Главная Статьи Как оформить согласие на обработку ПДн на сайте

Как оформить согласие на обработку ПДн на сайте

Автор: Наталия Рагулина

Дата: 16.06.2026 (обновлена)

Любой сайт, на котором есть форма обратной связи, кнопка «Перезвоните мне» или счетчик аналитики, собирает персональные данные. С точки зрения законодательства владелец такого сайта является оператором ПДн и несет полную ответственность за законность их сбора и обработки.

Одним из ключевых условий законной работы с ПДн является наличие согласия пользователя (если нет иного основания по ст.6 152-ФЗ — например, исполнение договора).

На практике большинство сайтов нарушают это требование. Плашка «Продолжая использовать сайт, вы соглашаетесь...» согласием не является, так же как и проставленная по умолчанию галочка. Штраф за обработку ПДн без надлежащего согласия для юридических лиц достигает 300 тысяч рублей. С 2026 года такие нарушения вновь рассматривает суд общей юрисдикции, что существенно ускоряет привлечение к ответственности. В статье раскроем, что именно считается персональными данными, как оформить чекбоксы в формах и что необходимо логировать.

Написать в мессенджер

Содержание

Что считается персональными данными на сайте
Кто обязан получать согласие
Как оформить согласие в формах на сайте
Как логировать факт согласия

Что считается персональными данными на сайте

По определению 152-ФЗ, ПДн — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Формулировка намеренно широкая: законодатель не ограничивает перечень конкретными сведениями.

На практике к ПДн, собираемым на сайте, относятся:

имя и фамилия. Даже имя без фамилии в связке с номером телефона уже идентифицирует человека;
номер телефона и адрес электронной почты. Как правило, они собираются через формы обратной связи, подписки, регистрации;
IP-адрес. Фиксируется автоматически при каждом визите;
cookie-файлы. Содержат идентификаторы устройства и отслеживают поведение пользователя на сайте;
данные из форм. Должность, название компании-работодателя, любые сведения о себе, которые пользователь вводит самостоятельно.

Отдельного внимания заслуживают cookies. Сами по себе технические cookie, например, те, что сохраняют товары в корзине или иным образом обеспечивают функционирование сайта, не идентифицируют человека, а потому и не требуют согласия на обработку ПДн. Но аналитические и маркетинговые cookie работают иначе: счетчики Яндекс Метрики, пиксели ВКонтакте и Telegram накапливают данные о поведении пользователя и передают их третьим лицам, то есть рекламным сетям и сервисам аналитики. Роскомнадзор расценивает подобную передачу как обработку ПДн, которая требует отдельного согласия. Сбор cookies, передающих данные третьим лицам, регулируется 152-ФЗ наравне с любой другой формой обработки ПДн.

Важно понимать: оператором ПДн становится не только тот, кто хранит базу клиентов в CRM, а любой владелец сайта, на котором установлен хотя бы один счетчик аналитики или размещена форма сбора контактов.

Кто обязан получать согласие

Получать согласие обязан любой владелец сайта, который собирает, хранит или передает ПДн пользователей, вне зависимости от формы собственности и масштаба бизнеса.

Многие предприниматели ошибочно полагают, что требования 152-ФЗ распространяются только на крупные компании с большими базами данных. На практике это не так. Как только на сайте появляется форма с полем «Имя» или «Телефон», владелец сайта автоматически становится оператором ПДн со всеми вытекающими обязанностями. Организационно-правовая форма значения не имеет: ООО, ИП и самозанятый с сайтом находятся в одинаковом правовом положении.

Оператором ПДн по факту является владелец сайта, если на нем присутствует даже что-то одно из списка:

форма обратной связи, заполнения заявки или заказа обратного звонка;
форма регистрации или авторизации в личном кабинете;
форма подписки на рассылку;
счетчик веб-аналитики Яндекс Метрика, Google Analytics;
рекламный пиксель ВКонтакте, Telegram;
онлайн-чат или виджет мессенджера.

Регистрация в реестре операторов ПДн Роскомнадзора — отдельная обязанность, которая возникает параллельно с началом обработки ПДн. Уведомление подается до начала работы с ПДн, а не после запуска сайта. Эксперты «Хелп Консалтинг» помогут подготовить и подать уведомление в Роскомнадзор о начале работы с персональными данными в установленные сроки и с учетом специфики ваших бизнес-процессов.

