Как правильно оформить согласие на обработку персональных данных и избежать штрафов

22.01.2026

10 минут

Как правильно оформить согласие на обработку персональных данных и избежать штрафов

#клиентская база

#лучшие практики

Содержание

С 1 сентября 2025 года изменились правила, по которым компании получают согласие на обработку персональных данных. Теперь согласие нужно оформлять отдельным документом, иначе можно заплатить штраф до 1,5 млн рублей.

Рассказываем, как правильно составить согласие и дополнительно проверить его в Роскомнадзоре.

Что такое согласие на обработку персональных данных и зачем оно нужно

Согласие на обработку персональных данных — это документ, который подтверждает, что человек разрешает обрабатывать свою личную информацию. К персональным данным относятся сведения, которые позволяют узнать конкретного человека или однозначно определить, что это именно он. Например, фамилия, имя и отчество, номер телефона, адрес электронной почты, IP-адрес, куки-файлы.

Когда использовать. Разрешение нужно бизнесу в разных случаях: когда компания оформляет сотрудника на работу, оказывает медицинские услуги и так далее. Также без согласия не обойтись, если компания обрабатывает персональные данные для рекламы товаров или услуг. Например, собирает на сайте email-адреса для рассылки.

Получить согласие обязывает федеральный закон №152 «О персональных данных». Главная цель — сделать так, чтобы работа с личной информацией была законной и безопасной.

В чём польза для бизнеса. Не стоит воспринимать согласие на обработку персональных данных формально, как необходимость соблюдения закона. У документа есть и полезные для бизнеса функции: чёткие правила работы с ПДн снижают риск утечек и упрощают работу ответственных за них сотрудников. Также клиенты могут лояльнее относиться к компании, которая бережно хранит личную информацию и заботится о кибербезопасности.

Людям подписанное согласие даёт юридическую защиту: подтверждает право на конфиденциальность личной информации и помогает предотвратить случаи, когда личную информацию распространяют незаконно.

Когда бизнес обязан получить согласие на обработку персональных данных

Если компания обрабатывает персональные данные, она считается оператором и обязана запросить согласие у субъекта, которому они принадлежат. Таблица ниже поможет разобраться в терминах ↓

Термин	Что это значит	Пример
Персональные данные, или ПДн	Любая информация, которая позволяет идентифицировать субъект персональных данных	ФИО, паспортные данные, email, номер телефона
Субъект персональных данных	Физическое лицо, которому принадлежат ПДн	Пользователь сайта, сотрудник, пациент в клинике
Оператор	Организация или физлицо, которые обрабатывают ПДн и определяют, какие и для чего нужно собрать	Владелец сайта, компания-работодатель, частная клиника
Обработка персональных данных	Любые действия с ПДН	Персональные данные можно:собиратьзаписыватьсистематизироватьнакапливатьхранитьуточнятьизвлекатьиспользоватьпередаватьобезличиватьблокироватьудалятьуничтожать

Ситуации, когда требуется согласие. Его нужно получить, например, когда бизнес:

собирает данные пользователей, в том числе через форму регистрации, обратной связи, систему аналитики Яндекс Метрика, куки-файлы и прочее;
оформляет сотрудников на работу;
обрабатывает специальные категории персональных данных, такие как национальность, раса, религия;
работает с биометрическими данными, в том числе отпечатками пальцев, изображением лица.

В части 1 статьи 6 Закона описаны случаи, в которых персональные данные можно обрабатывать без согласия субъекта ПДН. Это ситуации, когда обработка ПДн нужна, чтобы:

достичь целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения функций, полномочий и обязанностей оператора;
обеспечить участие человека в судопроизводстве или исполнить судебный акт;
исполнить полномочия органов власти или государственных внебюджетных фондов;
исполнить или заключить договор, в котором участвует субъект ПДн, для этого пункта есть ограничения — они перечислены в пункте 5 части 1 Закона;
защитить жизнь, здоровье или иные жизненно важные интересы человека, если получение согласия невозможно;
осуществить права и законные интересы оператора или третьих лиц либо достичь общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
выполнить работу журналиста, СМИ, осуществить научную, литературную или другую творческую деятельность, если при этом не нарушаются права и законные интересы субъекта ПДн;
достичь статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 ФЗ, при условии обязательного обезличивания персональных данных.

Пример. Если компания для рассылок собирает имя и адрес электронной почты, организация будет оператором, а пользователи сайта, которые захотят оставить контакты, — субъектами ПДн.

Согласно 152-ФЗ, компания обязана получить согласие на обработку персональных данных. Проще всего это сделать через чекбокс с поясняющим текстом и ссылкой на документ.

Такие формы можно разработать на платформах для рассылки, например, в омниканальной СDP Sendsay. В системе есть отдельный инструмент, в котором можно гибко настраивать формы:

задавать расположение, добавлять эффекты и анимацию;
оформлять в фирменных цветах компании, менять текст и СТА;
настраивать шаблон письма с подтверждением подписки;
добавлять чекбоксы и получать сразу несколько согласий пользователя.

