Согласие на обработку персональных данных: как правильно оформить в 2026 году

2026-06-03 10:08:03 Время чтения 8 мин 277

Как правильно оформить согласие на обработку персональных данных (ПДн), когда оно обязательно, когда можно обрабатывать ПДн без него и что будет, если не взять согласие, которое требуется по закону — читайте более подробно в статье.

Когда нужно брать согласие на обработку персональных данных

Согласие нужно во всех случаях, когда у оператора нет законных причин для работы с личной информацией без него (ст. 6 ФЗ от 27.07.2006 № 152-ФЗ).

Обрабатывать ПДн без согласия можно, например, если это необходимо:

  1. для выполнения обязанностей по договору, стороной или выгодоприобретателем по которому выступает сам человек (например, доставка заказа из интернет-магазина);
  2. для исполнения обязанностей, которые оператор обязан выполнять по закону (кадровый и налоговый учет, воинский учет и т.д.);
  3. для защиты жизни и/или здоровья человека, который не может дать согласие в силу своего тяжелого состояния;
  4. для осуществления правосудия или исполнения судебного акта;
  5. в статистических целях или для исследований после обязательного обезличивания ПДн;
  6. для работы со сведениями, подлежащими обязательному раскрытию по федеральному закону.

Во всех остальных случаях согласие должно быть получено до начала любых операций с информацией.

Также не путайте согласие на обработку и согласие на маркетинговые рассылки - это разные документы. Пример: Интернет-магазин собирает у покупателя адрес, телефон и e-mail для оформления и доставки заказа. Поскольку эти данные необходимы для исполнения ДКП (ст. 6 ФЗ №152-ФЗ), получать отдельное согласие не нужно — доставка без контактной информации невозможна. Однако если магазин планирует отправлять покупателю рекламные SMS и email-рассылки с новинками и акциями, такая обработка выходит за рамки договора. Для этого на этапе оформления заказа размещается отдельный, пустой по умолчанию чекбокс с текстом «Я даю согласие на получение рекламных сообщений». Пользователь сам ставит галочку — только после этого рассылка становится законной.

Как составить согласие правильно

Образец согласия из интернета — это лишь скелет. Использовать скачанный бланк без адаптации под конкретный бизнес рискованно: регулятор при проверке легко выявит несоответствие документа реальным процессам компании. Текст согласия должен быть индивидуальным и отражать именно ваши цели, категории ПДн и способы их обработки.

Что должно быть указано в согласии (ч. 4 ст. 9 ФЗ № 152-ФЗ):

  1. сведения о субъекте: ФИО, адрес и т.д.;
  2. информация о представителе, если документ подписывает он;
  3. данные оператора;
  4. цели взятия и работы с ПДн;
  5. перечень ПДн, на обработку которых дается согласие;
  6. данные лица, которому поручена обработка (если оператор передает данные подрядчику);
  7. список действий с ПДн и общее перечисление способов работы с ПДн;
  8. срок действия согласия и способ его отзыва;
  9. подпись субъекта.

Где разместить согласие на обработку персональных данных на сайте

Форму согласия необходимо разместить рядом с каждой точкой сбора ПДн, а его полный текст — на отдельной странице, доступной по прямой ссылке.

Правила размещения:

  1. текст открывается на отдельной странице без лишних переходов;
  2. Политика обработки ПДн размещается в футере сайта и доступна с любой страницы;
  3. чекбокс «даю согласие на обработку ПДн» должен быть неактивным по умолчанию;
  4. для каждой цели работы с ПДн — отдельный чекбокс.

Если работать с ПДн без согласия: штраф

Пример, когда компанию оштрафовали:

Маркетинговое агентство собирало контакты посетителей сайта через форму обратной связи. Чекбокс был предустановлен, а прямой ссылки на текст согласия рядом с формой не было. По жалобе пользователя Роскомнадзор провел проверку и выявил, что более 300 человек были внесены в базу для email-рассылки без надлежащего согласия. Суд в итоге наложил на компанию штраф в размере 300 000 рублей.

Распространенные ошибки при оформлении согласия

Ошибка №1: согласие на распространение данных оформляется по общей форме

Для размещения личной информации в открытом доступе требуется отдельное согласие по ст. 10.1 ФЗ № 152-ФЗ. В нем субъект должен сам выбрать, какие сведения и для каких целей разрешает распространять.

Как избежать: не используйте общий бланк согласия на обработку — для распространения нужен отдельный документ

Ошибка №2: в согласии не указано лицо, которому поручена обработка.

Если оператор привлекает подрядчика (например, бухгалтерскую компанию или IT-сервис), это обязательно должно быть отражено в тексте согласия. Отсутствие этих сведений делает документ неполным. Как избежать: проверьте, что для каждого поручения в согласии прописано полное наименование или ФИО и адрес лица, осуществляющего обработку по вашему поручению.

Ошибка №3: согласие подписывает неуполномоченный представитель субъекта.

Если документ за несовершеннолетнего или недееспособного гражданина подписывает лицо без подтвержденных полномочий, такое согласие признается ничтожным. Как избежать: до подписания проверьте документы представителя: паспорт, доверенность или свидетельство о рождении ребенка. Реквизиты этих документов обязательно внесите в текст согласия.

Оформление согласия на обработку персональных данных: чек-лист для ИП и организаций.

  1. Указывайте в согласии конкретные цели. Общие формулировки вроде «для любых целей» или «по усмотрению оператора» не допускаются.
  2. Фиксируйте факт дачи согласия. При электронном сборе сохраняйте логи с IP-адресом, временем и текстом согласия. Без этого доказать законность работы с ПДн при проверке будет невозможно.
  3. Настройте механизм отзыва. Укажите в тексте согласия конкретный адрес электронной почты или форму, через которую субъект может отозвать свое согласие, и обеспечьте обработку таких запросов в течение 30 дней.
  4. Обучите сотрудников. Все, кто работает с ПДн, должны знать правила получения и хранения согласий, а также порядок действий при получении отзыва.
  5. Храните согласия после прекращения работы с ПДн. Даже если цель достигнута и ПДн уничтожены, сами согласия рекомендуется хранить в течение срока исковой давности (3 года) — они могут понадобиться при проверке или судебном споре.
Другие материалы блога
Публикация в Федресурсе в 2026 году: как и когда размещать сообщения
2026-06-05 10:20:23 140
Документы по персональным данным в 2026 году: какие должны быть у ИП и организаций
2026-06-04 14:34:38 168
Регистрация в Роскомнадзоре: как блогерам, ИП и организациям зарегистрироваться в РКН в 2026 году
2026-06-03 12:30:21 257
Категорирование КИИ: пошаговая инструкция и чек-лист для бизнеса
2026-05-19 09:08:54 618
Персональные данные: полный гайд на 2026 год
2026-04-09 12:09:26 3219
Еще материалы
📰 Ваша новостная картина недели от OOH Mag
2026-06-06 15:42:26 146
Что день грядущий нам готовит?
2026-06-06 13:27:16 153
Эксперты АБКР провели сессию по брендингу в рамках саммита «Аграрная политика России»
2026-06-05 21:27:50 210
Эксперт АБКР выступила на конференции «Маркетинг. Брендинг. Коммуникации: время перемен»
2026-06-05 21:25:17 269
Искусственный интеллект впервые за одним столом с крупнейшим бизнесом России
2026-06-05 17:16:33 292
На премию «ВЫЗОВ» поступило рекордное количество заявок — более 1,4 тыс. из 48 стран
2026-06-05 13:18:27 273