Согласие на обработку ПДн: чек-бокс, всплывающее окно или отдельная форма?

Что такое согласие на обработку персональных данных по ФЗ-152

Согласие субъекта персональных данных — одно из ключевых оснований для обработки данных, предусмотренных статьей 6 ФЗ-152. При этом согласие — не единственное основание: статья 6 перечисляет несколько законных оснований, и оператор вправе выбрать то, которое применимо к его ситуации. Однако если оператор избрал согласие как основание обработки, статья 9 закона предъявляет к нему жесткие требования: оно должно быть конкретным, информированным, сознательным и добровольным.

  • Конкретное: согласие должно относиться к определенным данным, определенным целям, определенному оператору. Общее согласие на все и сразу не соответствует требованию конкретности. Если один оператор хочет использовать данные для нескольких разных целей — лучше получить согласие на каждую цель отдельно.
  • Информированное: субъект должен знать, кто оператор, какие данные собираются, для каких целей, каков срок хранения, кому передаются данные, каковы его права. Невозможно дать информированное согласие, не имея доступа к этим сведениям.
  • Сознательное: субъект осознает, что именно он соглашается на обработку своих данных. Механизм получения согласия должен исключать случайное или неосознанное его предоставление — отсюда требование активного действия пользователя.
  • Добровольное: отказ от предоставления согласия не должен влечь невозможности воспользоваться основным сервисом, если обработка данных не является необходимым условием предоставления этой услуги. Принуждение к согласию делает его недействительным.

Важно понимать, что согласие — это не просто формальность. Правильно полученное согласие является юридической защитой оператора: в случае жалобы субъекта или проверки именно на операторе лежит бремя доказать, что согласие было получено надлежащим образом (часть 3 статьи 9 ФЗ-152). Если доказать это невозможно — считается, что согласия не было, и обработка данных является незаконной.

Что НЕ является согласием на обработку ПДн

Практика проверок Роскомнадзора и судебная практика выделили несколько распространенных форматов, которые не считаются надлежащим согласием и не защитят оператора при проверке.

Предустановленные галочки

Чек-бокс, который уже отмечен по умолчанию при открытии формы, не является согласием. Субъект должен совершить активное действие — самостоятельно поставить галочку. Предустановленная галочка означает, что согласие дано без осознанного выбора, что противоречит требованию добровольности и сознательности. Это — одна из самых частых ошибок, которую выявляет Роскомнадзор при мониторинге сайтов. Штраф за подобное нарушение с 30 мая 2025 года составляет от 60 000 до 100 000 рублей для юридических лиц.

Конклюдентные действия

Формулировка о том, что продолжая использовать наш сайт, пользователь автоматически соглашается с политикой конфиденциальности, не является согласием в смысле ФЗ-152. Простое нахождение на сайте не свидетельствует о намерении дать согласие на конкретную обработку данных. Такая конструкция нарушает требования статьи 9 закона и не создает правового основания для обработки данных. Исключение составляют случаи, когда обработка данных осуществляется на основании иных законных оснований, не требующих согласия.

Согласие, спрятанное в пользовательском соглашении

Включение согласия на обработку персональных данных в текст пользовательского соглашения (Terms of Service) в виде одного из многих пунктов — порочная практика. Субъект, принимая многостраничный документ, может не осознавать, что в нем содержится согласие на обработку данных. Это противоречит требованию информированности и осознанности. Согласие должно быть явным и выделенным, а не скрытым в длинном тексте. Суды неоднократно указывали на недопустимость подобной практики.

Отсутствие возможности отказать

Если пользователю предлагается только кнопка принятия без возможности отказаться или продолжить работу без дачи согласия (когда оно не является необходимым условием получения услуги), это ставит под сомнение добровольность согласия. Пользователь должен иметь реальный выбор: принять или отказаться, причем отказ не должен влечь немедленного прекращения доступа к сервису, если обработка данных не является его ключевой функцией. Дизайн интерфейса не должен скрывать кнопку отклонения или делать её менее заметной по сравнению с кнопкой принятия.

Согласие в теле деловой переписки

Если пользователь написал деловое письмо и в его тексте упомянул данные о себе — это не согласие на обработку персональных данных. Согласие должно быть явным действием, направленным именно на разрешение обработки персональных данных для конкретных целей, а не побочным следствием другого коммуникативного действия. Резюме, направленное на вакансию, является исключением: работодатель вправе обрабатывать полученные данные без отдельного согласия в течение установленного срока рассмотрения.