Узнать больше о формах в Sendsay →

Пример чекбокса в форме сбора контактов на сайте «Читай-города»

Как правильно оформить согласие на обработку ПДн

Ниже собрали требования к документу с учётом новых правил. Вот как правильно подготовить согласие ↓

Сделать самостоятельный документ, отдельный от других

По новым правилам, с 1 сентября 2025 года согласие нужно оформлять как отдельный документ. Если включить пункт в политику конфиденциальности, пользовательское соглашение или договор, это будет нарушением.

Изменения в законе помогают исключить случаи, когда человек подписывает контракт и не обращает внимания, что там есть пункт об обработке личной информации. Когда субъект ПДн даёт разрешение отдельно, можно установить, что он сделал это осознанно.

Для разных категорий субъектов ПДн нужно отдельное согласие, потому что персональные данные, цели их сбора и формат обработки могут различаться. Например, при устройстве на работу компания предлагает подписать одну форму согласия, а при регистрации на сайте — другую.

В согласии на обработку ПДн для соискателей организация указывает, что информация нужна для обработки резюме, связи с кандидатом, собеседования, запроса дополнительной информации и т. д. А для посетителей сайта — чтобы настраивать на пользователя показ рекламы, сообщать об акциях, скидках и спецпредложениях по телефону и электронной почте.

Цели обработки ПДн в согласии на сайте Wildberries

Политика конфиденциальности, пользовательское соглашение и согласие на обработку персональных данных — разные документы. У пользователя должна быть возможность прочитать отдельно каждый из них и отметить, что он ознакомился или согласился с нужным документом.

Политика конфиденциальности объясняет, как бизнес работает с персональными данными, для каких целей они нужны, как компания их защищает. Это своего рода декларация, которую оператор обязан опубликовать на своём сайте, если собирает информацию через интернет.

Пользовательское соглашение регламентирует правила работы с ресурсом. Это публичный договор с посетителем, где указаны нюансы взаимодействия пользователя с сайтом. Например, как происходит регистрация, какие действия можно совершать, за кем остаётся право на контент. Раздел о работе с персональными данными в нём тоже есть, он может содержать ссылку на политику конфиденциальности.

Согласие на обработку персональных данных — документ от первого лица. Через него человек подтверждает, что согласен передать свои персональные данные на обработку.

Согласие на сайте «Движение первых»

Оформить в свободной форме

Единого образца нет — каждая компания составляет свой документ, в зависимости от целей и категорий ПДн, которые будет обрабатывать.

По 152-ФЗ документ может быть в любом формате, главное, чтобы компания в любой момент могла подтвердить, что получила согласие. Если Роскомнадзор или другое ведомство попросит доказать, что субъект ПДн дал согласие на обработку персональных данных, оператор обязан показать реестр или другой источник, где хранится разрешение.

В помощь бизнесу на сайте Роскомнадзора есть образец и конструктор, который поможет составить согласие на обработку ПДн. Чтобы заполнить шаблон, нужно авторизоваться через Госуслуги. Потом можно выслать текст на проверку в ведомство.

Так выглядит форма на сайте Роскомнадзора, по которой можно правильно составить согласие на обработку ПДн

Получить подпись в электронном виде или на бумаге

В законе однозначно не указано, как подписывать согласие, — в интернете или на бумаге. Это определяет сама компания. Физическую подпись можно получить, если человек приходит лично, согласие в электронном формате — на сайте.

Образец чекбокса в лид-форме на сайте Яндекса

Однако есть исключения: иногда человек должен дать согласие письменно, с личной подписью — обычной или электронной. Это случаи, когда компания:

Добавляет персональные данные в источник, к которому есть общий доступ. Например, у бизнеса есть электронная база сотрудников с указанием даты рождения, которую видит весь персонал. Тогда каждый из команды должен письменно дать разрешение добавить информацию в базу.
Получает персональные данные специальных категорий: о расе, национальности, политических, религиозных и философских взглядах, состоянии здоровья и интимной жизни. Это специальная категория ПДн, поэтому каждый участник исследования должен дать письменное согласие. Например, клиника собирает данные об аллергии и хронических заболеваниях через опрос.
Обрабатывает биометрические данные. У Сбера есть сервис «Плати улыбкой», который работает через биометрию — позволяет оплатить покупку с помощью лица. Для этого пользователи дают письменное согласие корпорации.

