Согласие на обработку персональных данных 2026: как составить, шаблоны, штрафы

Зачем нужно согласие и что будет без него

Меня зовут Чимитдоржи Дарижапов, я провожу аудиты соответствия 152-ФЗ для малого и среднего бизнеса. За последние два года я проверил больше тридцати компаний — от интернет-магазинов до медцентров — и почти везде вижу одну ошибку: согласие на обработку ПД оформлено формально, «для галочки», и на деле не защищает компанию ни от Роскомнадзора, ни от иска субъекта.

Начнём с базы. По ч. 1 ст. 6 Федерального закона № 152-ФЗ «О персональных данных» обработка ПД допускается только при наличии хотя бы одного законного основания. Согласие субъекта — лишь одно из них, причём первое в перечне. Есть и другие: исполнение договора, стороной которого является субъект; выполнение требований закона; защита жизни и здоровья. Но на практике для большинства бизнес-сценариев — рассылки, реклама, маркетинг, передача данных партнёрам — единственным реальным основанием остаётся именно согласие.

Что значит «обработка»? По ст. 3 152-ФЗ это любое действие с персональными данными: сбор, запись, систематизация, хранение, уточнение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. То есть если вы просто записали телефон клиента в CRM — вы уже обрабатываете ПД, и вам нужно основание.

Если основания нет — обработка незаконна. И последствия делятся на три плоскости. Первая — административная ответственность: штрафы по ст. 13.11 КоАП, которые с мая 2025 года выросли в разы. Вторая — гражданско-правовая: субъект вправе требовать компенсацию морального вреда (ст. 24 152-ФЗ), причём с 2024 года суды стали присуждать реальные суммы, а не символические рубли. Третья — репутационная: предписание Роскомнадзора, публикация в реестре нарушителей, блокировка ресурса при систематических нарушениях.

Отдельно подчеркну: бремя доказывания наличия согласия лежит на операторе (ч. 3 ст. 9 152-ФЗ). Это значит, что если дело дойдёт до проверки или суда, именно вы должны предъявить доказательство, что субъект дал согласие. Устные договорённости и «он же сам оставил телефон» не работают.

Виды согласий: какие бывают и зачем

На практике одна компания почти никогда не обходится одним согласием. Разные цели обработки требуют разных согласий — это и есть принцип конкретности из ст. 9.

Общее согласие на обработку ПД. Базовый документ для целей, связанных с основной деятельностью: регистрация на сайте, оформление заказа, ведение клиентской базы, исполнение договора. Здесь перечисляются обычные категории данных — ФИО, телефон, email, адрес.

Согласие на получение рекламы и маркетинговых рассылок. Отдельное основание, вытекающее не только из 152-ФЗ, но и из ст. 18 Федерального закона № 38-ФЗ «О рекламе». Реклама по сетям электросвязи (SMS, email, мессенджеры, звонки) допускается только при предварительном согласии абонента. Это согласие нельзя «зашить» в согласие на обработку для исполнения договора — это разные цели.

Согласие на трансграничную передачу. Если вы передаёте данные на серверы или партнёрам за пределами РФ (зарубежный хостинг, аналитика, CRM), применяется ст. 12 152-ФЗ. С марта 2023 года действует разрешительный порядок: оператор обязан уведомить Роскомнадзор о намерении трансграничной передачи, а для стран, не обеспечивающих адекватную защиту, требуется отдельное письменное согласие субъекта.

Согласие на обработку специальных категорий ПД. Это данные о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (ст. 10 152-ФЗ). По общему правилу их обработка запрещена, а исключение — письменное согласие субъекта. Актуально для медцентров, фитнес-клубов, HR.

Согласие на обработку биометрических ПД. Биометрия (отпечатки, скан лица, голос, используемые для установления личности) по ст. 11 152-ФЗ обрабатывается только при письменном согласии. С 2023 года добавилась обязанность размещать такие данные в Единой биометрической системе (ФЗ-572). Это самая «тяжёлая» категория по требованиям.