Как оформить согласие в формах на сайте

Согласие, оставленное в форме на сайте, считается действительным только при одновременном соблюдении двух условий: пользователь самостоятельно проставил галочку в пустом чекбоксе, и этот чекбокс относится к конкретной цели обработки ПДн.

Статья 9 закона № 152-ФЗ устанавливает, что согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Каждый из этих критериев напрямую влияет на то, как технически реализуется чекбокс в форме.

Правило пустого чекбокса

Галочка в форме не может быть проставлена по умолчанию. Механизм pre-checked, при котором пользователь видит уже отмеченный чекбокс и должен снять галочку, чтобы отказаться, прямо противоречит требованию однозначности и сознательности согласия. Молчание или бездействие пользователя не может считаться согласием: это требование ч. 1 ст.9 152-ФЗ: согласие должно быть однозначным, то есть выражено активным действием, а не молчанием или бездействием.

Пользователь обязан совершить активное действие и самостоятельно поставить галочку. До этого момента кнопка отправки формы должна оставаться неактивной.

Два чекбокса вместо одного

Одной из наиболее распространенных ошибок в веб-формах является объединение в одном чекбоксе двух юридически разных процессов: согласия на обработку ПДн и согласия на получение рекламных рассылок.

Это два самостоятельных правовых основания. Обработка ПДн для исполнения договора или ответа на заявку регулируется 152-ФЗ, а рекламную рассылку регулирует статья 18 закона №38-ФЗ «О рекламе», которая требует отдельного согласия на получение рекламы. Объединение этих согласий в один чекбокс делает их оба недействительными.

Формулировка текста под галочкой

Текст рядом с чекбоксом должен содержать ссылку на документ, с которым пользователь соглашается. Расплывчатые формулировки, такие как «соглашаюсь с условиями», без прикрепления конкретного документа или ссылки на него не отвечают критерию информированности.

Корректная формулировка выглядит так: «Я даю согласие на обработку моих персональных данных в соответствии с [ссылка на согласие на обработку персональных данных]».

Фраза «Отправляя заявку, вы соглашаетесь на обработку персональных данных» без чекбокса не имеет юридической силы. Она не фиксирует активное действие пользователя и не позволяет доказать факт получения согласия.

Как логировать факт согласия

Логирование — это фиксация цифрового следа, подтверждающего, что конкретный пользователь дал согласие на обработку своих ПДн в определенный момент времени.

Получить согласие недостаточно. Необходимо иметь возможность доказать его наличие. Часть 3 статьи 9 закона №152-ФЗ прямо возлагает бремя доказывания на оператора: именно владелец сайта обязан подтвердить, что согласие было получено. При проверке Роскомнадзора или в судебном споре показания сторон без технической фиксации не являются доказательством.

Что именно нужно фиксировать

Минимально достаточный набор ПДн для логирования согласия включает:

Параметр	Что фиксируется	Зачем
IP-адрес	Сетевой адрес устройства пользователя	Идентифицирует источник согласия
Временная метка	Дата и точное время клика	Подтверждает момент получения согласия
User-Agent	Браузер и операционная система	Дополнительная идентификация устройства
Версия документа	Номер или дата актуальной политики конфиденциальности, редакции согласия	Подтверждает, с каким именно документом согласился пользователь
Идентификатор формы	Название или ID формы на сайте	Указывает, через какой элемент сайта получено согласие

Где и как хранить логи

Логи согласий хранятся на стороне сервера, а именно в базе данных сайта или отдельном защищенном хранилище. Хранение только в браузере пользователя через cookie не является надлежащей фиксацией: пользователь может очистить cookies, и доказательство будет утрачено.

Срок хранения логов определяется сроком действия согласия и периодом, в течение которого возможна проверка или судебное разбирательство. На практике рекомендуется хранить логи не менее трех лет после прекращения обработки ПДн конкретного пользователя.

Что происходит при отзыве согласия

Если пользователь отозвал согласие, лог отзыва также подлежит фиксации с той же детализацией: дата, время, способ отзыва. После получения отзыва оператор обязан уничтожить ПДн в течение 30 дней. Факт уничтожения фиксируется отдельно.

