Как оформить согласие без штрафов

Роскомнадзор массово проверяет сайты компаний и при проверках регулярно находит нарушения, и значительная их часть связана именно с согласием на обработку персональных данных. За последние два года правила вокруг согласия заметно изменились. Штрафы выросли до сотен тысяч рублей, с 1 сентября 2025 года согласие нельзя прятать строкой в договоре, а с 1 января 2026 года дела о таких нарушениях снова рассматривают мировые судьи. Поэтому вопрос о том, как оформить согласие правильно, перестал быть формальностью даже для небольшого бизнеса и самозанятых.

Это подробный разбор темы для тех, кто отвечает за работу с персональными данными, от руководителя и юриста до специалиста по информационной безопасности и кадровика. Мы последовательно пройдём всю тему от начала до конца. Разберём, что такое согласие и когда оно вообще нужно, чем оно отличается от политики обработки данных, в какой форме его берут, что обязательно включить в текст, сколько оно действует и как его отозвать, в том числе через Госуслуги. Отдельно разберём согласие за детей, согласие работников, согласие у самозанятых, требования к сайту и ответственность за нарушения. Все нормы сверены по первоисточникам, образцы и порядок взяты с официального портала Роскомнадзора.

Содержание

1. Что такое согласие на обработку персональных данных
2. Когда согласие нужно, а когда можно без него
3. Кому нужно собирать согласие
4. Чем согласие отличается от политики обработки данных
5. Какие бывают согласия
6. В какой форме оформляют согласие
7. Что обязательно должно быть в согласии
8. Сколько согласие действует и сколько его хранят
9. Согласие на распространение персональных данных
10. Согласие на сайте, cookies и локализация
11. Согласие за детей и через представителя
12. Согласие работника на обработку персональных данных
13. Согласие у самозанятых и ИП
14. Как отозвать согласие
15. Какие ещё документы нужны оператору
16. Что изменилось в 2025 и 2026 годах
17. Частые ошибки в согласиях
18. Ответственность за нарушения
19. Частые вопросы
20. Коротко о главном

Что такое согласие на обработку персональных данных

Согласием на обработку персональных данных называют разрешение человека на то, чтобы компания или государственный орган собирали и использовали сведения о нём. В законе участники этих отношений названы строго. Того, чьи данные обрабатывают, закон называет субъектом персональных данных. Оператором же он называет того, кто определяет цели обработки и состав данных и сам их обрабатывает. Персональными данными считается любая информация, прямо или косвенно относящаяся к человеку, и сюда попадает гораздо больше, чем кажется. Фамилия с именем и отчеством, телефон, адрес электронной почты, номер автомобиля, а в связке между собой даже отдельные сведения вроде должности и места работы позволяют узнать конкретного человека и потому защищаются законом.

Тему регулирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», далее для краткости закон о персональных данных. Он требует, чтобы человек принимал решение о согласии свободно, своей волей и в своём интересе. Принуждение, обман или ситуация, когда без ненужного согласия отказывают в услуге, делают такое согласие недействительным. Здесь же кроется первая частая ошибка, о которой стоит сказать сразу.

Согласие часто считают единственным способом законно работать с данными, и это неверно. Оно лишь одно из оснований обработки и нередко не самое удобное. Если данные нужны, чтобы исполнить договор с клиентом, или их обработки прямо требует закон, отдельное согласие может вообще не понадобиться. Поэтому грамотный оператор ПДн начинает не с того, чтобы собрать побольше согласий, а с вопроса, нужно ли согласие в принципе. Именно этому посвящён следующий раздел статьи.

Пять признаков законного согласия

Закон требует, чтобы согласие было конкретным, предметным, информированным, сознательным и однозначным. За формальными словами стоят простые правила, и Роскомнадзор проверяет их по тексту согласия. Конкретность означает ясную цель или чёткий набор целей без формулировки в духе согласия на всё сразу. Предметность требует назвать, какие именно данные и для чего обрабатывают, без оборота про любые сведения. Информированность означает, что человек до подписания видит, кто оператор, какие данные и на какой срок он берёт и как отозвать согласие.

Сознательность и однозначность касаются самого действия. Согласие не должно теряться в массиве мелкого текста, а воля выражается явным поступком, например подписью или отметкой в пустой галочке. Молчание или заранее проставленная галочка согласием не считаются. Эти пять признаков появились в законе не разом. Базовые были с самого начала, а слова про предметность и однозначность добавила редакция 2022 года по Федеральному закону № 266-ФЗ. Это важно не путать с более поздним изменением 2025 года, о котором речь дальше, потому что на этой путанице спотыкаются даже юристы.

Когда согласие нужно, а когда можно без него

Это самый критичный вопрос, и именно на нём ошибаются чаще всего. Одни компании берут согласие там, где закон его не требует, и зря тратят силы и создают себе риски. Другие, наоборот, прячутся за чужое основание там, где согласие обязательно. Статья 6 закона о персональных данных перечисляет основания обработки, и согласие среди них лишь первое. Остальные позволяют работать с данными без согласия, и для бизнеса это часто более удобный и надёжный путь.

Чаще всего в работе с клиентами выручает основание про исполнение договора. Если человек заказал товар или услугу, его данные нужны, чтобы договор исполнить, и отдельное согласие на это не требуется. Сюда же относится случай, когда обработку прямо предписывает закон, например ведение бухгалтерского и налогового учёта, передача сведений в Социальный фонд России, воинский учёт. Закон разрешает обойтись без согласия и в ряде других ситуаций, которые удобно держать перед глазами.

• Исполнение или заключение договора, стороной которого является сам человек. Магазину не нужно отдельное согласие, чтобы оформить доставку по адресу клиента.
• Выполнение обязанностей, которые возложил на оператора закон. Работодатель ведёт кадровый и налоговый учёт без согласия работника.
• Участие человека в судопроизводстве, а также исполнение судебных актов и актов других органов, например в рамках исполнительного производства.
• Предоставление государственных и муниципальных услуг.
• Защита жизни и здоровья человека, когда получить согласие невозможно, например при оказании экстренной помощи.
• Законные интересы оператора или третьих лиц, если при этом не нарушаются права и свободы человека, например взыскание долга или защита в споре.
• Журналистика, научная и творческая деятельность в рамках закона.
• Статистические и исследовательские цели при обязательном обезличивании данных.
• Обработка данных, которые по закону подлежат обязательному опубликованию.

Отдельно стоит отметить основание про законные интересы, его ещё называют легитимным интересом. Оно гибкое, но именно поэтому опасное. Опираться на него можно лишь там, где не нарушаются права человека, и нельзя подменять им согласие в случаях, где закон требует именно согласия. Практический вывод из этого довольно простой. Прежде чем готовить согласие, оператор проверяет, нет ли у обработки другого основания. Для исполнения договора согласие избыточно, а вот для рекламной рассылки, передачи данных партнёрам или публикации сведений другого основания обычно нет, и тогда согласие обязательно.

Как понять, нужно ли согласие или достаточно другого основания из статьи 6. 📷

Кому нужно собирать согласие

Обязанность соблюдать правила касается любого оператора, а оператором закон считает не только крупные компании. Это и государственный орган, и юридическое лицо, и индивидуальный предприниматель, и обычное физическое лицо, если они определяют цели обработки и работают с чужими данными. Размер бизнеса при этом значения не имеет. Небольшой интернет-магазин, частная клиника, репетитор, который ведёт базу учеников, владелец сайта с формой обратной связи, всё это операторы со своими обязанностями.

Особняком стоят самозанятые и предприниматели, потому что у них часто возникает иллюзия, будто правила писаны только для крупного бизнеса. На практике правила едины для всех. Как только самозанятый ведёт клиентскую базу, рассылает сообщения об акциях или публикует отзывы с именами, он работает с персональными данными и обязан и брать согласие там, где оно нужно, и при определённых условиях уведомлять о себе Роскомнадзор. Подробнее обязанности оператора мы разбирали в материале «Оператор персональных данных: кто это, обязанности и уведомление Роскомнадзора», а здесь сосредоточимся на согласии.

Чем согласие отличается от политики обработки данных

Эти два документа постоянно путают, а у них разное назначение. Согласием человек разрешает конкретному оператору обрабатывать его данные в названных целях. Политику обработки персональных данных оператор издаёт сам как внутренний документ, который описывает, как он в принципе работает с данными, и обязан опубликовать, в том числе на сайте. Согласие оператор получает от каждого субъекта, политику он издаёт один раз для всех.

На практике они работают вместе, но не заменяют друг друга. Ссылка на сайте на политику не освобождает от того, чтобы взять согласие там, где оно нужно. И наоборот, наличие подписанных согласий не отменяет обязанности опубликовать политику. Отсутствие политики на сайте наказывается отдельно, поэтому начинать наведение порядка стоит именно с неё, а уже затем выстраивать процесс сбора согласий. О том, какие ещё документы нужны оператору помимо этих двух, будет отдельный раздел ниже.

Какие бывают согласия

Слово согласие в законе скрывает несколько разных документов с разными правилами. Их часто путают и пытаются слить в один бланк, а зря, потому что у каждого свои требования к форме и содержанию. Разберём пять режимов, и оператору нужно понимать, какой из них он применяет в конкретном случае.

Обычное согласие на обработку подходит для повседневных ситуаций и может быть оформлено в любой форме, которая подтверждает факт его получения. Согласие на специальные категории данных, то есть на сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни, закон требует только в письменном виде. То же касается биометрии, под которой понимают изображение лица, отпечатки и голос, когда их используют, чтобы установить личность человека. Согласие на распространение данных подчиняется своим правилам как самостоятельный документ, к нему вернёмся в отдельном разделе. Наконец, согласие на рекламную рассылку регулируется ещё и законом о рекламе и всегда требует предварительного разрешения адресата.

Вид согласия Норма Форма Когда применяют Обычное статья 9 любая, подтверждающая факт данные клиентов, посетителей, рассылки На специальные категории статья 10 письменная раса, национальность, политические взгляды, убеждения, здоровье, интимная жизнь На биометрию статья 11 письменная распознавание лица, отпечатки, голос для идентификации На распространение статья 10.1 отдельный документ публикация данных для неограниченного круга лиц На рекламу закон о рекламе предварительное звонки, SMS и письма с рекламой

Раньше к этому списку относили и согласие на трансграничную передачу данных за рубеж. С 1 марта 2023 года правила изменились, и письменное согласие здесь заменили на предварительное уведомление Роскомнадзора. Теперь оператор не берёт согласие субъекта на передачу за границу, а заранее сообщает регулятору о таком намерении, и регулятор вправе передачу ограничить или запретить. Это частая ошибка устаревших шаблонов, где до сих пор встречается отдельное согласие на трансграничную передачу, хотя как самостоятельное основание оно из закона ушло.

Пять видов согласия и требуемая форма для каждого из них. 📷

В какой форме оформляют согласие

По общему правилу согласие можно дать в любой форме, которая позволяет подтвердить факт его получения. Это важная свобода, потому что в повседневных ситуациях не нужны ни бумага, ни нотариус. Подойдёт бумажный бланк с подписью, электронный документ с электронной подписью или отметка на сайте. Жёсткое требование письменной формы закон вводит только для отдельных случаев, и на них остановимся отдельно, потому что именно здесь чаще всего ошибаются.

Когда обязательна письменная форма

Письменная форма обязательна там, где закон прямо это указывает. Это обработка специальных категорий данных и биометрии, согласие на распространение, а также отдельные случаи из трудового и иного законодательства. Важно, что письменная форма не означает обязательно бумагу. Электронный документ, подписанный электронной подписью, закон приравнивает к бумажному с собственноручной подписью. С видом электронной подписи, однако, связано распространённое заблуждение, которое надо развеять.

