает.

Проверьте формы на вашем сайте

AI-аудит проанализирует чекбоксы, тексты согласий и формы за 60 секунд. Бесплатно.

4. Текст согласия — шаблон

По ст. 9 закона 152-ФЗ согласие на обработку ПДн должно содержать минимальный набор обязательных элементов. Без любого из них согласие может быть признано недействительным.

Обязательные элементы согласия (ст. 9 ч.4):

ФИО и данные субъекта — кто даёт согласие (для онлайн-формы достаточно идентификации через заполненные поля)
Наименование оператора — полное наименование юрлица или ИП, ИНН, адрес
Цель обработки — конкретная и понятная: «обработка заявки на консультацию», а не «в целях, предусмотренных законодательством»
Перечень данных — какие именно данные обрабатываются: ФИО, email, телефон, адрес
Действия с данными — сбор, запись, хранение, использование, передача, удаление
Срок действия согласия — конкретный период или до момента отзыва
Порядок отзыва — как субъект может отозвать согласие (email, форма, письмо)

Пример текста для формы обратной связи:

«Нажимая кнопку «Отправить», я даю согласие ООО «Название компании» (ИНН 1234567890) на обработку моих персональных данных (имя, email, номер телефона) в целях обработки обращения и обратной связи. Данные обрабатываются в соответствии с Политикой конфиденциальности. Согласие действует до момента отзыва. Отозвать согласие можно, направив запрос на email: privacy@example.com.»

Совет: Текст согласия должен быть понятен обычному пользователю. Избегайте юридического жаргона. Роскомнадзор оценивает не только наличие текста, но и его доступность для понимания.

5. Типичные ошибки

По данным проверок Роскомнадзора и судебной практики, самые распространённые ошибки при оформлении согласия:

Предзаполненный чекбокс

Галочка стоит по умолчанию — пользователь не совершает активного действия. Роскомнадзор и суды единодушны: такое согласие недействительно. Чекбокс должен быть пустым, пользователь ставит галочку сам.

Согласие «вшито» в оферту

Строчка «принимая оферту, вы соглашаетесь на обработку ПДн» в тексте договора. С сентября 2025 года это прямое нарушение: согласие должно быть отдельным актом волеизъявления. Пользователь должен иметь возможность принять оферту, но отказать в обработке данных для целей, не связанных с договором.

Нет возможности отозвать согласие

На сайте нет информации, как отозвать согласие. Нет email, формы или адреса для направления заявления. По ст. 9 ч.2 152-ФЗ согласие может быть отозвано в любой момент. Оператор обязан прекратить обработку и уничтожить данные в течение 30 дней.

Размытые цели обработки

«Для улучшения качества обслуживания», «в маркетинговых целях», «для внутренних нужд компании» — такие формулировки не соответствуют требованию конкретности (ст. 5 ч.2 152-ФЗ). Цель должна быть ясной: «для обработки заказа», «для отправки email-рассылки о новых товарах».

Одно согласие на все цели

Один чекбокс покрывает обработку заказа, рассылку, передачу партнёрам и аналитику. С 2025 года каждая цель требует отдельного согласия. Практическое решение: несколько чекбоксов или отдельная страница настроек подписок.

Нет ссылки на Политику конфиденциальности

Чекбокс есть, но рядом нет ссылки на документ, описывающий порядок обработки данных. Субъект не может ознакомиться с условиями — согласие неинформированное и может быть оспорено.

6. Штрафы за обработку без согласия

Обработка персональных данных без согласия субъекта (когда оно требуется) — одно из самых частых и «дорогих» нарушений. Штрафы по КоАП 13.11 в актуальной редакции:

Нарушение	Статья	Граждане	Должн. лица	Юрлица
Обработка ПД без согласия	13.11 ч.2	6 000 – 10 000 ₽	20 000 – 40 000 ₽	150 000 – 500 000 ₽
Повторное нарушение ч.2	13.11 ч.2.1	10 000 – 20 000 ₽	40 000 – 100 000 ₽	300 000 – 1 500 000 ₽
Отсутствие политики обработки ПД	13.11 ч.3	1 500 – 3 000 ₽	6 000 – 12 000 ₽	60 000 – 100 000 ₽
Обработка спецкатегорий ПДн без письменного согласия	13.11 ч.2	6 000 – 10 000 ₽	20 000 – 40 000 ₽	150 000 – 500 000 ₽

Новые штрафы с мая 2025

Федеральный закон № 420-ФЗ от 30.11.2024 ввёл оборотные штрафы за утечки персональных данных. За массовую утечку (более 100 000 субъектов) штраф составляет до 3% годовой выручки, но не менее 15 млн рублей и не более 500 млн рублей. За повторную утечку — до 500 млн. Эти суммы делают защиту данных не просто юридической обязанностью, а вопросом выживания бизнеса.

Как привлекают к ответственности

Роскомнадзор проводит плановые и внеплановые проверки. Кроме того, любой пользователь может подать жалобу через сайт РКН. Инспектор заходит на сайт, проверяет формы, ищет чекбоксы, читает политику. Если находит нарушения — составляет протокол. Дело рассматривается мировым судом. Средний срок от жалобы до штрафа — 2-3 месяца.

Проверьте формы на вашем сайте

Бесплатный AI-аудит за 60 секунд — проверит чекбоксы, тексты согласий, политику конфиденциальности и cookie-баннер.

← 152-ФЗ простым языком Чек-лист соответствия →Политика конфиденциальности →

Статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных.