Согласие на обработку персональных данных в 2026 году: образец, правила, частые ошибки
- С 1 сентября 2025 года согласие на обработку ПДн оформляется только как отдельный документ — нельзя встраивать в договор или анкету
- В согласии 8 обязательных реквизитов по ст. 9 ФЗ-152 — без любого из них документ недействителен
- Штраф за обработку без согласия: до 700 000 ₽ для организаций, до 300 000 ₽ для ИП
- Ниже — образец, таблица реквизитов и чек-лист для самопроверки
1. Что такое согласие на обработку ПДн и зачем оно нужно
Согласие на обработку персональных данных — это добровольное, конкретное, информированное и сознательное выражение воли субъекта персональных данных, которым он разрешает оператору обрабатывать свои данные (ч. 1 ст. 9 ФЗ-152).
Проще говоря: если ваш сайт собирает ФИО, телефон, email, IP-адрес или cookies — вы оператор персональных данных. И для большинства сценариев обработки нужно получить согласие субъекта.
Согласие — не формальность. Это юридический документ, который защищает и субъекта (его данные обрабатывают только в оговорённых целях), и оператора (доказательство законности обработки при проверке Роскомнадзора). Вместе с согласием на сайте должна быть политика обработки персональных данных — два ключевых документа по ФЗ-152.
2. Когда согласие обязательно, а когда — нет
ФЗ-152 не требует получать согласие в каждом случае. Статья 6 перечисляет основания, при которых обработка допускается без согласия.
Когда согласие НЕ требуется (ст. 6 ФЗ-152)
- Исполнение договора — обработка необходима для заключения или исполнения договора, стороной которого является субъект (п. 5 ч. 1 ст. 6)
- Закон обязывает — обработка необходима для выполнения обязанности, возложенной законом (п. 2 ч. 1 ст. 6)
- Жизненно важные интересы — обработка необходима для защиты жизни или здоровья субъекта (п. 6 ч. 1 ст. 6)
- Общедоступные данные — субъект сам сделал данные общедоступными (п. 10 ч. 1 ст. 6)
- Статистика и исследования — при условии обезличивания (п. 9 ч. 1 ст. 6)
Когда согласие обязательно
- Сбор данных через формы обратной связи на сайте (заявка, подписка, регистрация)
- Обработка для маркетинговых целей — рассылки, персонализация, аналитика
- Обработка специальных категорий ПДн — здоровье, биометрия, политические взгляды (ст. 10)
- Трансграничная передача в страны без адекватной защиты (ст. 12)
- Передача данных третьим лицам, не предусмотренная договором
- Любая обработка, не подпадающая под исключения ст. 6
Важно: даже при наличии договора вам нужно отдельное согласие, если вы обрабатываете данные для целей, не связанных с исполнением этого договора. Например, для email-рассылок или передачи данных партнёрам.
3. Что изменилось с 1 сентября 2025 года
Федеральный закон от 28.02.2025 № 23-ФЗ (а затем ФЗ от 24.06.2025 № 156-ФЗ) внёс существенные изменения в порядок получения согласия:
«Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным» — ч. 1 ст. 9 ФЗ-152 (ред. от 24.06.2025). Источник
Что это значит на практике: если до 1 сентября 2025 года у вас согласие было вшито в договор или в пользовательское соглашение — оно стало недействительным. Нужно переоформить как отдельный документ.
4. Обязательные реквизиты согласия (ст. 9 ФЗ-152)
Часть 4 статьи 9 ФЗ-152 устанавливает 8 обязательных элементов письменного согласия. Отсутствие любого из них делает согласие недействительным.
| в„– | Реквизит | Что указывать |
|---|---|---|
| 1 | ФИО и данные субъекта | Фамилия, имя, отчество, адрес, реквизиты паспорта (серия, номер, дата выдачи, кем выдан) |
| 2 | Данные представителя | Если согласие даёт представитель — его ФИО, адрес, паспорт, реквизиты доверенности |
| 3 | Наименование оператора | Полное наименование или ФИО (для ИП), адрес, ИНН |
| 4 | Цель обработки | Конкретная цель: «обработка заявки на услугу», «направление маркетинговых сообщений» и т.д. |
| 5 | Перечень ПДн | Какие именно данные: ФИО, телефон, email, адрес, IP-адрес, cookie-файлы и т.д. |
| 6 | Лицо, обрабатывающее по поручению | Если обработку ведёт подрядчик — его наименование, адрес, перечень действий |
| 7 | Действия с данными и способы обработки | Сбор, запись, систематизация, хранение, уточнение, использование, передача, уничтожение. Автоматизированная / неавтоматизированная обработка |
| 8 | Срок действия и способ отзыва | Конкретный срок или событие (до достижения цели). Способ отзыва: заявление на email / почтовый адрес оператора |
Подпись субъекта — собственноручная (на бумаге) или электронная подпись, равнозначная собственноручной (ч. 4 ст. 9 ФЗ-152).
5. Образец согласия на обработку ПДн 2026
Ниже — структура согласия, которая соответствует всем требованиям ст. 9 ФЗ-152 в редакции от 24.06.2025.
СОГЛАСИЕ
на обработку персональных данных
Я, ___________________ (ФИО), проживающий(-ая) по адресу: ___________________, паспорт серия _____ номер ________, выдан ___________________ (дата, кем выдан),
на основании статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ___________________ (наименование оператора, ИНН, адрес) на обработку моих персональных данных на следующих условиях:
1. Цель обработки: ___________________ (например: «обработка заявки на оказание услуг, заключение и исполнение договора, информирование об услугах»).
2. Перечень персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, почтовый адрес, ИНН.
3. Действия с данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
4. Способ обработки: автоматизированная и неавтоматизированная обработка.
