Согласие на обработку персональных данных нужно не всегда, но если компания, сайт, клиника, онлайн-школа, работодатель или интернет-магазин собирает данные без другого законного основания, согласие лучше получить и сохранить. С 1 сентября 2025 года согласие нельзя прятать внутри договора, анкеты или пользовательского соглашения: оно должно быть оформлено отдельно от других документов и информации, которые подписывает или подтверждает человек. Само согласие должно быть свободным, конкретным, предметным, информированным, сознательным и однозначным.
Что считается персональными данными
Персональные данные - это не только паспорт. Это любые сведения, по которым можно прямо или косвенно определить человека: ФИО, телефон, email, адрес доставки, дата рождения, фото, номер заказа, IP-адрес, данные карты лояльности, сведения о здоровье, анкета соискателя, история покупок, записи звонков.
Для сайта это особенно важно. Даже простая форма «оставьте имя и телефон, мы перезвоним» уже означает сбор персональных данных. Если человек оставляет email для рассылки, записывается на консультацию, оформляет заказ, пишет в чат или загружает резюме, сайт становится оператором персональных данных и должен соблюдать 152-ФЗ.
Но согласие - это только один из вариантов законной обработки. Закон разрешает обрабатывать персональные данные и по другим основаниям, например когда это нужно для исполнения договора, выполнения обязанности по закону, исполнения судебного акта или защиты жизни и здоровья, если согласие получить невозможно. В статье 6 закона о персональных данных перечислены такие основания, включая обработку для заключения или исполнения договора с самим субъектом данных.
Когда согласие действительно нужно
Согласие нужно, когда без него у оператора нет другого понятного основания обрабатывать данные. Например, сайт собирает контакты для рассылки, компания хочет использовать данные клиента для маркетинга, работодатель собирает информацию сверх того, что нужно для трудового договора, клиника хочет передать данные родственнику пациента, а школа публикует фото ученика на сайте.
Для интернет-магазина не всегда нужно отдельное согласие на каждое действие. Если покупатель сам оформляет заказ, продавец может обработать ФИО, телефон, адрес и состав заказа для заключения и исполнения договора. Но если эти же данные хотят использовать для рекламной рассылки, передачи партнерам или аналитики вне покупки, основание уже другое, и согласие становится намного важнее.
Для сайта обычно безопасная схема такая: отдельно разместить политику обработки персональных данных, отдельно сделать согласие под формой сбора данных и отдельно получать согласие на рекламную рассылку, если она есть. Оператор, который собирает персональные данные через сайт, обязан опубликовать на сайте документ с политикой обработки персональных данных и обеспечить доступ к нему.
Когда можно без согласия
Согласие не нужно брать «на всякий случай» там, где уже есть другое законное основание. Например, работодатель обрабатывает паспортные данные, СНИЛС, ИНН и банковские реквизиты работника для трудовых отношений, отчетности и выплаты зарплаты. Интернет-магазин использует адрес доставки, чтобы привезти заказ. Бухгалтерия хранит документы по налоговым правилам. Организация отвечает на претензию клиента и хранит переписку для защиты своих прав.
Но это не значит, что можно делать с данными что угодно. Если данные собрали для договора, их нельзя без дополнительного основания использовать для другой цели. Покупатель дал адрес для доставки дивана - это не автоматическое согласие на вечную рекламную рассылку, передачу данных партнерам и публикацию отзыва с ФИО.
Есть и обратная ошибка: бизнес берет согласие там, где обязанность обработки установлена законом, а потом думает, что после отзыва согласия должен удалить все документы. Не всегда. Закон прямо говорит, что после отзыва согласия оператор вправе продолжить обработку без согласия, если есть другие основания, например из статьи 6, статьи 10 или статьи 11 152-ФЗ.
Как оформить согласие с 2025 года
Главное новое правило - согласие должно быть отдельным. Нельзя сделать большой договор на 12 страниц и внутри мелким шрифтом написать: «подписывая договор, вы соглашаетесь на обработку персональных данных для любых целей». С 1 сентября 2025 года статья 9 прямо требует оформлять согласие отдельно от иной информации и документов, которые человек подписывает или подтверждает.