Обязательные элементы согласия по ст. 9 152-ФЗ

Это самый важный раздел, потому что именно здесь чаще всего «сыпется» бизнес. Часть 4 ст. 9 152-ФЗ устанавливает закрытый перечень сведений, которые согласие должно содержать. Если хотя бы одного пункта нет — согласие считается ненадлежащим, а обработка — незаконной.

Перечислю обязательные элементы дословно по закону, с моими комментариями:

1. Фамилия, имя, отчество, адрес субъекта, реквизиты документа, удостоверяющего личность. Для онлайн-согласий вместо паспортных данных допустимо использовать идентификаторы, по которым можно установить субъекта (email, телефон, аккаунт), — это закреплено в практике Роскомнадзора, но для письменных согласий нужны полные реквизиты.

2. Наименование/ФИО и адрес оператора, получающего согласие. Указывается полное наименование юрлица или ФИО ИП, ОГРН/ОГРНИП, юридический адрес.

3. Цель обработки персональных данных. Цель должна быть конкретной. «Для улучшения сервиса» или «в маркетинговых целях» — недопустимо размыто. Правильно: «для оформления и доставки заказа», «для направления рекламных рассылок о товарах оператора».

4. Перечень персональных данных, на обработку которых даётся согласие. Конкретный список: ФИО, телефон, email, адрес доставки. Нельзя писать «и иные данные».

5. Наименование/ФИО и адрес лица, осуществляющего обработку по поручению оператора. Если вы передаёте обработку подрядчику (облачная CRM, колл-центр, хостинг), его нужно указать.

6. Перечень действий с ПД и способы обработки. Сбор, хранение, использование, передача; с использованием средств автоматизации или без.

7. Срок действия согласия и способ его отзыва. Срок может быть привязан к достижению цели или к конкретной дате. Способ отзыва должен быть реальным и описанным (например, письмо на email или почтовый адрес оператора).

Кроме того, согласие должно отвечать трём признакам качества (ч. 1 ст. 9): быть конкретным (привязано к чётким целям), предметным, информированным и сознательным (субъект понимает, на что соглашается) и даваться свободно, своей волей и в своём интересе. Согласие, навязанное под угрозой отказа в услуге, которая не требует этих данных, — недействительно.

Когда нужно письменное согласие (ст. 9 ч. 4)

Здесь важно не путать две вещи: «согласие в письменной форме» и «согласие, оформленное письменно». По общему правилу согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, — в том числе через чекбокс на сайте. Но в ряде случаев закон прямо требует именно письменной формы.

Письменное согласие обязательно в следующих случаях:

Обработка специальных категорий ПД (ст. 10) — данные о здоровье, национальности, религиозных убеждениях. Например, медцентр обязан брать письменное согласие на обработку диагнозов.

Обработка биометрических ПД (ст. 11) — скан лица для пропускной системы, отпечаток для оплаты.

Трансграничная передача в страны без адекватной защиты (ст. 12) — отдельное письменное согласие.

Принятие решений на основании исключительно автоматизированной обработки (ст. 16) — например, автоматический отказ в кредите без участия человека.

Важный нюанс: «письменное согласие» в смысле 152-ФЗ — это не обязательно бумага с ручкой. Согласно ч. 4 ст. 9, письменное согласие может быть равнозначно подписано электронной подписью. То есть согласие, подписанное усиленной квалифицированной или простой электронной подписью (если она позволяет идентифицировать подписанта), считается письменным. Чекбокс на сайте письменной формой не является, поэтому для биометрии и спецкатегорий простой галочки недостаточно.

Согласие на распространение ПД (ст. 10.1)

С 1 марта 2021 года в 152-ФЗ появилась статья 10.1 — «Особенности обработки персональных данных, разрешённых субъектом для распространения». Это одно из самых недооценённых нововведений, и его регулярно нарушают.

Что такое распространение? Это передача данных неопределённому кругу лиц: публикация отзыва с ФИО клиента на сайте, размещение фото сотрудника в открытом разделе, публикация списка победителей конкурса. Раньше это покрывалось общим согласием. Теперь — нет.