5. Лица, осуществляющие обработку по поручению оператора: ___________________ (наименование, адрес) или «отсутствуют».
6. Срок действия согласия: до достижения цели обработки или до момента отзыва согласия субъектом персональных данных.
7. Порядок отзыва: согласие может быть отозвано путём направления письменного заявления на адрес оператора: ___________________ или на email: ___________________.
Дата: «___» ___________ 202__ г. Подпись: _______________
Составлять согласие вручную — долго и есть риск упустить обязательные реквизиты. Автоматизируйте процесс:
6. Согласие в электронной форме
Закон допускает получение согласия в электронной форме (ч. 1 ст. 9 ФЗ-152). Но важно различать два варианта:
Простое согласие (ч. 1 ст. 9)
Допускается в любой форме, позволяющей подтвердить факт получения. На практике это:
- Чекбокс на сайте — «Я согласен на обработку персональных данных» со ссылкой на полный текст
- Двойное подтверждение (double opt-in) — пользователь ставит чекбокс + подтверждает по email
- СМС-подтверждение — код из SMS как подтверждение согласия
Обязательно фиксируйте: дату и время получения согласия, IP-адрес, user-agent, текст согласия на момент получения (версионирование).
Письменное согласие (ч. 4 ст. 9)
Требуется в случаях, указанных в законе (обработка специальных категорий, биометрия, трансграничная передача). Электронная форма допустима, но подписана должна быть:
- Электронной подписью, равнозначной собственноручной (УКЭП)
- Иным способом, определённым нормативными актами или соглашением сторон
Совет: для сайта в большинстве случаев достаточно простого согласия (ч. 1 ст. 9) — чекбокс + текст. Письменная форма нужна при обработке специальных категорий ПДн или трансграничной передаче.
7. Отзыв согласия: права субъекта и обязанности оператора
Субъект персональных данных вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). Что обязан сделать оператор:
- Прекратить обработку данных в целях, для которых было дано согласие
- Уничтожить данные в течение 30 дней, если нет иных законных оснований (ч. 5 ст. 21 ФЗ-152)
- Уведомить третьих лиц, которым данные были переданы, об отзыве согласия
Исключения: оператор вправе продолжить обработку без согласия, если есть другие основания по ст. 6 ФЗ-152 (действующий договор, обязанность по закону, защита жизни и здоровья).
На практике: если клиент заключил с вами договор и отозвал согласие на рассылку — вы прекращаете рассылку, но продолжаете хранить его данные для исполнения договора.
8. Штрафы за отсутствие или неправильное согласие
С 30 мая 2025 года штрафы по ст. 13.11 КоАП существенно выросли. Ниже — штрафы, непосредственно связанные с согласием:
| Нарушение | Граждане | Должн. лица | ИП | Юрлица |
|---|---|---|---|---|
| Обработка без согласия или с нарушением требований к согласию (ч. 2) | 10-15 тыс. | 100-300 тыс. | 100-300 тыс. | 300-700 тыс. |
| Повторное нарушение (ч. 2.1) | 15-30 тыс. | 300-500 тыс. | 500-1 000 тыс. | 1-1,5 млн |
| Обработка без уведомления субъекта о целях, правовых основаниях и т.д. (ч. 3) | 3-5 тыс. | 30-50 тыс. | 30-50 тыс. | 100-200 тыс. |
| Непредоставление информации субъекту по его запросу (ч. 4) | 5-10 тыс. | 30-60 тыс. | 30-60 тыс. | 60-100 тыс. |
| Нарушение сроков уничтожения данных по отзыву или достижению цели (ч. 5) | 5-10 тыс. | 30-50 тыс. | 50-100 тыс. | 100-200 тыс. |
Суммы указаны в рублях. Источник: КонсультантПлюс, Data-Sec.
Подробный разбор всех штрафов, включая оборотные (до 3% годовой выручки за утечки) — в статье «Штрафы за персональные данные с 30 мая 2025».
9. Чек-лист: проверьте своё согласие
- Согласие оформлено как отдельный документ (не в составе договора или анкеты)
- Указаны ФИО и паспортные данные субъекта
- Указано полное наименование оператора (ИНН, адрес)
- Указана конкретная цель обработки (не «в любых целях»)
- Перечислены конкретные категории ПДн (ФИО, email, телефон и т.д.)
- Описаны действия и способы обработки
- Указан срок действия согласия
- Описан порядок отзыва (email, почтовый адрес)
- Есть подпись субъекта или её электронный аналог
Если хотя бы один пункт не выполнен — согласие может быть признано недействительным, а обработка данных — незаконной. Подробный чек-лист по всему сайту — в статье «Персональные данные на сайте: полный чек-лист ФЗ-152».
FAQ
Нет, если обработка необходима для исполнения договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 ФЗ-152). Но если вы обрабатываете данные для целей, не связанных с договором (например, рассылка), согласие обязательно.
Да, для простого согласия (ч. 1 ст. 9) достаточно чекбокса и ссылки на текст согласия. Но для письменного согласия (ч. 4 ст. 9) нужна электронная подпись, равнозначная собственноручной.
Согласие на обработку (ст. 9 ФЗ-152) — общее разрешение на сбор, хранение, использование данных. Согласие на распространение (ст. 10.1) — отдельное разрешение на публикацию данных для неограниченного круга лиц, оформляется по форме Приказа РКН от 24.02.2021 № 18.
Весь срок обработки данных плюс 3 года после её прекращения (срок исковой давности). Рекомендуется хранить согласие в электронном виде с фиксацией даты и способа получения.
Оператор обязан прекратить обработку и уничтожить данные в течение 30 дней (ч. 5 ст. 21 ФЗ-152), если нет иных законных оснований для продолжения обработки (договор, закон, жизненно важные интересы).