Согласие на обработку персональных данных: как оформить для сайта в 2026 году

1Когда согласие обязательно, а когда можно без него

Ошибка, которая встречается постоянно: оператор берёт согласие на всё подряд — на хранение данных, на отправку заказа, на email-рассылку — единым чекбоксом. Это неправильно сразу с двух сторон: там, где согласие не нужно, оно создаёт риски (субъект отзывает согласие — обработка прекращается); там, где оно нужно — один чекбокс «на всё» делает его юридически недействительным.

По 152-ФЗ согласие — лишь одно из нескольких оснований обработки (ст. 6). Оно нужно только тогда, когда нет другого применимого основания. По GDPR Art. 6 аналогичная логика: согласие (6(1)(a)) — один из шести lawful bases, и не самый удобный из них.

2Формы согласия: чекбокс, click-wrap, double opt-in, browse-wrap

Не все способы получить согласие юридически равноценны. РКН и европейские DPA выработали чёткую иерархию: чем активнее действие пользователя и чем лучше задокументировано, тем выше доказательная сила согласия в суде и при проверке.

3Новые требования РКН с 01.09.2025

С 1 сентября 2025 года вступили в силу поправки, изменившие требования к форме согласия на обработку персональных данных. Ключевое изменение: согласие должно быть оформлено как отдельный документ (или отдельный блок с чётко выраженным акцептом), а не как пункт в пользовательском соглашении или условиях оказания услуг. Вот что именно требует обновлённая позиция РКН.

• 1
  Отдельный документ или блок. Согласие не может быть «спрятано» в договор, пользовательское соглашение или общие условия. Оно оформляется как самостоятельный элемент с чётким заголовком «Согласие на обработку персональных данных». На практике: либо отдельная страница со ссылкой-чекбоксом, либо popup/modal с текстом согласия до начала сбора данных.
• 2
  Конкретные цели обработки. Не «в целях, предусмотренных законодательством», а конкретно: «для обработки вашей заявки», «для направления информации об акциях и новых продуктах», «для улучшения работы сервиса». Каждая цель — отдельной строкой. Если цели смешаны в одном согласии — при отзыве субъект может потребовать прекратить все виды обработки, включая те, что необходимы для оказания услуги.
• 3
  Перечень обрабатываемых данных. Явный список категорий: имя, email, телефон, IP-адрес, cookie. Для каждого поля формы — соответствие в тексте согласия. Нельзя писать «и иные данные» как catch-all.
• 4
  Перечень действий с данными. Какие именно операции разрешены: сбор, хранение, передача третьим лицам (с указанием категорий получателей), обезличивание. Если данные передаются — кому: «партнёрским сервисам аналитики» недостаточно, нужны категории получателей.
• 5
  Срок действия согласия. Конкретный срок (1 год, 3 года) или событие («до момента достижения указанных целей», «до отзыва согласия»). Бессрочное согласие без оговорки об отзыве — нарушение ст. 9 п.4. Рекомендовано: срок + оговорка «но не более [N] лет» + право отзыва в любой момент.
• 6
  Реквизиты оператора. В тексте согласия — полное наименование оператора и контакт для обращений. Субъект должен понимать, кому именно он даёт согласие, до нажатия кнопки.

4Три отдельных согласия: ПДн, рассылка, cookies

На типичном сайте с формой регистрации, email-рассылкой и Google Analytics нужны три юридически независимых согласия. Их нельзя объединять в один чекбокс — это прямо противоречит принципу specific (конкретность) и GDPR Recital 43 (bundled consent). Каждое согласие — отдельная цель, отдельный правовой объём, отдельная возможность отзыва.

На практике: форма регистрации с тремя чекбоксами (ПДн, рассылка — оба незаполненных по умолчанию) + отдельный cookie banner при входе на сайт. Это минимальная корректная конфигурация. «Один чекбокс на всё» — типичная ошибка, которую выявляет любая compliance-проверка.

5GDPR: четыре критерия действительного согласия

GDPR Art. 4(11) даёт чёткое определение: согласие — «свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта». Все четыре критерия обязательны одновременно. Отсутствие любого делает согласие недействительным — что означает отсутствие правового основания для обработки.