Включить в текст согласия обязательные пункты

Требования к содержанию документа перечислены в приказе Роскомнадзора. Текст должен содержать:

Фамилию, имя и отчество субъекта ПДн.
Номер телефона, email- или почтовый адрес владельца персональных данных.
Сведения об операторе. Если это организация — название, адрес из ЕГРЮЛ, ИНН, ОГРН. Если ИП — фамилия, имя и отчество, ИНН, ОГРН.
Адрес сайта, через который будет происходить обработка персональных данных.
Цели, для которых нужны ПДн.
Список персональных данных, которые человек разрешает использовать.
Срок, в течение которого действует согласие.
Условия передачи ПДн и запрет на конкретные категории данных — эти пункты человек может заполнить по желанию.

Пример согласия на сайте «Россельхозбанка»

Если компания планирует передавать информацию третьим лицам, человеку нужно подписать два отдельных документа: согласие на обработку персональных данных и согласие на их передачу. В тексте указывают:

как называются организации, которым будут предоставлять информацию;
с какой целью оператор будет передавать данные;
что третьи лица могут с ними делать;
на каких условиях и какие есть ограничения.

Девелопер ТСИ указывает в документе названия компаний, которым планирует передавать персональные данные

Как получить согласие на сайте

Составить текст согласия о работе с ПДн клиентов. Если компания будет передавать данные третьим лицам, нужно подготовить отдельный документ.
Разместить в открытом доступе на своём сайте. Удобнее всего это сделать в подвале ресурса, чтобы документы было видно на любой странице.
Определить, где будет храниться база данных с согласиями. По закону компания обязана доказать, что получила разрешение на обработку ПДн, поэтому согласия нужно хранить в одном месте. Это может быть электронная таблица или CRM-система.
Настроить работу с персональными данными внутри компании. Нужно определить ответственных и объяснить, как правильно обрабатывать и хранить личную информацию по пунктам политики конфиденциальности и других документов.
Добавить пустой чекбокс в каждую форму, где пользователь вводит персональные данные. Если личную информацию вводить не надо, согласие можно получить через кнопку на всплывающем баннере. Например, когда сайт собирает куки-файлы и данные для Яндекс Метрики.

Девелопер ТСИ добавил в один чекбокс два согласия и дал отдельные ссылки на каждое

Что ещё нужно учесть, когда бизнес получает согласие на обработку ПДн

Если компания передаёт данные третьим лицам, нужно отдельное согласие. В бизнесе это нередкая ситуация: например, сервис доставки сообщает адрес и телефон покупателя курьеру или банк отсылает базу в кол-центр на аутсорсе.

Отдельное согласие нужно, когда сайт собирает данные через Яндекс Метрику и другие системы веб-аналитики. Получается, что информация о действиях на сайте конкретного человека поступает сторонней компании — это требует отдельного согласия.

Автодилер «LADA на Производственной» берёт у пользователей отдельное согласие на обработку данных через Яндекс Метрику

У человека должно оставаться право не подписывать согласие. Если компания не даёт работать с сервисом, пока человек не поставит галочку в чекбоксе, это нарушение. Так бизнес лишает пользователя права выбора. Закон 152-ФЗ говорит, что человек должен дать согласие «свободно, своей волей и в своём интересе» — ограничивать его нельзя.

Есть важное исключение: иногда нельзя оказать услугу без обработки персональных данных. Например, при покупке авиабилета нужно указать личную информацию. Если человек не даст согласие на обработку ПДн, ему не продадут билет.

Пользователь может отозвать согласие в любой момент. Федеральный закон предусматривает такое право. Если человек отзывает разрешение, оператор обязан сразу прекратить обработку персональных данных, кроме особых случаев: например, когда это нужно для работы суда или органов власти.

Что будет, если работать с персональными данными без согласия

Статья 13.11 Кодекса об административных нарушениях предусматривает штрафы для тех, кто нарушает законодательство о персональных данных, в том числе обрабатывает личную информацию без разрешения. Размер штрафов на ноябрь 2025 года ↓

Факты нарушений устанавливает Роскомнадзор РФ: ведомство проводит проверки по жалобам граждан или через автоматическую систему мониторинга.

Коротко о согласии на обработку персональных данных

В таблице — примеры, как правильно и неправильно оформлять согласие на обработку ПДн. Это поможет не допустить ошибок.

✅ Правильно	❌ Неправильно
Отдельный документ в электронном или бумажном виде	Пункт в договоре, пользовательском соглашении или другом документе
Человек имеет право отказаться от подписания	Человек не может работать с сайтом, пока не поставит галочку в чекбоксе
Пользователь подписывает отдельное согласие, если компания передаёт данные третьим лицам	Организация делает общее согласие на обработку и передачу данных третьим лицам
Человек письменно подписывает согласие в особых случаях: компания размещает ПДн в общем доступе, например, в корпоративном справочнике;организация собирает биометрические данные или информацию специальных категорий.	Компания не запрашивает личную или электронную подпись, когда этого требует закон. Например, при обработке специальных данных по типу национальности, расы или состояния здоровья. Вместо этого ограничивается обычным согласием.
В тексте согласия есть все пункты по приказу Роскомнадзора	В тексте не хватает одного или нескольких обязательных пунктов