Это не обязательно всегда бумага с мокрой подписью. Если закон не требует письменной формы, согласие может быть дано в любой форме, которая позволяет подтвердить факт его получения. Для сайта это может быть отдельный чекбокс под формой, но не заранее проставленная галочка. Текст рядом с чекбоксом должен быть понятным: кто оператор, какие данные собираются, для какой цели, где политика и как отозвать согласие.
Если закон требует письменное согласие, требования строже. Такое согласие должно включать данные субъекта, данные оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок действия согласия, способ отзыва и подпись субъекта. Электронный документ может заменить бумажную форму, если он подписан электронной подписью по правилам закона.
Главный документ по теме - согласие на обработку персональных данных. Его можно адаптировать под сайт, работодателя, медицинскую организацию, школу, салон, интернет-магазин или сервис, но цели и перечень данных нужно менять под реальную ситуацию.
Важно! Этот документ можно скачать в КонсультантПлюс
Скачать в КонсультантПлюсБесплатный доступ к документуЕсли человек передумал и хочет прекратить обработку, ему пригодится отзыв согласия на обработку персональных данных. А если оператор обрабатывает данные неправомерно или не реагирует на обращение, можно подать жалобу на обработку персональных данных.
Что писать в согласии
В согласии не должно быть тумана. Плохая формулировка: «даю согласие на обработку всех моих персональных данных в любых целях». Такая фраза выглядит удобно только для бизнеса, но плохо защищает в споре.
Лучше писать конкретно. Например: «для обработки заявки на консультацию», «для оформления и доставки заказа», «для направления информационной рассылки», «для участия в программе лояльности», «для публикации отзыва на сайте». Под каждую крупную цель лучше делать отдельное согласие или хотя бы отдельный чекбокс, чтобы человек понимал, на что именно он соглашается.
В согласии указывают оператора, перечень данных, действия с данными, срок обработки, способ отзыва, ссылку на политику и подтверждение добровольности. Если данные передаются обработчику, например CRM, email-сервису, хостингу, колл-центру, это тоже нужно учесть в документах. По статье 6 оператор может поручить обработку другому лицу, но в поручении должны быть указаны перечень данных, действия с ними, цели обработки, конфиденциальность и требования к защите.
Согласие для сайта: как поставить чекбокс
Для сайта лучше сделать не один общий чекбокс на всё, а несколько понятных согласий. Например, в форме заявки - согласие на обработку данных для обратной связи. В форме рассылки - отдельное согласие на получение рекламы или информационных материалов. В корзине интернет-магазина - согласие с офертой отдельно, согласие на обработку данных отдельно, а рекламная рассылка только отдельной необязательной галочкой.
Галочка не должна стоять заранее. Молчание, бездействие и продолжение просмотра сайта не должны превращаться в согласие на важные действия с персональными данными. Особенно строго это видно по данным, разрешенным для распространения: статья 10.1 прямо говорит, что молчание или бездействие ни при каких обстоятельствах не считается согласием на обработку таких данных.
Хранить нужно не только текст согласия, но и техническое доказательство: какая версия согласия была показана, когда пользователь поставил галочку, с какого IP, в какой форме, какие данные отправил. Если потом придет проверка или жалоба, оператор должен доказать, что согласие действительно было получено. Закон прямо возлагает на оператора обязанность доказать получение согласия или наличие другого основания обработки.
Где хранить согласия
Бумажные согласия хранят в отдельной папке или в составе дела, но так, чтобы к ним был ограничен доступ. Это не те документы, которые должны лежать на общем столе или в открытой папке на сетевом диске. Электронные согласия хранят в CRM, CMS, личном кабинете, базе заявок или отдельном журнале согласий, но с возможностью показать, кто, когда и на что согласился.
Для сайта важно хранить версии. Сегодня на сайте один текст согласия, через месяц другой. Если пользователь оставил заявку в старой редакции, нужно понимать, какая редакция действовала тогда. Иначе компания покажет проверяющему новую красивую форму, а доказать старую не сможет.