6Логирование согласий: что и как фиксировать

Логирование согласия — технический слой proof of consent. Без него оператор не может выполнить требование GDPR Art. 7(1) о доказательстве согласия и не может корректно обработать запрос субъекта об отзыве (нет привязки к конкретному согласию). По 152-ФЗ логирование прямо не предписано, но при судебном споре именно оператор доказывает факт согласия — без логов это невозможно.

{
  "consent_id": "c_8f4a2d",
  "user_email": "hash(user@example.com)",
  "timestamp": "2026-05-10T14:23:01Z",
  "ip_address": "195.x.x.x",
  "user_agent": "Mozilla/5.0 (Macintosh; Intel...)",
  "consent_type": "marketing",
  "text_version_hash": "sha256:a3f9...",
  "form_id": "registration_form_v3",
  "status": "granted",
  "expires_at": "2028-05-10T00:00:00Z"
}

7Отзыв согласия: механизм и сроки

Ст. 9 п.2 152-ФЗ и GDPR Art. 7(3) устанавливают одинаковый принцип: отозвать согласие должно быть так же легко, как его дать. Это не просто декларация — суды и DPA трактуют это буквально: если согласие давалось кнопкой на сайте, то и отозвать его должно быть возможно кнопкой на сайте. Требование «отправить письменное заявление» при электронной даче согласия — нарушение.

8Согласие несовершеннолетних

Если ваш продукт допускает регистрацию лиц младше 18 лет — это отдельный правовой режим с существенно более жёсткими требованиями. Ни одна юрисдикция не позволяет несовершеннолетнему самостоятельно давать полноценное согласие на обработку данных ниже порогового возраста. При отсутствии механизма верификации возраста весь трафик считается взрослым — но это не снимает ответственности, если фактически к сервису имеют доступ дети. Образовательные платформы сталкиваются с этим регулярно.

9Типичные ошибки

По аудитам форм согласия на российских и международных сайтах — типичная картина выглядит так: один чекбокс покрывает три разных согласия, лог не ведётся, механизм отзыва отсутствует или скрыт. Каждая из пяти ошибок ниже при проверке РКН или EU DPA — основание для предписания.

10Чек-лист: 8 пунктов для каждой формы на сайте

Пройдите этот чек-лист для каждой формы сбора данных на сайте: регистрация, обратная связь, checkout, подписка на рассылку.

• 1
  Чекбокс не отмечен по умолчанию. Пользователь ставит галочку сам. Для ПДн-согласия и рассылки — отдельные чекбоксы, оба пустые при загрузке формы.
• 2
  Текст согласия содержит все обязательные элементы. Наименование оператора, конкретные цели, перечень данных, перечень действий, срок, информация о праве отзыва. Рядом с чекбоксом — краткий summary + ссылка на полный текст.
• 3
  Согласие на рассылку отделено от согласия на ПДн. Два разных чекбокса, две разных цели, два разных лога. Пользователь может согласиться на обработку данных, не соглашаясь на рассылку.
• 4
  Cookie-согласие — отдельный баннер. Появляется при первом посещении, до загрузки нестрого необходимых cookies. Не в футере в виде неприметной ссылки, а заметный элемент с кнопками «Принять» и «Настроить».
• 5
  Логирование настроено. При каждой даче согласия фиксируется: timestamp UTC, user/email, IP, user-agent, ID версии текста согласия, тип согласия (pdp/marketing/cookies), ID формы.
• 6
  Версионирование текста согласия работает. Текст согласия имеет версию (hash или ID). При изменении — создаётся новая версия. Пользователи, давшие согласие на старую версию, получают уведомление и повторный запрос при необходимости.
• 7
  Механизм отзыва доступен и работает. Ссылка на отзыв: в личном кабинете → Настройки → Согласия; в каждом маркетинговом письме — кнопка «Отписаться»; для cookies — ссылка «Управление cookies» в footer.
• 8
  Несовершеннолетние исключены или соблюдён специальный режим. Форма регистрации содержит декларацию возраста. Если продукт для детей — верификация родительского согласия реализована технически, а не только задекларирована в политике.

?Частые вопросы