Технически логирование реализуется на уровне серверного кода сайта. На платформах WordPress это решается через специализированные плагины управления согласиями, а на Tilda и Bitrix — через интеграцию с CRM или отдельными скриптами. Для сайтов с высокой посещаемостью или работающих с чувствительными данными целесообразно рассмотреть внедрение специализированного решения, которое автоматизирует сбор, хранение и управление согласиями, например, Consent Management Platform.

Штрафы за нарушения на сайте

За нарушения в сфере обработки ПДн на сайте предусмотрена административная ответственность по статье 13.11 КоАП РФ. С 30 мая 2025 года (ФЗ №420-ФЗ от 30.11.2024) размеры штрафов существенно выросли, а рассмотрение дел перешло к судам общей юрисдикции в лице мировых судей, что ускорило процесс привлечения к ответственности.

Роскомнадзор выявляет нарушения как в ходе плановых проверок, так и по жалобам от конкурентов, недовольных клиентов или сотрудников. Автоматизированный мониторинг сайтов также ведется на постоянной основе. Это означает, что вероятность выявления нарушения не зависит от размера бизнеса или региона присутствия.

Ниже приведены актуальные на 2026 год размеры штрафов за наиболее распространенные нарушения на сайтах:

Нарушение	Статья КоАП	Штраф для юрлиц (первичное)	Штраф для юрлиц (повторное)
Обработка ПДн без согласия субъекта	Ч. 1 ст. 13.11	150 000 — 300 000 руб.	от 300 000 до 500 000 руб.
Обработка ПДн без необходимого письменного согласия	Ч. 2 ст. 13.11	300 000 – 700 000 руб.	от 1 000 000 до 1 500 000 руб.
Отсутствие политики конфиденциальности на сайте	Ч. 3 ст. 13.11	до 60 000 руб.	повторный состав в ст.13.11 не предусмотрен
Необеспечение возможности отзыва согласия	Ч. 1 ст. 13.11	150 000 — 300 000 руб.	300 000 — 500 000 руб.
Нарушение сроков уничтожения ПДн после отзыва согласия	Ч. 1 ст. 13.11	150 000 — 300 000 руб.	300 000 — 500 000 руб.

Штрафы суммируются. Если при проверке выявлено несколько нарушений одновременно: например, отсутствует политика обработки ПДн, согласие получено через pre-checked чекбокс, а логи не ведутся, то каждое из них квалифицируется отдельно. Итоговая сумма для небольшой компании может оказаться критической.

Помимо административной ответственности, с декабря 2024 года (ФЗ №421-ФЗ от 30.11.2024) введена уголовная ответственность за незаконное использование и передачу ПДн по статье 272.1 УК РФ. Она применяется при утечках данных и умышленных нарушениях, однако ее появление в правовом поле существенно меняет общий уровень риска для операторов ПДн.

Ответы на вопросы

Является ли фраза «Отправляя заявку, вы соглашаетесь на обработку персональных данных» законной?

Нет. Такая формулировка без отдельного чекбокса не фиксирует активного действия пользователя и не является согласием согласно статье 9 закона № 152-ФЗ.
Являются ли файлы cookie ПДн?

Технические cookie, которые обеспечивают работу сайта, например, сохранение товаров в корзине, ПДн не являются и не требуют получения согласия. Аналитические и маркетинговые cookie, передающие данные о поведении пользователя в Яндекс Метрику, Google Analytics или рекламные пиксели, РКН расценивает как обработку ПДн. На их использование требуется отдельное согласие.
Нужна ли политика конфиденциальности для лендинга с одной формой?

Да. Наличие любой формы сбора ПДн на сайте, включая лендинг с единственным полем «Телефон», обязывает владельца разместить политику конфиденциальности и получить согласие пользователя.
Может ли галочка в форме стоять по умолчанию?

Нет. Предустановленная галочка прямо противоречит требованию однозначности согласия. Пользователь обязан самостоятельно ее поставить.

Можно ли объединить согласие на обработку ПДн и согласие на рекламную рассылку в один чекбокс?