Форматы получения согласия: сравнительная таблица

Формат Когда использовать Плюсы Минусы
Чек-бокс у формы Формы регистрации, обратной связи, подписки на рассылку Простота реализации, согласие привязано к конкретному действию, легко хранить доказательство Пользователи могут игнорировать текст рядом с чек-боксом, не читая условия
Всплывающее окно (баннер) Cookie-согласие, согласие при первом визите на сайт Невозможно не заметить, можно настроить гранулярный выбор по категориям данных Раздражает пользователей, требует корректной реализации с равнозначной кнопкой отклонения
Отдельная форма согласия Специальные категории ПДн, биометрия, медицинские данные, данные детей Максимальная прозрачность, очевидно добровольный выбор, легко доказать в суде Дополнительный шаг для пользователя, может снизить конверсию
Кнопка-подтверждение в интерфейсе Мобильные приложения при запросе разрешений на камеру, геолокацию, контакты Контекстуальность, согласие дается в нужный момент, понятная причина запроса Сложнее хранить доказательства без специальной логики в приложении
Письменная форма (бумага или УКЭП) Специальные категории ПДн, биометрия, обработка в медицинских учреждениях Максимальная юридическая надежность, безусловное соответствие ст. 9 ФЗ-152 Неудобно для онлайн-сервисов, требует отдельного процесса документооборота

Обязательный состав текста согласия

Статья 9 ФЗ-152 устанавливает перечень сведений, которые должны содержаться в тексте согласия (или быть доступны по ссылке непосредственно рядом с чек-боксом):

  1. Кто оператор: наименование и адрес юридического лица или ФИО и адрес ИП, обрабатывающего данные. Если обработку осуществляет третье лицо по поручению — указывается и оно.
  2. Цель обработки: для чего именно будут использоваться данные — максимально конкретно. Нельзя писать в соответствии с политикой конфиденциальности — нужна конкретная формулировка.
  3. Перечень персональных данных: какие именно данные будут обрабатываться (например: имя, адрес электронной почты, номер телефона, IP-адрес).
  4. Перечень действий с ПДн: сбор, запись, систематизация, хранение, уточнение, использование, передача третьим лицам, обезличивание, уничтожение — перечислить все применимые.
  5. Срок хранения или условия его определения: например, в течение 1 года с момента последнего обращения, или до достижения цели обработки, или до отзыва согласия.
  6. Право на отзыв согласия: субъект должен знать, что может отозвать согласие в любой момент без объяснения причин.
  7. Порядок отзыва: как именно можно отозвать согласие — адрес для направления заявления, форма заявления или ссылка на личный кабинет.

Статья 9 ФЗ-152: Согласие субъекта персональных данных на обработку его персональных данных должно быть конкретным, информированным и сознательным. Субъект персональных данных вправе отозвать согласие на обработку персональных данных. Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

Согласие на специальные категории персональных данных

Что относится к специальным категориям

Статья 10 ФЗ-152 относит к специальным категориям данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья и интимной жизни. Статья 11 отдельно регулирует биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (фотографии, отпечатки пальцев, ДНК, данные Face ID и т.д.).

Дополнительные требования к согласию

Обработка специальных категорий ПДн допускается только при наличии явного письменного согласия субъекта — если нет иных оснований из исчерпывающего перечня статьи 10. Такое согласие должно быть оформлено в письменной форме (или в форме электронного документа с усиленной квалифицированной электронной подписью). Встроенного чек-бокса на сайте обычно недостаточно — требуется более строгая процедура подтверждения. Для медицинских организаций, работодателей, обрабатывающих данные о состоянии здоровья сотрудников, это требование имеет особое значение. Нарушение порядка обработки специальных категорий ПДн влечет повышенную административную ответственность.

Хранение доказательств согласия

Зачем нужны доказательства

Бремя доказывания наличия согласия лежит на операторе: часть 3 статьи 9 ФЗ-152 прямо устанавливает, что если оператор обрабатывает ПДн на основании согласия, он обязан доказать его наличие в случае спора или проверки. Без доказательств оператор не сможет подтвердить законность обработки данных даже в том случае, если реально получал согласие. Роскомнадзор при проверке вправе запросить доказательства получения согласий, и их отсутствие автоматически квалифицируется как нарушение.

Технические способы хранения доказательств

  • Логирование: фиксация в базе данных факта отметки чек-бокса с отметкой времени (timestamp), IP-адресом и версией текста согласия, которую видел пользователь в момент дачи согласия.
  • Хранение версий текстов согласий: при обновлении текста сохранять прежнюю версию с датами действия — чтобы можно было показать, какой текст действовал в конкретный момент времени.
  • Привязка согласия к учетной записи: в профиле пользователя хранить информацию о том, когда, на что и на основании какого текста было получено согласие.
  • Email-подтверждение: для критически важных согласий — направление пользователю копии подтверждения на email с текстом согласия и датой.
  • Хранение логов не менее 3 лет: срок исковой давности по гражданским спорам составляет 3 года, поэтому доказательства должны сохраняться не менее этого срока.