Срок хранения зависит от цели. Если согласие нужно для заказа, его разумно хранить как минимум пока действует договор, гарантийные сроки, сроки претензий и бухгалтерское хранение. Если согласие на рассылку - пока действует подписка и некоторое время после отписки, чтобы доказать, что рассылка была законной до отзыва.
Если согласие отозвано и других оснований для обработки нет, данные нужно прекратить обрабатывать и уничтожить или обезличить. Для внутреннего оформления удаления можно использовать акт уничтожения персональных данных на бумажных носителях, а в организации - приказ о создании комиссии по уничтожению персональных данных.
Нужно ли уведомлять Роскомнадзор
Согласие и уведомление Роскомнадзора - разные вещи. Согласие получает оператор от человека. Уведомление подает оператор в Роскомнадзор о намерении обрабатывать персональные данные, если нет исключений.
Через специальный портал оператор может сформировать и отправить уведомление в территориальный орган. Но само уведомление не заменяет согласие, политику обработки персональных данных и внутренний порядок работы с данными.
После изменений штрафы за персональные данные стали заметно выше. Например, за обработку персональных данных без письменного согласия в случаях, когда такое согласие должно быть получено, штраф для юрлиц составляет от 300 000 до 700 000 рублей, а повторное нарушение для юрлиц - от 1 000 000 до 1 500 000 рублей. За неуведомление Роскомнадзора о намерении обрабатывать персональные данные штраф для юрлиц составляет от 100 000 до 300 000 рублей.
Частые ошибки
Самая частая ошибка - вставить согласие в оферту или анкету одним абзацем. С 1 сентября 2025 года согласие должно быть оформлено отдельно, поэтому старые формы нужно проверить.
Вторая ошибка - один чекбокс на всё: заказ, рассылку, передачу партнерам, рекламу, аналитику и публикацию отзыва. Так пользователь не понимает, на что именно соглашается.
Третья ошибка - заранее проставленная галочка. Согласие должно быть активным действием человека, а не ловушкой в форме.
Четвертая ошибка - не хранить доказательства. Если бизнес не может показать дату, текст, версию согласия и действие пользователя, доказать законность обработки будет сложно.
Пятая ошибка - думать, что отзыв согласия всегда означает немедленное удаление всех документов. Если есть договор, бухгалтерские документы, судебный спор или обязанность по закону, часть данных можно продолжать хранить на другом основании.
Коротко: что сделать сайту
Проверьте все формы, где пользователь оставляет имя, телефон, email, адрес, комментарий, резюме или файл. Под каждой формой должен быть понятный текст согласия или чекбокс. Политика обработки персональных данных должна быть доступна с каждой страницы, где собираются данные. Для рассылки сделайте отдельное необязательное согласие. Для публикации отзывов с ФИО, фото или городом - отдельное согласие на распространение, если данные становятся доступны неограниченному кругу лиц.
Назначьте ответственного за персональные данные хотя бы внутренним документом. Для этого подойдет служебная записка о назначении ответственного за обработку персональных данных. В более формальном контуре организации можно также использовать приказ о защите персональных данных работников.
FAQ: согласие на обработку персональных данных
Всегда ли нужно согласие на обработку персональных данных?
Нет. Данные можно обрабатывать не только по согласию, но и по другим основаниям, например для заключения или исполнения договора, выполнения обязанности по закону или защиты прав оператора, если при этом не нарушаются права человека.
Можно ли включить согласие в оферту или договор?
Нет, с 1 сентября 2025 года согласие на обработку персональных данных должно оформляться отдельно от других документов и информации, которые подписывает или подтверждает человек.
Подойдет ли галочка на сайте?
Да, если закон не требует письменной формы согласия и если можно доказать факт согласия: дата, форма, версия текста, действие пользователя. Галочка не должна быть проставлена заранее.
Где хранить согласия?
Бумажные согласия хранят в защищенной папке с ограниченным доступом, электронные - в CRM, CMS, базе заявок или журнале согласий. Важно сохранять версию текста, дату, источник и доказательство действия пользователя.
Что делать, если человек отозвал согласие?
Нужно прекратить обработку по этому согласию, если нет другого законного основания продолжать хранение или использование данных. Если данные больше не нужны, их удаляют, уничтожают или обезличивают.