Закон о персональных данных в части письменного согласия говорит просто об электронной подписи и конкретный её вид не называет, отсылая к Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи». Закон выделяет три основных вида подписи. Простая электронная подпись, например код из SMS или связка логина и пароля, подтверждает, что подпись поставил конкретный человек. Усиленная неквалифицированная и усиленная квалифицированная подписи создаются средствами криптографии и надёжнее.

Прямого требования использовать именно усиленную подпись для согласия, в том числе на биометрию, в законе нет. Для большинства случаев достаточно простой подписи, если она надёжно привязана к человеку. Более строгий порядок с усиленной подписью возникает не из самого согласия, а из отдельного режима сдачи биометрии в государственную Единую биометрическую систему по Федеральному закону от 29.12.2022 № 572-ФЗ. То есть тезис в духе для биометрии нужна усиленная подпись юридически неточен, правильнее говорить, что для биометрии нужна письменная форма, а простой галочки на сайте недостаточно.

Отметка на сайте, через Госуслуги и по телефону

На сайте согласие чаще всего оформляют отметкой в пустой галочке рядом с формой. Юристы называют это конклюдентными действиями, то есть поступками, из которых ясно видна воля человека, и опираются здесь на статью 158 Гражданского кодекса. Такая форма законна для случаев, где письменная не обязательна, например для подписки на рассылку или обратной связи. Усиленная подпись для этого не нужна, и Роскомнадзор согласие через галочку признаёт, если соблюдены условия. Галочка должна быть пустой по умолчанию, текст согласия доступен по ссылке до отметки, а сам факт согласия зафиксирован в системе оператора, чтобы потом было чем доказать его получение.

Через портал Госуслуг согласие дают подтверждённой учётной записью, которую на практике приравнивают к простой электронной подписи. Согласие по телефону закон прямо не запрещает, но оператору сложно потом доказать его получение, поэтому устную форму используют редко и обычно с записью разговора. Какой бы ни была форма, сквозное правило одно. Доказать, что согласие получено, по закону обязан сам оператор, а не проверяющий, поэтому форму выбирают так, чтобы у компании остался след.

Что обязательно должно быть в согласии

Единой обязательной формы обычного согласия в России нет. Роскомнадзор её приказом не утверждает, а задаёт лишь обязательный перечень сведений в части 4 статьи 9 закона о персональных данных. Форму оператор разрабатывает сам, но если пропустить хотя бы один обязательный реквизит, согласие считается полученным с нарушением требований к его составу. За это юридическое лицо штрафуют на 300–700 тысяч рублей, а бремя доказывания, что согласие вообще получено, лежит на операторе. Чтобы не изобретать бланк с нуля, можно опереться на официальный образец Роскомнадзора. Он выложен в разделе образцов документов на сайтах территориальных управлений ведомства, например в разделе «Образцы документов».

Здесь нужна сразу одна важная оговорка про форму. Полный набор из девяти реквизитов закон требует для письменного согласия. Когда достаточно простой формы, например галочки на сайте при подписке на рассылку, паспортные данные не собирают, а личность подтверждают входом в личный кабинет или подтверждённой почтой. Сами девять элементов перечислены в части 4 статьи 9 через оборот в частности, то есть это минимум, который оператор вправе дополнить, но не вправе урезать.

1. ФИО, адрес субъекта, номер документа, удостоверяющего личность, дата выдачи и выдавший орган.
2. Те же данные представителя и реквизиты доверенности, если согласие подписывает не сам субъект.
3. Наименование или ФИО и адрес оператора, который получает согласие.
4. Цель обработки персональных данных.
5. Перечень персональных данных, на обработку которых даётся согласие.
6. Наименование или ФИО и адрес лица, которое обрабатывает данные по поручению оператора, если обработка кому-то поручена.
7. Перечень действий с данными и общее описание способов их обработки.
8. Срок действия согласия и способ его отзыва.
9. Подпись субъекта персональных данных.

Три реквизита дают больше всего отказов на проверках, поэтому на них остановимся подробнее. Цель в согласии указывают конкретную и понятную. Размытую формулировку про улучшение сервиса и иные цели проверяющий не примет, потому что по ней невозможно понять, на что согласился человек. Перечень данных приводят закрытым списком, без оборота про любые сведения, например фамилия, имя, отчество, телефон, адрес электронной почты. Перечень действий берут из определения обработки в статье 3 закона, куда входят сбор, хранение, использование, передача, обезличивание и другие операции, и рядом указывают способ, например что обработка ведётся с использованием средств автоматизации и без них.

С 1 сентября 2025 года к этому добавилось ещё одно требование, которое стоит вынести отдельно. Федеральный закон от 24.06.2025 № 156-ФЗ дополнил часть 1 статьи 9 правилом, что согласие оформляется отдельно от иных информации и документов, которые подписывает человек. Раньше согласие нередко прятали пунктом внутри договора, оферты или пользовательского соглашения, а теперь так делать прямо запрещено. На сайте отдельным считается согласие с самостоятельной незаполненной галочкой и ссылкой на полный текст, а не общая отметка о принятии условий. В бумажном виде составляют отдельный бланк, а не абзац в договоре. Согласия, собранные до 1 сентября 2025 года, переоформлять закон не обязывает.

Несколько целей в одном документе закон допускает, если каждая названа отдельно и понятно. Запрещена общая отметка о согласии на всё без расшифровки. Когда у обработки несколько целей, их разносят, а под необязательные, например рекламную рассылку или передачу партнёрам, ставят отдельную пустую галочку, и отказ от неё не должен мешать оформить заказ или получить услугу. Если речь о публикации данных, к примеру фотографии сотрудника на сайте, одной цели в общем согласии мало, для этого нужен отдельный документ, о котором ниже.