Отзыв согласия: техническая реализация

Субъект персональных данных имеет право отозвать согласие в любой момент без объяснения причин. Оператор обязан прекратить обработку данных и уничтожить их в течение 30 дней после получения отзыва (если нет иных правовых оснований для продолжения обработки). При этом оператор не вправе продолжать обработку, ссылаясь на то, что уничтожение технически затруднено — закон устанавливает жесткий срок. Для удобства реализации права на отзыв рекомендуется:

  • Разместить в личном кабинете пользователя раздел управления согласиями с возможностью отозвать каждое согласие отдельно
  • Предусмотреть простую форму или кнопку для подачи заявления об отзыве согласия без необходимости общаться с поддержкой
  • Обеспечить прием заявлений по email с автоматическим подтверждением о получении и указанием срока исполнения
  • Настроить процесс обработки заявлений об отзыве с соблюдением 30-дневного срока и фиксацией факта уничтожения данных
  • Для email-рассылок: обязательная ссылка для отписки в каждом письме — это требование ФЗ-38 о рекламе

Как выбрать правильный формат согласия: практические рекомендации

Выбор формата согласия зависит от цели обработки данных и категории обрабатываемых данных. Для стандартных форм регистрации и обратной связи достаточно чек-бокса (не предустановленного) с правильно составленным текстом рядом или ссылкой на политику конфиденциальности. Для cookie-согласия необходим баннер с равнозначными кнопками принятия и отклонения. Для специальных категорий ПДн необходима отдельная форма с усиленными гарантиями осознанности и добровольности, а в ряде случаев — письменная форма с УКЭП.

В любом случае согласие должно быть активным действием пользователя, а не автоматически проставленной галочкой или подразумеваемым принятием через использование сервиса. Инвестиции в правильную реализацию механизма согласия — это инвестиции в юридическую защиту бизнеса. При проверке Роскомнадзора отсутствие надлежащей системы согласий является одним из наиболее часто фиксируемых нарушений.

Согласие на обработку данных несовершеннолетних

Обработка персональных данных несовершеннолетних (лиц до 18 лет) требует особого внимания. По общему правилу статьи 9 ФЗ-152, за несовершеннолетних, не достигших 14 лет, согласие дают их законные представители — родители или опекуны. Для несовершеннолетних от 14 до 18 лет согласие может быть дано самостоятельно, однако ряд правоведов полагает, что в этом возрасте также целесообразно получать подтверждение от родителей. Если сервис ориентирован на широкую аудиторию и не может исключить регистрацию детей, необходимо предусмотреть механизм верификации возраста или согласия родителей.

Практическая реализация может включать: требование указать дату рождения при регистрации с блокировкой доступа для несовершеннолетних, отдельную форму для ввода данных родителя, email-подтверждение от родителя, телефонная верификация совершеннолетия. Сайты, на которых дети составляют значительную часть аудитории, должны уделять этому вопросу особое внимание.

Согласие при передаче данных третьим лицам

Передача персональных данных третьим лицам — одна из наиболее чувствительных операций с точки зрения ФЗ-152. Если оператор планирует передавать данные партнерам, рекламным сетям или иным лицам для их собственных целей (не по поручению оператора), это требует отдельного согласия субъекта. Согласие на передачу должно быть явным: общей фразы о возможной передаче данных третьим лицам в политике конфиденциальности недостаточно.

С 1 сентября 2022 года в ФЗ-152 введено понятие согласия на распространение персональных данных (статья 10.1). Если оператор намеревается передавать данные неограниченному кругу лиц или обеспечивать их публичный доступ, требуется специальная форма согласия по форме, утвержденной приказом Роскомнадзора. Субъект вправе установить запреты и условия обработки при таком распространении.

Ответственность за нарушения при получении согласия

Статья 13.11 КоАП РФ в редакции, действующей с 30 мая 2025 года, устанавливает следующие санкции за нарушения в области согласий на обработку ПДн:

  • Обработка ПДн без согласия субъекта (если согласие является обязательным основанием) — для юридических лиц штраф от 60 000 до 100 000 рублей (ч. 2 ст. 13.11 КоАП РФ)
  • Повторное нарушение — штраф для юридических лиц до 300 000 рублей
  • Нарушение порядка обработки специальных категорий ПДн — повышенная ответственность
  • Отказ прекратить обработку после отзыва согласия — дополнительная ответственность по ч. 1 ст. 13.11 КоАП РФ

Помимо административных штрафов, субъект персональных данных вправе обратиться в суд с иском о компенсации морального вреда (статья 17 ФЗ-152). Суды по таким делам все чаще встают на сторону субъектов данных, особенно при явных нарушениях порядка получения согласия. Совокупные расходы на урегулирование споров могут существенно превысить размер административного штрафа.

Чек-лист: проверьте свою систему согласий

  1. Все чек-боксы на формах не предустановлены — пользователь ставит галочку самостоятельно
  2. Текст согласия содержит все обязательные элементы по статье 9 ФЗ-152
  3. Есть техническое логирование даты, времени и версии текста согласия
  4. Предусмотрен удобный механизм отзыва согласия
  5. При отзыве согласия данные уничтожаются в течение 30 дней
  6. Для специальных категорий ПДн получена письменная форма согласия или УКЭП
  7. Аналитические и маркетинговые cookie не загружаются до принятия согласия
  8. Логи согласий хранятся не менее 3 лет