Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: 28 апреля 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024.

Зачем нужно согласие на обработку ПДн

Согласие — главное правовое основание для обработки персональных данных. Из шести оснований ст. 6 Федерального закона № 152-ФЗ именно согласие используется в 90% случаев на сайтах, в формах, CRM и рассылках.

Без согласия (или другого правового основания) обработка ПДн незаконна. По ч. 1 ст. 13.11 КоАП РФ штраф для юридических лиц составляет 300 000 – 700 000 ₽ за обработку без оснований. При повторном нарушении штраф вырастает до 1,5 млн ₽, а при утечке данных, собранных без согласия, применяется оборотный штраф 1–3% выручки — до 500 млн ₽ (ст. 13.11 ч. 13–15 КоАП в редакции ФЗ № 420-ФЗ от 30.11.2024).

Когда согласие обязательно, а когда нет

Согласие требуется всегда, кроме случаев, прямо указанных в ст. 6 ч. 1 152-ФЗ:

  • Исполнение договора, стороной которого является субъект (например, доставка оплаченного заказа)
  • Исполнение полномочий госоргана
  • Защита жизни и здоровья субъекта
  • Обработка общедоступных ПДн (СМИ, открытые реестры)
  • Журналистская, научная, литературная деятельность

Если ваш кейс не попадает ни под одно из этих оснований — нужно согласие. Маркетинговые рассылки, CRM, аналитика, ретаргетинг, отзывы на сайте, фотографии сотрудников, передача данных подрядчикам — везде нужно согласие.

9 обязательных пунктов согласия (ст. 9 ч. 4 152-ФЗ)

Закон чётко перечисляет, что должно быть в согласии. Если хотя бы одного пункта нет — согласие недействительно:

  1. ФИО, адрес субъекта, документ, удостоверяющий личность (паспорт — серия, номер, кем и когда выдан). Для электронного согласия достаточно ФИО и email/телефона
  2. ФИО, адрес представителя субъекта (если согласие даёт представитель) + реквизиты доверенности
  3. Наименование и адрес оператора, получающего согласие
  4. Цель обработки ПДн — конкретно, не «для любых целей»
  5. Перечень ПДн, на обработку которых даётся согласие
  6. Наименование и адрес лица, осуществляющего обработку по поручению оператора (подрядчики, хостинг, сервисы рассылок)
  7. Перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение
  8. Срок действия согласия и порядок отзыва
  9. Подпись субъекта (рукописная или электронная)

Типичные ошибки, за которые штрафуют

Ошибка 1: Предустановленная галочка. Согласие должно быть активным действием. Чекбокс, отмеченный по умолчанию, — это нарушение. Пользователь должен сам проставить галочку.

Ошибка 2: «Я соглашаюсь со всем». Объединение согласия на политику конфиденциальности, рассылку, передачу третьим лицам и согласие на распространение в одну галочку — нарушение принципа «информированности» (ст. 9 ч. 1). Каждая отдельная цель — отдельное согласие.

Ошибка 3: Размытые формулировки. «Для маркетинговых целей» — недостаточно. Нужно: «для отправки email-рассылок о новых товарах и акциях не чаще 4 раз в месяц».

Ошибка 4: Нет срока. Если срок не указан — закон считает, что согласие действует до достижения цели обработки. Это нормально для сайта, но рискованно: РКН может посчитать формулировку нечёткой.

Ошибка 5: Нет порядка отзыва. Субъект имеет право отозвать согласие в любой момент (ст. 9 ч. 2). Если в согласии не указано как именно это сделать (email, форма, бумажное заявление) — это нарушение.

Ошибка 6: Согласие на распространение «в общем». С 1 марта 2021 года согласие на распространение ПДн (публикация на сайте, в соцсетях, отзывы с фото) — это отдельный документ по ст. 10.1, а не пункт в общем согласии.

Электронное согласие vs письменное

Письменная форма обязательна для специальных категорий ПДн (ст. 10): расовая принадлежность, политические взгляды, состояние здоровья, сексуальная жизнь, биометрия. И для согласия на распространение (ст. 10.1).

Электронное согласие (галочка на сайте, нажатие кнопки в чат-боте, подтверждение по SMS) допускается для остальных случаев. Главное — оператор должен иметь возможность доказать факт получения согласия: лог в CRM, скриншот формы, запись в БД с IP, временной меткой и подписанной версией текста.

Сроки реакции на отзыв согласия

Если субъект отозвал согласие, оператор обязан:

  • 30 дней на ответ с информацией о действиях (ст. 20 ч. 3)
  • 7 рабочих дней на уточнение, блокирование или уничтожение данных по соответствующему запросу субъекта (ст. 21 ч. 1)

Не путайте эти сроки — это две разные нормы. За пропуск — штраф до 500 000 ₽ для юрлиц.

Чеклист валидного согласия

  • [ ] Прописаны ФИО оператора и контакты
  • [ ] Указаны цели — конкретные, а не «для любых целей»
  • [ ] Перечислены данные, которые собираются
  • [ ] Указаны подрядчики (CRM, сервисы рассылок, хостинг)
  • [ ] Перечислены действия с ПДн
  • [ ] Прописан срок действия и порядок отзыва
  • [ ] Чекбокс активный (не предустановлен)
  • [ ] Согласие на рассылку — отдельной галочкой
  • [ ] Согласие на распространение — отдельный документ
  • [ ] Факт получения согласия фиксируется в БД

Сколько стоит правильное согласие

С юристом: 5 000 – 15 000 ₽ за один документ + 2 000 – 5 000 ₽ за каждое отдельное согласие (рассылка, распространение, сотрудники).

С автоматическим сервисом: генерация согласий персонализирована под ваш бизнес и формы — входит в базовый пакет от 4 990 ₽, включая политику, cookie-баннер и согласие на обработку.

Не уверены, что ваше согласие соответствует закону? Запустите бесплатный аудит сайта на соответствие 152-ФЗ →

Статья актуальна на апрель 2026 года. Нормативные акты: 152-ФЗ «О персональных данных» (ст. 6, 9, 10, 10.1, 20, 21), КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024.