Образец согласия на обработку персональных данных 2026

Единой обязательной формы обычного согласия нет, поэтому ниже два образца под разные ситуации. Первый подойдёт для обычных данных, которые собирают через форму на сайте или заявку, и паспорт для него не нужен. Второй нужен там, где закон требует письменную форму, то есть для специальных категорий данных, биометрии и распространения. Это пример, а не готовый юридический документ. Состав полей зависит от того, кто вы и какие данные собираете, поэтому форму адаптируют под свой случай и проверяют с юристом. За основу взяты официальный образец Роскомнадзора и перечень сведений из части 4 статьи 9.

Первый вариант, простое согласие для формы на сайте или заявки

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Отмечая это поле, я даю [наименование компании или ИП], ОГРН [номер],
адрес [адрес] (далее оператор), согласие на обработку моих персональных данных.

Перечень данных: [имя, номер телефона, адрес электронной почты].
Цель обработки: [обработка заявки и связь со мной по ней].
Действия с данными: сбор, запись, хранение, использование, передача лицам,
привлечённым оператором для этой цели, удаление. Обработка ведётся
с использованием компьютеров и без них.
Срок действия: [до достижения цели обработки или до моего отзыва].
Отозвать согласие можно в любой момент заявлением на [адрес или e-mail].

Второй вариант, полное письменное согласие, когда его требует закон

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, [фамилия, имя, отчество], адрес: [адрес регистрации],
паспорт серия [..] № [......], выдан [дата] [кем выдан],
даю [наименование компании или ИП], ОГРН [номер], ИНН [номер],
адрес [адрес] (далее оператор), согласие на обработку моих персональных данных.

[Блок для представителя, если согласие подаёт не сам человек:
представитель [ФИО], адрес [адрес], действует на основании [реквизиты доверенности].]

Цель обработки: [конкретная цель].
Перечень персональных данных: [перечень собираемых данных].
Перечень действий и способ: сбор, запись, систематизация, хранение,
использование, передача, обезличивание, блокирование, удаление, уничтожение
[оставить применяемые]. Обработка смешанная, с использованием компьютеров и без них.
Срок действия: [срок или событие]. Отзыв: заявлением в письменной форме на [адрес].

Дата ___________ Подпись ___________ [Расшифровка подписи]

Для согласия на распространение Роскомнадзор сделал отдельный официальный конструктор. Для обычного согласия на обработку такого конструктора нет, поэтому ориентиром служат образец ведомства и перечень из части 4 статьи 9.

Скачать образец. Готовый бланк с обоими вариантами согласия доступен в формате Word: образец согласия на обработку персональных данных (.doc). Это редактируемый шаблон, бесплатно и без регистрации, остаётся адаптировать его под свои данные и цели.

Сколько согласие действует и сколько его хранят

Срок действия согласия указывать обязательно, бессрочное согласие закон не допускает. На практике используют одну из трёх формулировок. Первая привязывает действие к цели, согласие действует до достижения целей обработки. Вторая привязывает к договору, на срок действия договора и несколько лет после его прекращения, что удобно для клиентских и кадровых данных с архивными сроками хранения. Третья оставляет срок открытым через право отзыва, до отзыва согласия субъектом. Любая из них допустима, главное, чтобы срок или способ его определения был указан, иначе согласие считается дефектным.

Важно не путать срок действия согласия и срок хранения самого документа. Подписанное согласие или электронную запись о нём оператор хранит и после того, как обработка прекращена, чтобы на проверке доказать, что согласие было получено законно. Прямого срока в законе нет, на практике ориентируются примерно на три года, по аналогии с общим сроком исковой давности. А вот сами персональные данные, когда цель достигнута или согласие отозвано, оператор обязан прекратить обрабатывать и при необходимости уничтожить, и здесь срок уже жёсткий, о нём в разделе про отзыв.

Согласие на распространение персональных данных

Когда данные не просто обрабатывают внутри компании, а открывают неограниченному кругу лиц, обычного согласия мало. Публикация телефона на сайте, фотографии работника на доске почёта, отзыва с именем клиента, всё это распространение, и для него закон с 1 марта 2021 года ввёл отдельный режим в статье 10.1. Правила здесь строже, и собрать такое согласие галочкой в общем потоке не получится.

Главное отличие в том, что согласие на распространение оформляют отдельным документом, а по умолчанию все данные закрыты. Молчание или бездействие человека согласием не считается ни при каких обстоятельствах, и это прямо закреплено в законе. Человек вправе сам определить, какие данные и кому можно открыть, и установить запреты на их передачу. Если из согласия не следует, что субъект разрешил распространение, оператор обрабатывает данные без права их раскрывать.

Требования к содержанию такого согласия установил отдельный приказ Роскомнадзора от 24.02.2021 № 18, и действует он до 1 сентября 2027 года. В согласии на распространение, помимо обычных сведений, указывают контакты субъекта, адрес информационного ресурса, где данные будут открыты, а также категории данных, по которым человек устанавливает условия и запреты. Удобно, что Роскомнадзор сделал для этого официальный конструктор. На портале персональных данных в разделе «Согласия на распространение» оператор формирует шаблон через подтверждённую учётную запись, может направить его в ведомство, и Роскомнадзор в течение пяти рабочих дней присылает рекомендации. Эти рекомендации информационные и не подтверждают законность самой обработки, но помогают не упустить обязательные пункты.

На оператора закон возлагает и дополнительные обязанности по срокам. Не позднее трёх рабочих дней с момента получения согласия он публикует сведения об условиях обработки и о наличии запретов, которые установил человек. Прекратить распространение оператор обязан тоже быстро, в течение трёх рабочих дней с момента требования субъекта, а не за тридцать дней, как при обычном отзыве. Само требование человек подаёт письменно, указывая ФИО, контактные данные и перечень сведений, которые нужно перестать распространять.

Согласие на сайте, cookies и локализация

Сайт остаётся самой частой точкой сбора согласий, и здесь же больше всего ошибок. Роскомнадзор давно проверяет сайты автоматически, и формы с нарушениями находит массово, об этом мы писали в материале «Роскомнадзор массово проверяет сайты на соответствие 152-ФЗ». У правильной галочки согласия есть несколько обязательных признаков. Она пустая по умолчанию, человек ставит отметку сам, рядом доступен полный текст согласия, а услугу нельзя обусловить отметкой на ненужную цель вроде рекламы.

