Что такое согласие на обработку персональных данных
Согласие на обработку персональных данных (ПДн) — это добровольное, конкретное, информированное и однозначное волеизъявление субъекта данных, которым он разрешает оператору собирать, хранить и использовать информацию о нём. Такое согласие обязательно в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», и без него любая обработка данных посетителей вашего сайта незаконна.
Роскомнадзор (РКН) активно проверяет сайты с 2022 года: штрафы за нарушения ФЗ-152 для организаций достигают 300 000 рублей за каждый эпизод, а повторные нарушения могут повлечь уголовную ответственность. Именно поэтому правильно оформленное согласие — не формальность, а защита бизнеса.
Какие данные требуют согласия
По умолчанию согласие нужно для любой обработки персональных данных. Практически это означает:
- Формы обратной связи — имя, телефон, email посетителя
- Регистрация на сайте — создание аккаунта с личными данными
- Заявки и заказы — контактные данные для обработки
- Email-рассылки — передача данных почтовому сервису, маркетинговая обработка
- Аналитика — cookie, IP-адреса, поведенческие данные (через сервисы Яндекс.Метрика, Google Analytics и т.д.)
- Биометрические данные — фотографии, если ими идентифицируют человека
- Специальные категории — здоровье, национальность, политические взгляды — требуют отдельного усиленного согласия
Исключение: данные, необходимые для исполнения договора (имя и адрес для доставки), могут обрабатываться без отдельного согласия на основании договора (ст. 6 ФЗ-152).
Обязательные элементы согласия по ФЗ-152
Статья 9 ФЗ-152 устанавливает перечень сведений, которые должны содержаться в согласии:
- ФИО, адрес субъекта (или его представителя и документ, подтверждающий полномочия)
- Наименование и адрес оператора — то есть вашей компании или ИП
- Цель обработки персональных данных — конкретно (не «улучшение сервиса», а «обработка обращений пользователей, направление ответов на запросы»)
- Перечень персональных данных — что именно вы собираете (ФИО, телефон, email и т.д.)
- Перечень действий — что вы делаете с данными (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение)
- Срок действия согласия и способ его отзыва
- Подпись субъекта (для бумажной формы) или аналог для электронной
Образец текста согласия для сайта
Для формы обратной связи текст согласия обычно выглядит так:
«Нажимая кнопку "Отправить", я даю согласие ООО "Название компании" (ИНН: 000000000000, адрес: г. Москва, ул. Примерная, д. 1) на обработку указанных мною персональных данных (ФИО, адрес электронной почты, номер телефона) в целях обработки моего обращения и направления ответа. Обработка осуществляется путём сбора, записи, систематизации, хранения, использования и удаления персональных данных. Данное согласие действует до его отзыва. Я вправе отозвать согласие, направив уведомление на адрес: info@example.ru. Подтверждаю, что ознакомлен(а) с Политикой обработки персональных данных.»
Как технически реализовать согласие на сайте
Существует несколько допустимых форматов согласия в электронном виде:
Чекбокс рядом с формой
Наиболее распространённый и надёжный способ. Требования: чекбокс не должен быть предварительно отмечен (pre-checked), текст рядом должен содержать ссылку на политику конфиденциальности, кнопка отправки должна быть неактивна до отметки чекбокса.
Кликабельное согласие
Текст «Нажимая кнопку X, вы соглашаетесь...» — юридически менее надёжный способ, поскольку труднее доказать факт ознакомления. РКН в своих разъяснениях 2023–2024 годов рекомендует чекбокс как предпочтительный вариант.
Хранение доказательств согласия
Оператор обязан хранить подтверждение согласия. Для веб-форм это означает фиксацию: дата и время заполнения формы, IP-адрес, версия текста согласия в момент отправки. Без этого доказать факт получения согласия при проверке невозможно.
Типичные ошибки и как их избежать
- Размытые цели обработки: «в маркетинговых целях» вместо конкретного «направление информационной рассылки по продуктам компании»
- Неполный перечень данных: в согласии написано «email», но форма собирает ещё имя и телефон
- Нет способа отзыва: требования ФЗ-152 предполагают простой механизм отзыва — укажите email или форму
- Предварительно отмеченный чекбокс: прямо запрещено — согласие должно быть активным действием
- Один чекбокс на всё: маркетинговые рассылки и обработка обращения требуют раздельных согласий
- Истёкшая версия текста: если политика обновилась, но форма содержит старую версию согласия — нарушение
Как автоматически проверить наличие и качество согласий
Проверка вручную требует времени и знания технических требований. SitePravo автоматически анализирует:
- Наличие чекбокса согласия на каждой форме сбора данных
- Текст согласия — содержит ли обязательные элементы ФЗ-152
- Наличие ссылки на политику конфиденциальности
- Признаки pre-checked состояния (нарушение)
- Раздельность маркетингового и базового согласия
Часто задаваемые вопросы
Нужно ли согласие для cookie?
Да, если cookie содержат персональные данные или используются для профилирования. Аналитические и маркетинговые cookie требуют отдельного согласия, отличного от согласия на обработку данных в формах.
Сколько лет хранить согласие?
ФЗ-152 не устанавливает конкретный срок. Рекомендуется хранить не менее 3 лет (срок исковой давности) после прекращения обработки данных.
Нужно ли согласие B2B клиентов?
Если вы обрабатываете данные физических лиц-контрагентов или сотрудников контрагентов — да. Данные юридического лица (ИНН, юрадрес) персональными данными не являются.