Ключевое правило ст. 10.1: согласие на распространение оформляется отдельно от иных согласий. Его нельзя объединять с согласием на обработку. Более того, ч. 4 ст. 10.1 прямо запрещает молчание или бездействие субъекта считать согласием на распространение. То есть преформленная галочка «согласен на публикацию» недопустима — субъект должен совершить активное действие именно по этому согласию.

В согласии на распространение субъект вправе установить запреты и условия: например, разрешить публикацию ФИО, но запретить публикацию телефона; разрешить передачу только определённым лицам. Оператор обязан эти условия соблюдать.

Ещё одно требование: оператор обязан в течение трёх рабочих дней опубликовать информацию об условиях обработки и о наличии запретов и условий, установленных субъектом. На практике для большинства малого бизнеса проще вообще не публиковать ПД клиентов без острой необходимости, чем выстраивать всю эту машинерию.

Согласие на сайте: чекбокс, всплывающее окно, политика

Самый частый сценарий в моей практике — согласие на сайте. Здесь больше всего мифов и ошибок, поэтому разберу детально.

Юридически согласие на сайте оформляется через связку из трёх элементов:

Политика обработки персональных данных. Это публичный документ, который по ст. 18.1 152-ФЗ оператор обязан опубликовать в свободном доступе (отдельная страница, ссылка в подвале сайта). В ней описываются цели, категории данных, сроки, права субъектов. Сама по себе политика — не согласие, а информирование.

Чекбокс рядом с формой. Возле каждой формы сбора данных (заявка, подписка, регистрация) размещается чекбокс с текстом вида: «Я даю согласие на обработку моих персональных данных и принимаю условия Политики». Чекбокс должен быть не отмечен по умолчанию — субъект ставит галочку сам. Это критично.

Текст согласия (или ссылка на него). Возле чекбокса даётся ссылка на полный текст согласия со всеми обязательными элементами ст. 9. В тексте чекбокса должны быть указаны как минимум цель и ссылка на полное согласие и политику.

Технически важно сохранять доказательство получения согласия: дата и время, IP-адрес, версия текста согласия, на которую кликнул пользователь, и сам факт проставления галочки. Это и есть выполнение требования ч. 3 ст. 9 о бремени доказывания.

// Пример: фиксация согласия на сервере (Node.js / Express)
app.post("/api/lead", async (req, res) => {
  const { name, phone, email, consentChecked } = req.body;

  // Согласие должно быть подтверждено активным действием
  if (!consentChecked) {
    return res.status(400).json({
      error: "Необходимо согласие на обработку персональных данных",
    });
  }

  // Сохраняем ДОКАЗАТЕЛЬСТВО согласия (ч. 3 ст. 9 152-ФЗ)
  await db.consents.insert({
    subject_id: email,
    purpose: "обработка заявки и связь с клиентом",
    consent_text_version: "v2026-01",   // версия текста согласия
    given_at: new Date().toISOString(),
    ip_address: req.ip,
    user_agent: req.headers["user-agent"],
    data_categories: ["ФИО", "телефон", "email"],
  });

  await db.leads.insert({ name, phone, email });
  res.json({ ok: true });
});

Отдельно про cookies и веб-аналитику. Технические идентификаторы (cookie, данные счётчиков), позволяющие выделить конкретного человека, Роскомнадзор всё чаще трактует как ПД. Поэтому всплывающий баннер о cookies с возможностью отказа — не блажь, а движение в сторону compliance. Реклама и ремаркетинг по cookie требуют отдельного согласия на маркетинговые цели.

Топ ошибок при оформлении согласия

За тридцать с лишним аудитов я собрал устойчивый список ошибок, которые встречаются почти у каждого. Вот самые опасные.

Ошибка 1: преформленная (заранее отмеченная) галочка. Чекбокс «согласен» стоит отмеченным по умолчанию. Это нарушение принципа сознательности (ч. 1 ст. 9): субъект не совершил активного действия. Роскомнадзор считает такое согласие непредоставленным.

Ошибка 2: «согласие на всё». Один чекбокс охватывает и обработку для договора, и рекламу, и передачу партнёрам, и публикацию. Это прямое нарушение принципа конкретности. Цели должны быть разделены, а на рекламу и распространение — отдельные согласия.