Поскольку доказывать получение согласия обязан оператор, одной галочки мало, нужно фиксировать, кто и когда её поставил. Прямого требования вести какой-то особый журнал согласий закон не содержит, но из обязанности доказать факт согласия вытекает практика учёта. Обычно в системе оператора сохраняют несколько параметров.

• Дату и время, когда человек поставил отметку.
• Сетевой адрес, с которого пришёл запрос.
• Идентификатор пользователя или сессии, телефон или почту из личного кабинета.
• Версию текста согласия, который человек видел в этот момент.

При смене текста старые записи помечают прежней версией. Для рассылок дополнительно используют подтверждение по письму или коду, когда человек переходит по ссылке из письма и тем самым подтверждает свой адрес. Это усиливает доказательство, что отметку сделал именно он, а не кто-то от его имени.

Нужно ли согласие на cookies

Вокруг cookies много путаницы, и важно отделить позицию российского регулятора от европейских правил. В России нет отдельного закона о cookies, как в Евросоюзе, поэтому переносить требования об обязательном явном согласии до установки cookies на российские сайты неверно. Официально Роскомнадзор в обзорах надзорной практики называет нарушением неинформирование посетителей об использовании cookie. Развёрнутые требования к cookie-баннерам, которые встречаются в интернете, чаще исходят из коммерческих и юридических блогов, а не из разъяснений ведомства, поэтому подавать их как позицию регулятора нельзя.

Практический вывод из всего этого такой. Сам файл cookie данными не является, но его содержимое становится персональными данными, если позволяет узнать конкретного человека, например в связке со счётчиками аналитики. В этом случае посетителя информируют об использовании cookie и о целях, обычно всплывающим окном со ссылкой на политику. Отдельной нормы, которая прямо обязывала бы ставить именно cookie-баннер, в законе нет, а вот политика обработки данных на сайте обязательна, и её отсутствие наказуемо.

На практике для сайта это сводится к нескольким понятным шагам. Оператор публикует политику обработки персональных данных в открытом доступе и показывает посетителю короткое уведомление о том, что сайт использует cookie, обычно всплывающим окном со ссылкой на эту политику. Жёсткие баннеры с явным согласием на каждый тип cookie, как в Евросоюзе, российский закон не требует, поэтому усложнять окно до европейского вида смысла нет. Куда важнее, чтобы у сайта была опубликованная политика, чтобы формы сбора данных имели отдельную галочку согласия и чтобы данные россиян хранились на серверах в России.

Для сайта есть требование даже важнее любого баннера, и про него часто забывают. Речь идёт о локализации персональных данных. Закон обязывает оператора при сборе данных россиян, в том числе через формы и аналитику, записывать и хранить их в базах на территории России. Иностранный хостинг или зарубежный сервис аналитики, который пишет данные сразу за границу, нарушает это правило, и штрафы здесь одни из самых высоких. Громкие дела, которые пресса связывает с cookie, на деле почти всегда про локализацию, а не про отсутствие баннера.

Согласие за детей и через представителя

Тема щепетильная, и здесь есть нюанс, который многих удивляет. Сам закон о персональных данных конкретный возраст, с которого человек даёт согласие самостоятельно, не устанавливает, в отличие от европейских правил с их порогом в шестнадцать лет. Поэтому на практике опираются на правила о дееспособности из Гражданского кодекса, и надо понимать, что перед нами именно сложившийся подход, а не прямая норма закона о персональных данных.

По общему подходу за ребёнка до четырнадцати лет согласие даёт законный представитель, то есть родитель, усыновитель или опекун, и опирается это на статью 28 Гражданского кодекса. Подросток от четырнадцати до восемнадцати лет по статье 26 кодекса может дать согласие сам, но с письменного согласия законного представителя. За недееспособного человека согласие также даёт законный представитель, это уже прямая норма закона о персональных данных, а после смерти человека такое право переходит к наследникам, если согласие не было дано при жизни. Во всех этих случаях оператор обязан проверить полномочия того, кто подписывает, и попросить подтверждающие документы, например свидетельство о рождении или документ об опеке. Отдельно отмечу, что согласие на медицинское вмешательство за ребёнка регулируется законом об охране здоровья и его не нужно путать с согласием на обработку данных.

Согласие работника на обработку персональных данных

С работниками складывается прямо противоположная ситуация. Многие работодатели берут у сотрудников согласие при приёме, хотя для основной кадровой работы оно не требуется. Оформление трудовых отношений, расчёт заработной платы, налоги, отчётность в Социальный фонд России работодатель ведёт на основании закона и трудового договора, а не согласия, и это прямо следует из главы 14 Трудового кодекса и оснований статьи 6 закона о персональных данных. Более того, принуждать работника давать согласие работодатель не вправе.

Согласие работника становится обязательным в нескольких ситуациях, и их полезно держать в голове. Чаще всего речь о передаче данных третьим лицам. Статья 88 Трудового кодекса прямо требует не сообщать персональные данные работника третьей стороне без его письменного согласия, кроме случаев угрозы жизни и здоровью и иных случаев по закону, и отдельно запрещает сообщать данные в коммерческих целях без письменного согласия. Отдельный случай связан с размещением фотографии или данных работника на сайте, в соцсетях или на доске почёта, потому что здесь начинается распространение и нужно согласие по статье 10.1, а заодно согласие на использование изображения по статье 152.1 Гражданского кодекса. Замыкает список биометрия в системах контроля доступа, когда вход устроен по распознаванию лица или отпечатку, тогда требуется письменное согласие и обязательно альтернативный способ прохода для тех, кто отказался.

