Чекбокс согласия на обработку ПДн является обязательным элементом любой формы на сайте, где пользователь оставляет свои контакты. Его отсутствие или неправильное оформление нарушает 152-ФЗ и влечет штрафы от Роскомнадзора.
Зачем сайту нужен чекбокс согласия на обработку ПДн?
Любая форма на сайте, в которую пользователь вводит имя, телефон или email, собирает ПДн. Владелец сайта, который собирает, хранит или передает такие сведения, автоматически становится оператором ПДн и обязан получить согласие субъекта до начала их обработки.
Статья 9 152-ФЗ устанавливает принцип «активного действия»: согласие должно быть конкретным, предметными, информированным, сознательным и однозначным. Пользователь обязан поставить галочку в пустом чекбоксе самостоятельно, так как пассивное поведение и заранее проставленная отметка согласием не признаются. Чекбокс — это механизм фиксации такого действия. Без него сбор ПДн через форму не имеет правового основания.
Сколько галочек должно быть в форме?
Галочек должно быть минимум две, если форма используется одновременно для оказания услуги и отправки маркетинговых сообщений.
Распространенная практика — помещать под кнопку «Отправить» один чекбокс с текстом «Согласен на обработку персональных данных, условия оферты и получение рекламных рассылок». Такая конструкция нарушает сразу два закона: 152-ФЗ и 38-ФЗ «О рекламе», что может привести не только к предписаниям от РКН, но и к штрафам со стороны ФАС.
Обработка ПДн для исполнения заявки является обязательным условием работы. Отправка рекламных сообщений преследует принципиально иную цель, и согласие на нее по ст. 18 38-ФЗ должно быть получено отдельно и исключительно добровольно. Объединяя оба согласия в один чекбокс, компания лишает пользователя выбора и принуждает его к согласию на рассылку, за что ФАС штрафует бизнес.
Правильная архитектура формы предполагает два независимых чекбокса.
Чекбокс, связанный с обработкой ПДн для заключения договора, оператор вправе по собственному решению сделать условием отправки формы — так оформляют большинство сайтов, чтобы зафиксировать согласие пользователя. Если оператор не сделал чекбокс блокирующим, заявка пройдет и без галочки.
Второй чекбокс, относящийся к маркетинговым сообщениям, по умолчанию пустой и не влияет на отправку формы. Пользователь сам решает, хочет ли получать такие сообщения. Однако, без согласия пользователя осуществлять рекламные рассылки запрещено.
Как правильно оформить ссылку на политику конфиденциальности в форме?
В форме обязательно должна быть активная гиперссылка на политику конфиденциальности, открывающая документ в новой вкладке. Только в этом случае согласие считается информированным по смыслу ст. 9 152-ФЗ.
Статья 9 152-ФЗ требует, чтобы согласие было информированным: пользователь должен иметь реальную возможность ознакомиться с условиями обработки ПДн непосредственно в момент их передачи. Если слова «политика конфиденциальности» в тексте чекбокса не являются кликабельной ссылкой, то согласие юридически некорректно. Суды квалифицируют это как ситуацию, в которой пользователю не была предоставлена возможность прочитать документ, с которым он соглашается.
Помимо наличия гиперссылки, важно соблюдать технические и визуальные требования. Ссылка должна открывать документ в новой вкладке, иначе пользователь теряет уже введенные данные. Кликабельность должна распространяться на весь текст ссылки, а не только на квадратик чекбокса. Шрифт и контрастность текста не должны быть декоративными: светло-серый текст на белом фоне регулятор вправе расценить как намеренное сокрытие информации. Блок с чекбоксом располагается строго над кнопкой целевого действия или под ней, чтобы текст согласия и кнопка «Отправить» воспринимались как единый элемент формы.
Кроме того, на сайте компании обязательно должна быть опубликована политика конфиденциальности, доступная к ознакомлению для неограниченного круга лиц.
Какие технические требования предъявляются к чекбоксу согласия?
Чекбокс должен быть пустым по умолчанию, обязательным для заполнения и зафиксированным в базе данных.
Самая распространенная ошибка при настройке формы — атрибут checked в HTML-коде чекбокса. Он выставляет галочку автоматически, без участия пользователя. С точки зрения 152-ФЗ такое согласие недействительно: закон требует осознанного и добровольного действия субъекта ПДн. Роскомнадзор трактует pre-checked чекбокс как отсутствие согласия и применяет санкции по ст. 13.11 КоАП.
Визуального чекбокса на сайте недостаточно. Если пользователь подаст жалобу в ФАС или РКН, скриншот страницы с формой доказательством не является. Доказательством служит только запись в базе данных. В момент нажатия кнопки «Отправить» система должна фиксировать в CRM или базе данных четыре атрибута: точное время отправки формы, IP-адрес пользователя, данные браузера и устройства, а также дословную формулировку текста согласия с указанием даты редакции. Последний атрибут особенно важен: если в момент проверки на сайте стоит одна версия текста, а в логах зафиксирована другая, доказательная база разрушается.
В Bitrix24 и amoCRM логирование реализуется через скрытые поля формы, в самописных решениях — на бэкенде с записью в MySQL или PostgreSQL. Дополнительно для форм подписки на рассылку стоит настроить Double Opt-In: подтверждение по email фиксируется отдельной записью и существенно укрепляет доказательную базу.
Уведомление Роскомнадзора об обработке ПДн является отдельной обязанностью оператора, которая возникает независимо от сбора согласий на обработку ПДн.
Какие штрафы грозят за неправильный чекбокс на сайте?
Нарушения контролируют Роскомнадзор и ФАС, и штрафы от каждого из этих ведомств назначаются независимо друг от друга. Объединяя согласие на обработку ПДн и согласие на маркетинговую рассылку в один чекбокс, вы не только не получаете ни одно из них, но и совершите нарушение сразу по двум административным составам.
РКН действует в рамках ст. 13.11 КоАП. Согласно ч.1 указанной статьи, отсутствие согласия или его ненадлежащее оформление, в том числе заранее проставленная галочка, обойдется юридическому лицу штрафом в размере от 150 000 до 300 000 рублей. При повторном нарушении сумма вырастает до 500 000 рублей.
ФАС контролирует рекламные коммуникации на основании ст. 14.3 КоАП. Если компания отправляет рекламные сообщения, опираясь на согласие, полученное через объединенный чекбокс, то это является нарушением по ст. 18 38-ФЗ. Штраф для юридических лиц составляет от 300 000 до 1 000 000 рублей. При этом каждое отправленное сообщение рассматривается как отдельный факт нарушения.
Большинство проверок начинается не с плановых инспекций, а с жалоб пользователей. Без логов согласия в базе данных доказать правомерность сбора ПДн в ходе такой проверки практически невозможно.
Заключение
Корректный чекбокс согласия является юридически значимым элементом сайта. Ошибки в его оформлении лишают этот документ силы и открывают путь к штрафам от двух независимых ведомств одновременно.
Данную статью вы можете прочитать у нас на сайте.