Ошибка 3: отсутствие цели или размытая цель. «В целях, предусмотренных деятельностью компании» — недопустимо. Цель должна быть конкретной и понятной субъекту.

Ошибка 4: навязывание согласия. Форма не отправляется без согласия на рекламу, хотя реклама не нужна для оказания услуги. Согласие на рассылку должно быть добровольным и не блокировать основную услугу.

Ошибка 5: нет способа отзыва. В согласии не указано, как его отозвать, или указан нерабочий канал. Это нарушение п. 7 ч. 4 ст. 9.

Ошибка 6: данные собираются избыточно. Для подписки на новости запрашивают паспорт. По ст. 5 152-ФЗ объём данных должен соответствовать цели. Избыточный сбор — самостоятельное нарушение.

Ошибка 7: нет доказательства согласия. Галочка есть, но факт её проставления нигде не сохраняется. При проверке оператору нечего предъявить.

Право на отзыв согласия и как его обеспечить

Часть 2 ст. 9 152-ФЗ закрепляет безусловное право субъекта отозвать согласие в любой момент. Это не право «попросить» — это право, которое оператор обязан реализовать. Никаких «отзыв возможен только через 30 дней после предоставления» или «при условии оплаты» быть не может.

Чтобы обеспечить право на отзыв, оператор должен:

Во-первых, указать в согласии и в политике реальный канал отзыва — email, почтовый адрес, форму на сайте. Канал должен работать, а обращения по нему — обрабатываться.

Во-вторых, после получения отзыва прекратить обработку. Здесь есть нюанс: оператор вправе продолжить обработку без согласия, если есть иное законное основание (ч. 2 ст. 9). Например, если данные нужны для исполнения уже заключённого договора или для соблюдения требований закона (бухучёт, налоговая отчётность). Но обработку для целей, которые держались исключительно на согласии (например, рассылки), нужно прекратить немедленно.

В-третьих, документировать факт отзыва: когда поступил, по какому каналу, какие действия предприняты. Это снова про бремя доказывания.

На практике я рекомендую завести простой реестр обращений субъектов, где фиксируются отзывы согласий, запросы на уточнение и удаление, и сроки реагирования. По ст. 21 152-ФЗ на блокирование/уточнение данных у оператора есть короткие сроки, и без учёта их легко пропустить.

Срок хранения и уничтожение после отзыва

Принцип ограничения срока хранения закреплён в ч. 7 ст. 5 152-ФЗ: данные хранятся не дольше, чем требует цель обработки, после чего подлежат уничтожению или обезличиванию (если иное не предусмотрено законом).

Ключевой срок, который нужно запомнить: после достижения цели обработки или в случае отзыва согласия оператор обязан прекратить обработку и уничтожить ПД в срок, не превышающий 30 дней с даты достижения цели или отзыва (ст. 21 152-ФЗ), если иное не предусмотрено законом или договором.

Отдельно стоит держать в голове сроки, установленные другими законами, которые «перебивают» отзыв согласия:

Важно: с 1 сентября 2022 года при уничтожении ПД оператор обязан составлять акт об уничтожении и фиксировать факт уничтожения (требования утверждены приказом Роскомнадзора). Для автоматизированного уничтожения нужна выгрузка из журнала, для материальных носителей — акт с указанием способа уничтожения. Просто «удалить из базы» без документирования — недостаточно.

Штрафы 2026: новые суммы по ФЗ-420

Это раздел, ради которого многие открывают статью. С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ, который радикально ужесточил ответственность по ст. 13.11 КоАП РФ. Штрафы выросли в разы, а за утечки появились оборотные штрафы. Привожу актуальные суммы для юридических лиц.

Обработка ПД без согласия (когда согласие требуется) или с нарушением требований к его форме. Для юрлиц — от 300 000 до 700 000 ₽. При повторном нарушении — от 1 000 000 до 1 500 000 ₽.