Отдельный вопрос вызывают кандидаты, которые ещё не стали работниками. Когда человек сам прислал резюме или откликнулся на вакансию, его данные обрабатывают для рассмотрения кандидатуры без отдельного согласия, потому что инициатива исходит от него. А вот хранить резюме в кадровом резерве после отказа или закрытия вакансии без согласия соискателя уже нельзя, для этого берут его согласие на конкретный срок. Базовые правила работы с данными сотрудников при этом закрепляют в отдельном внутреннем положении об обработке персональных данных работников, с которым человека знакомят под подпись.

Согласие у самозанятых и ИП

Правила одинаковы для всех операторов, но у самозанятых и индивидуальных предпринимателей есть своя специфика, и распространённое заблуждение здесь в том, что мелкому бизнесу можно не соблюдать требования. Но на деле это совсем не так. Как только предприниматель или самозанятый ведёт клиентскую базу, его обязанности те же, что у компании. Для исполнения договора с клиентом отдельное согласие не нужно, оно работает по тому же основанию, что и у крупного бизнеса. А вот для рассылки рекламных сообщений, публикации отзывов с именами клиентов или передачи их данных партнёрам согласие обязательно, и его придётся оформить отдельно.

Важно помнить и про вторую обязанность, которая идёт рука об руку с согласием. Большинство операторов, включая ИП и самозанятых, обязаны до начала обработки уведомить о себе Роскомнадзор, и подаётся это уведомление через портал персональных данных. Само по себе наличие согласий не освобождает от уведомления, как и уведомление не заменяет согласий. Это разные обязанности, и выполнять их нужно обе.

Как отозвать согласие

Право отозвать согласие зеркально праву его дать, и вопрос этот популярный, поэтому разберём его внимательно. Человек может отозвать согласие, а оператор обязан заранее предусмотреть рабочий способ отзыва, тот самый, что указывают в тексте согласия. Форма заявления свободная, его направляют письмом, по электронной почте или через личный кабинет на сайте оператора. Готовый образец можно скачать в формате Word: заявление об отзыве согласия (.doc). Главная задача оператора суметь принять и обработать такое заявление, а не отмахнуться от него.

Про отзыв через Госуслуги нужно сказать точно, потому что здесь много неверных ожиданий. Через Госуслуги действительно можно отзывать согласия, в личном кабинете для этого есть раздел согласий и доверенностей. Но отозвать там можно только те согласия, которые были выданы через сами Госуслуги и единую систему идентификации, например когда человек разрешал передать свои данные из учётной записи стороннему сервису при входе через Госуслуги. Согласие, которое человек дал оператору напрямую, на бумаге или галочкой на стороннем сайте, через Госуслуги отозвать нельзя, по нему по-прежнему нужно обращаться к самому оператору. Единого сервиса, где можно было бы в один клик отозвать сразу все согласия по всем сайтам, на сегодня нет. Такой механизм с передачей сведений о согласиях в единую систему пока обсуждается на уровне законопроекта, и обязанности операторов по нему начнут действовать только с 2028 года.

Дальше начинается то, что путают чаще всего. Отзыв согласия не означает, что оператор обязан немедленно стереть все данные. После отзыва он прекращает обработку и, если данные больше не нужны для целей обработки и нет другого основания их хранить, уничтожает их в срок до тридцати дней. Если же действует договор или закон требует хранить документы, например бухгалтерские, обработка на этом основании продолжается даже после отзыва согласия. Проще говоря, отзыв убирает именно согласие как основание, а другие основания он не отменяет.

Важно не путать отзыв согласия с двумя другими механизмами, у которых свои сроки. Если человек просто хочет, чтобы оператор прекратил обработку, он подаёт требование о прекращении, и здесь срок жёстче, десять рабочих дней с возможностью продления ещё на пять при мотивированном уведомлении. Если же данные обрабатывают неправомерно или они неточные, человек требует их уточнить, заблокировать или уничтожить, и сроки ещё короче, до семи рабочих дней на уточнение и до трёх рабочих дней на прекращение неправомерной обработки. В этих случаях ссылка оператора на другое основание уже не спасает, потому что речь о нарушении.

Чтобы не путать эти сроки, удобно держать их в одной таблице. Все они отсчитываются с момента, когда оператор получил обращение или требование.

Что должен сделать оператор Срок Норма Прекратить обработку и уничтожить данные после отзыва согласия до 30 дней часть 5 статьи 21 Прекратить обработку по требованию субъекта 10 рабочих дней, плюс 5 при мотивированном уведомлении часть 5.1 статьи 21 Уточнить неточные данные по требованию до 7 рабочих дней часть 2 статьи 21 Прекратить неправомерную обработку до 3 рабочих дней часть 3 статьи 21 Опубликовать условия при согласии на распространение до 3 рабочих дней часть 10 статьи 10.1 Прекратить распространение по требованию субъекта до 3 рабочих дней часть 14 статьи 10.1

Какие ещё документы нужны оператору

Согласие не существует в вакууме, и одними согласиями работа с данными не ограничивается. Закон о персональных данных в статьях 18.1 и 19 задаёт целый комплект документов и мер, которые оператор обязан подготовить. Если согласия есть, а остального нет, это всё равно нарушение, поэтому полезно представлять картину целиком.

В обязательный комплект входит назначение ответственного за организацию обработки персональных данных, политика обработки данных и комплект внутренних, или организационно-распорядительных, документов. К ним относятся приказы, перечни обрабатываемых данных, инструкции для сотрудников, порядок реагирования на нарушения, а также журналы учёта. Помимо документов оператор применяет организационные и технические меры защиты, проводит внутренний контроль, оценивает возможный вред субъектам и знакомит работников с правилами под подпись. Для информационных систем добавляются модель угроз и сертифицированные средства защиты по требованиям ФСТЭК России и ФСБ России. Отдельно оператор обязан уведомить о себе Роскомнадзор и опубликовать политику в открытом доступе. Согласие в этой системе лишь один из элементов, пусть и заметный.

Что изменилось в 2025 и 2026 годах

Тема согласия за последние два года заметно сдвинулась, и устаревшие шаблоны из интернета этих изменений часто не учитывают. Полезно собрать ключевые даты в одном месте, чтобы понимать, что именно поменялось.