Нет. Это два самостоятельных правовых процесса с разными основаниями: обработка ПДн регулируется 152-ФЗ, а рассылка рекламы — статьей 18 закона № 38-ФЗ. Объединение в один чекбокс делает оба согласия недействительными. Под формой должны располагаться два отдельных пустых чекбокса.
Какой штраф грозит за отсутствие согласия при сборе данных на сайте?

За обработку ПДн без согласия или с нарушением его формы юридическому лицу грозит штраф от 150 000 до 300 000 рублей при первичном нарушении и от 300 000 до 500 000 рублей при повторном. При отсутствии согласия в письменной форме, когда это требовалось по закону, юридическое лицо может получить штраф от 300 000 до 700 000 руб за первичное нарушение от 1 000 000 до 1 500 000 за повторное.
Обязан ли ИП получать согласие на обработку ПДн?

Да. Организационно-правовая форма значения не имеет. Любой владелец сайта с формами сбора данных или счетчиками аналитики является оператором ПДн и обязан соблюдать требования 152-ФЗ.
Как долго нужно хранить логи согласий?

Законом конкретный срок хранения логов не установлен. На практике рекомендуется хранить их не менее трех лет после прекращения обработки ПДн, что соответствует общему сроку исковой давности по ст. 196 ГК РФ и позволяет подтвердить правомерность сбора данных при возможных претензиях.

При отзыве согласия в системе фиксируется дата и способ отзыва, а также дата фактического уничтожения ПДн. Эти записи хранятся в течение такого же срока, что и логи согласий.

Является ли фраза «Отправляя заявку, вы соглашаетесь на обработку персональных данных» законной?

Нет. Такая формулировка без отдельного чекбокса не фиксирует активного действия пользователя и не является согласием согласно статье 9 закона № 152-ФЗ.
Являются ли файлы cookie ПДн?

Технические cookie, которые обеспечивают работу сайта, например, сохранение товаров в корзине, ПДн не являются и не требуют получения согласия. Аналитические и маркетинговые cookie, передающие данные о поведении пользователя в Яндекс Метрику, Google Analytics или рекламные пиксели, РКН расценивает как обработку ПДн. На их использование требуется отдельное согласие.
Нужна ли политика конфиденциальности для лендинга с одной формой?

Да. Наличие любой формы сбора ПДн на сайте, включая лендинг с единственным полем «Телефон», обязывает владельца разместить политику конфиденциальности и получить согласие пользователя.
Может ли галочка в форме стоять по умолчанию?

Нет. Предустановленная галочка прямо противоречит требованию однозначности согласия. Пользователь обязан самостоятельно ее поставить.
Можно ли объединить согласие на обработку ПДн и согласие на рекламную рассылку в один чекбокс?

Нет. Это два самостоятельных правовых процесса с разными основаниями: обработка ПДн регулируется 152-ФЗ, а рассылка рекламы — статьей 18 закона № 38-ФЗ. Объединение в один чекбокс делает оба согласия недействительными. Под формой должны располагаться два отдельных пустых чекбокса.
Какой штраф грозит за отсутствие согласия при сборе данных на сайте?

За обработку ПДн без согласия или с нарушением его формы юридическому лицу грозит штраф от 150 000 до 300 000 рублей при первичном нарушении и от 300 000 до 500 000 рублей при повторном. При отсутствии согласия в письменной форме, когда это требовалось по закону, юридическое лицо может получить штраф от 300 000 до 700 000 руб за первичное нарушение от 1 000 000 до 1 500 000 за повторное.
Обязан ли ИП получать согласие на обработку ПДн?

Да. Организационно-правовая форма значения не имеет. Любой владелец сайта с формами сбора данных или счетчиками аналитики является оператором ПДн и обязан соблюдать требования 152-ФЗ.
Как долго нужно хранить логи согласий?

Законом конкретный срок хранения логов не установлен. На практике рекомендуется хранить их не менее трех лет после прекращения обработки ПДн, что соответствует общему сроку исковой давности по ст. 196 ГК РФ и позволяет подтвердить правомерность сбора данных при возможных претензиях.

При отзыве согласия в системе фиксируется дата и способ отзыва, а также дата фактического уничтожения ПДн. Эти записи хранятся в течение такого же срока, что и логи согласий.