Неопубликование или необеспечение доступа к политике обработки ПД. Для юрлиц — от 30 000 до 60 000 ₽ (выросло с прежних 30–50 тыс.).

Невыполнение обязанности по уведомлению Роскомнадзора об обработке ПД. С сентября 2024 года уведомление обязательно практически для всех операторов; штраф для юрлиц — от 100 000 до 300 000 ₽.

Самое серьёзное — ответственность за утечку (неправомерную передачу) персональных данных. Здесь появилась принципиально новая конструкция оборотных штрафов:

Поясню логику. За первую утечку — фиксированный штраф в зависимости от количества пострадавших субъектов (от 3 до 15 млн ₽). За повторную утечку включается оборотный штраф: от 1 до 3 процентов совокупной годовой выручки компании за предыдущий год, но в коридоре от 20 до 500 млн ₽. Это уже не «расходы на штраф», а угроза существованию бизнеса.

Есть и смягчающее обстоятельство, введённое тем же ФЗ-420: если оператор в предшествующие три года потратил на меры защиты информации значимые суммы и подтверждённо инвестировал в безопасность, при первой утечке возможен пониженный штраф. То есть документально подтверждённые расходы на ИБ теперь напрямую снижают риск. Это сильный аргумент в пользу того, чтобы привести защиту данных в порядок заранее.

И ещё: с декабря 2024 года за утечки появилась уголовная ответственность (ст. 272.1 УК РФ) — за незаконные сбор, хранение и использование ПД, полученных неправомерно. Для ответственных лиц это уже не штраф, а лишение свободы.

Готовый шаблон согласия

Привожу базовый шаблон общего согласия на обработку ПД, который содержит все обязательные элементы ст. 9. Это образец — его нужно адаптировать под ваши реальные цели, данные и реквизиты. Под рекламу и распространение делаются отдельные документы.

СОГЛАСИЕ
на обработку персональных данных

Я, ________________________________ (ФИО полностью),
проживающий(ая) по адресу: _______________________________,
паспорт серия ____ № __________, выдан _________________________,
(для онлайн-форм: email/телефон как идентификатор субъекта),

в соответствии со ст. 9 Федерального закона от 27.07.2006
№ 152-ФЗ «О персональных данных» свободно, своей волей и в своём
интересе даю согласие

оператору: ООО «________», ОГРН ____________,
адрес: _______________________________,

на обработку моих персональных данных в следующих целях:
— оформление и исполнение заказа;
— связь со мной по вопросам заказа и обслуживания.

Перечень персональных данных, на обработку которых даётся согласие:
— фамилия, имя, отчество;
— контактный телефон;
— адрес электронной почты;
— адрес доставки.

Перечень действий с персональными данными: сбор, запись,
систематизация, хранение, уточнение, использование, передача
(предоставление лицу, осуществляющему обработку по поручению),
блокирование, удаление, уничтожение.

Способы обработки: с использованием средств автоматизации
и без использования таковых.

Обработка по поручению оператора осуществляется:
________________________ (наименование, адрес — если применимо).

Срок действия согласия: до достижения целей обработки либо
до отзыва согласия.

Согласие может быть отозвано путём направления письменного
заявления на адрес оператора или на email: __________________.

«___» __________ 20__ г.       Подпись: ________ / ________ /

Для согласия на распространение (ст. 10.1) делается отдельный документ, где субъект отдельно отмечает категории данных, разрешённые к распространению, и вправе указать запреты и условия. Объединять его с этим шаблоном нельзя.

Чек-лист проверки своего согласия

Пройдитесь по своему текущему согласию с этим списком. Каждый пункт — это потенциальное основание для штрафа, если он не выполнен.

Указаны все обязательные элементы ст. 9: данные субъекта, реквизиты оператора, цель, перечень ПД, перечень действий, способы обработки, срок, способ отзыва.

Цель обработки конкретна, а не размыта («для улучшения сервиса» — недопустимо).

Перечень собираемых данных не избыточен и соответствует цели (ст. 5).

На сайте чекбокс согласия не отмечен по умолчанию — субъект ставит галочку сам.

Согласие на рекламу/рассылки оформлено отдельно от согласия на обработку для договора.