• С 30 мая 2025 года вступили в силу ужесточённые штрафы за нарушения с персональными данными, включая оборотные штрафы за утечки.
• С 1 сентября 2025 года согласие оформляют отдельным документом, его больше нельзя прятать строкой в договоре, оферте или пользовательском соглашении.
• С 1 января 2026 года дела о нарушениях с персональными данными по статье 13.11 снова рассматривают мировые судьи, а не арбитражные суды, как это было с мая 2025 года. Изменение внёс Федеральный закон от 28.12.2025 № 508-ФЗ.

Отдельно стоит держать в уме перспективу единого реестра согласий с возможностью отзывать их через Госуслуги. Это пока законопроект, и обязанности операторов передавать сведения о согласиях в единую систему начнут действовать только с 2028 года. Выдавать этот будущий механизм за уже работающий не стоит, но готовиться к нему имеет смысл заранее.

Частые ошибки в согласиях

Большинство претензий Роскомнадзора вырастают из одного и того же набора ошибок, и ведомство само называет их в обзорах надзорной практики. Они хорошо известны, но повторяются из шаблона в шаблон, потому что компании нередко берут чужой бланк, не сверяя его с действующими требованиями. Как отмечают эксперты, требования закона нарушают почти все, и нередко сами того не зная, об этом материал «152-ФЗ нарушают почти все и сами этого не знают». Вот ошибки, что встречаются чаще всего.

• Согласие на всё скопом, без конкретной цели и перечня данных.
• Согласие пунктом внутри договора или оферты, что прямо запрещено с 1 сентября 2025 года.
• Заранее проставленная галочка на сайте, хотя молчание согласием не считается.
• Отсутствие срока действия или способа отзыва.
• Передача данных третьим лицам без отдельного согласия и без указания, кому они идут.
• Отсутствие на сайте механизма получения согласия и неинформирование об использовании cookie.
• Неопубликованная политика обработки данных и хранение данных россиян на зарубежных серверах.

Отдельно стоит частая ошибка с публикацией данных. Компании выкладывают фотографии сотрудников и отзывы клиентов с именами, считая, что общего согласия достаточно. На деле для этого нужен отдельный документ на распространение. У всех этих ошибок есть и неприятное продолжение в виде штрафов, о которых дальше.

Ответственность за нарушения

За нарушения с согласием отвечают по статье 13.11 Кодекса об административных правонарушениях, и за последние годы суммы заметно выросли. Состав нарушения зависит от того, что именно сделано не так, и от состава зависит штраф. Есть важная свежая деталь по подсудности. С 1 января 2026 года такие дела снова рассматривают мировые судьи, причём независимо от того, кто нарушитель, гражданин, должностное лицо или компания. Ниже основные составы, которые касаются согласия.

Нарушение Статья КоАП Штраф для юрлица Обработка без законного основания или не в тех целях часть 1 статьи 13.11 150–300 тыс. руб. Нет письменного согласия, где оно обязательно, либо нет обязательных реквизитов часть 2 статьи 13.11 300–700 тыс. руб. Не опубликована политика обработки данных часть 3 статьи 13.11 30–60 тыс. руб. Повторное нарушение по части 2 часть 2.1 статьи 13.11 1–1,5 млн руб.

Есть и тонкость, которую упускают даже юристы. Случай, когда согласие зашили в договор одной подписью, суды иногда квалифицируют не по статье 13.11, а по части 2 статьи 14.8 КоАП как ущемление прав потребителя. А самый тяжёлый сценарий уже уголовный. Если данные не просто обрабатывают без согласия, а добыли незаконно, например через взлом или слитую базу, и затем продают или передают, наступает ответственность по статье 272.1 Уголовного кодекса вплоть до лишения свободы. Граница между административным штрафом и уголовным делом проходит не по наличию согласия, а по способу получения данных.

Что говорят суды

Судебная практика по согласию складывается прежде всего вокруг высших судов. Главная линия в том, что наличие договора не отменяет необходимости согласия на передачу данных третьим лицам. Конституционный суд в определении № 100-О рассматривал ситуацию, где управляющая компания передала данные должников за коммунальные услуги сторонней фирме для взыскания, и подтвердил, что такая передача требует согласия. К близкому выводу пришёл и Верховный суд в деле № 307-ЭС21-11355, оставив в силе предписание Роскомнадзора учреждению, которое передавало данные граждан ресурсоснабжающей организации без согласия.

При этом важно видеть и обратную сторону, чтобы не перегибать. В определении № 1810-О Конституционный суд подтвердил, что для исполнения договора с самим человеком отдельное согласие не требуется, а в постановлении № 22-П по делу медицинского агрегатора признал, что общедоступные и профессиональные данные можно использовать без согласия, но с обязанностью модерировать публикации. Отдельного обзора Верховного суда именно по согласию пока не существует, поэтому ориентироваться стоит на эти позиции высших судов и на прямые нормы закона, а не на пересказы отдельных дел в интернете, среди которых попадаются и несуществующие.

Полагаться на снисходительность судов не стоит, тем более что проверки идут потоком. На волне внимания к теме появились и мошенники, которые рассылают компаниям письма о мнимых нарушениях закона о персональных данных, об этой схеме мы предупреждали в материале «Хакеры атакуют российские компании письмами о нарушении 152-ФЗ».

Частые вопросы

Является ли телефон, ФИО или email персональными данными?

Да, если позволяют узнать конкретного человека, в том числе в совокупности с другими сведениями. ФИО, телефон, адрес электронной почты, паспортные данные и адрес относятся к персональным данным, и для работы с ними действуют правила закона о персональных данных.

Чем согласие отличается от политики обработки данных?

Согласием человек разрешает конкретному оператору обрабатывать его данные. Политику оператор издаёт для себя как внутренний документ, который описывает, как он работает с данными, и который нужно опубликовать на сайте. Одно не заменяет другое, нужны оба.

Можно ли давать согласие галочкой на сайте без электронной подписи?

Да, для случаев, где письменная форма не обязательна, например для рассылки. Усиленная электронная подпись для этого не нужна. Но галочка должна быть пустой по умолчанию, текст согласия доступен, а факт отметки зафиксирован с датой, сетевым адресом и версией текста. Для биометрии, спецкатегорий данных и распространения галочки недостаточно, нужна письменная форма.

Когда согласие на обработку данных НЕ требуется?

Если есть другое основание из статьи 6 закона о персональных данных. Чаще всего это исполнение договора с человеком и выполнение требований закона. В этих случаях отдельное согласие не нужно. Согласие обязательно для рекламы, передачи данных партнёрам и публикации сведений.

Нужно ли согласие работника при приёме на работу?

Для основной кадровой работы оно не требуется. Оформление трудовых отношений, расчёт заработной платы, налоги и отчётность ведут на основании закона и трудового договора. Отдельное согласие нужно для передачи данных третьим лицам, размещения фотографии работника и биометрии в системах доступа.

Как отозвать согласие через Госуслуги?

В личном кабинете есть раздел согласий и доверенностей, где можно отозвать выданное разрешение. Но через Госуслуги отзываются только согласия, которые выдавались через сами Госуслуги (ЕСИА). Согласие, которое вы дали оператору напрямую, на бумаге или галочкой на его сайте, через Госуслуги отозвать нельзя, по нему нужно обращаться к самому оператору.

Обязан ли оператор удалить данные сразу после отзыва?

Удалять данные сразу оператор обязан не всегда. После отзыва он прекращает обработку и уничтожает данные в срок до тридцати дней, но только если они больше не нужны и нет другого основания их хранить. Если действует договор или закон требует хранить документы, обработка на этом основании продолжается.

Какой штраф за согласие, оформленное неправильно?

Если письменное согласие обязательно, но его нет или в нём не хватает обязательных реквизитов, юридическое лицо штрафуют на 300–700 тысяч рублей по части 2 статьи 13.11 КоАП. За обработку без законного основания штраф 150–300 тысяч рублей, за повторное нарушение по согласию сумма доходит до 1,5 миллиона.

Нужно ли согласие самозанятому или ИП?

Да, правила одинаковы для всех операторов. Для исполнения договора с клиентом согласие не нужно, а для рекламной рассылки, публикации отзывов с именами и передачи данных партнёрам обязательно. Кроме того, большинство операторов, включая ИП и самозанятых, обязаны уведомить о себе Роскомнадзор.

Как оформить согласие за ребёнка?

Закон о персональных данных возраст не устанавливает, на практике опираются на Гражданский кодекс. За ребёнка до четырнадцати лет согласие даёт законный представитель, подросток от четырнадцати до восемнадцати лет даёт согласие сам, но с письменного согласия родителя или опекуна. Оператор в любом случае проверяет полномочия представителя.

Можно ли отказаться дать согласие и что будет?

Согласие дают только добровольно, поэтому отказаться человек вправе. Если у обработки есть другое основание, например данные нужны для исполнения договора, отказ не помешает оператору оказать услугу. А когда без согласия не обойтись, например для рекламной рассылки, отказ означает, что эту операцию с данными проводить нельзя.

Нужно ли согласие на cookies по российскому закону?

Отдельного закона о cookies, как в Евросоюзе, в России нет. Роскомнадзор считает нарушением только неинформирование посетителей об использовании cookie, поэтому на сайте достаточно уведомления и опубликованной политики обработки данных. Жёсткое согласие на каждый тип cookie российский закон не требует.

Законно ли согласие по телефону или устно?

Прямого запрета на устное согласие закон не содержит, и формально оно допустимо там, где не нужна письменная форма. Сложность в доказывании, ведь подтвердить факт согласия обязан оператор. Поэтому устную форму используют редко и обычно с записью разговора, а надёжнее оформить согласие галочкой или документом.

Нужно ли регистрироваться оператором в Роскомнадзоре?

Согласие и уведомление Роскомнадзора относятся к разным обязанностям. Большинство операторов, включая ИП и самозанятых, обязаны до начала обработки уведомить о себе Роскомнадзор через портал персональных данных. Наличие согласий от уведомления не освобождает, выполнять нужно обе обязанности.

Кто рассматривает дела о нарушениях с 2026 года?

С 1 января 2026 года дела о нарушениях с персональными данными по статье 13.11 рассматривают мировые судьи. До этого, с мая 2025 года, такие дела временно вели арбитражные суды. Изменение вернул Федеральный закон от 28.12.2025 № 508-ФЗ, и теперь подсудность не зависит от того, кто нарушитель.

Коротко о главном

Согласие на обработку персональных данных давно перестало быть формальной галочкой и стало документом с понятными правилами, нарушение которых стоит компании сотен тысяч рублей. Прежде чем готовить согласие, стоит проверить, нужно ли оно вообще, потому что для исполнения договора и требований закона работает другое основание. Если согласие всё же нужно, его оформляют отдельным документом с конкретной целью, перечнем данных, сроком и понятным способом отзыва, а образец можно взять с официального портала Роскомнадзора.

Отдельные правила действуют для публикации данных, для биометрии, для согласия работников и для самозанятых, и сливать их в один общий бланк нельзя. Отзыв согласия не стирает данные мгновенно и не отменяет других оснований обработки, а через Госуслуги пока отзываются только согласия, выданные через эту же систему. На фоне массовых проверок Роскомнадзора, выросших штрафов и возврата дел мировым судьям с 2026 года привести согласия и сопутствующие документы в порядок дешевле и спокойнее, чем объяснять их недостатки на проверке. Тем, кто только выстраивает работу с персональными данными, полезно начать с обзора «Оператор персональных данных: кто это, обязанности и уведомление Роскомнадзора», где разобраны базовые обязанности оператора.

Оригинал публикации на сайте CISOCLUB: "Согласие на обработку персональных данных: когда нужно и как правильно оформить".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.