Согласие на распространение ПД (если оно есть) — отдельный документ, без преформленных галочек.

Для биометрии и спецкатегорий используется письменная форма (или электронная подпись), а не чекбокс.

Указан реальный, работающий способ отзыва согласия.

Настроена техническая фиксация факта согласия (дата, время, IP, версия текста).

Опубликована Политика обработки ПД в свободном доступе (ст. 18.1).

Подано уведомление в Роскомнадзор об обработке ПД.

Определены сроки хранения и порядок уничтожения с составлением акта.

Если у вас не отмечено хотя бы три пункта — стоит провести полный аудит. Подробнее про комплексную проверку — в моей статье об аудите соответствия 152-ФЗ.

FAQ

Можно ли использовать одно согласие на все цели сразу? Нет. Принцип конкретности (ст. 9) требует разделения целей. На рекламу и распространение — обязательно отдельные согласия.

Достаточно ли чекбокса на сайте? Для обычных ПД — да, если чекбокс не отмечен по умолчанию, рядом есть текст и ссылка на полное согласие, а факт фиксируется. Для биометрии и спецкатегорий — нет, нужна письменная форма.

Нужно ли согласие, если данные нужны для исполнения договора? Для самого исполнения договора согласие не требуется — основанием служит п. 5 ч. 1 ст. 6. Но для рекламы и иных целей сверх договора согласие нужно.

Что делать, если субъект отозвал согласие, а данные нужны для бухучёта? Прекратить обработку для целей, державшихся на согласии (рассылки), но сохранить данные, требуемые законом (402-ФЗ, НК РФ), на установленные сроки.

Считаются ли cookies персональными данными? Идентификаторы, позволяющие выделить конкретного человека, Роскомнадзор всё чаще трактует как ПД. Безопаснее предусмотреть баннер с возможностью отказа и отдельное согласие на маркетинговые cookie.

Обязательно ли уведомлять Роскомнадзор? С сентября 2024 года уведомление обязательно практически для всех операторов, прежние исключения почти отменены. Неуведомление — штраф до 300 тыс. ₽ для юрлиц.

Можно ли хранить согласия только в электронном виде? Да, если обеспечена доказуемость: версия текста, дата, идентификатор субъекта, факт активного действия. Для письменных согласий — электронная подпись.

Грозит ли штраф ИП так же, как юрлицу? Суммы для ИП и должностных лиц ниже, чем для юрлиц, но по ряду составов ИП приравнен к юрлицу. Оборотные штрафы за утечки применяются к юрлицам.

Выводы

Согласие на обработку персональных данных — это не формальность, а полноценный юридический инструмент защиты бизнеса. После реформы 2025 года цена ошибки выросла в разы: за обработку без согласия юрлицо рискует суммой до 1,5 млн ₽ при повторе, а за утечку — оборотным штрафом до 500 млн ₽ и уголовной ответственностью для ответственных лиц.

Хорошая новость в том, что привести согласия в порядок — задача понятная и решаемая. Нужно: разделить цели и сделать отдельные согласия (общее, на рекламу, на распространение); включить в каждое все обязательные элементы ст. 9; убрать преформленные галочки; настроить техническую фиксацию факта согласия; обеспечить реальный отзыв и документированное уничтожение; опубликовать политику и подать уведомление в Роскомнадзор.

Отдельно подчеркну смягчающее обстоятельство из ФЗ-420: документально подтверждённые инвестиции в защиту информации напрямую снижают штраф при первой утечке. Это меняет экономику вопроса — деньги, вложенные в compliance и безопасность, теперь работают как страховка, а не просто как расход.

Если вы не уверены, что ваши согласия соответствуют закону, начните с чек-листа из этой статьи. Если набралось три и больше непройденных пунктов — лучше провести полный аудит до того, как им займётся Роскомнадзор. Я провожу такие аудиты для малого и среднего бизнеса: проверяю документы, формы на сайте, процессы обработки и даю конкретный план приведения в соответствие. Если нужна помощь — пишите в Telegram, первичная консультация бесплатна.