Согласие на обработку персональных данных: как оформить в 2026
С 1 сентября 2025 года согласие на обработку персональных данных нельзя «зашить» в пользовательское соглашение или в один чекбокс «принимаю условия». Закон теперь требует оформлять его отдельно. Многие сайты до сих пор работают по старой схеме и считают, что галочка под формой всё закрывает.
Ниже покажем, почему ссылки «ознакомлен с политикой» теперь недостаточно и где согласие, наоборот, требовать вообще не нужно.
Согласие и политика — это два разных документа
Их постоянно путают, хотя функции у них противоположные.
Политика конфиденциальности — это документ оператора. Он один на весь сайт, его публикуют для ознакомления, и от посетителя не требуется никаких действий, чтобы политика начала работать. Она описывает, как оператор в принципе обращается с данными.
Согласие — это действие субъекта. Конкретный человек активно выражает волю: ставит отметку в чекбоксе под формой, подписывает бумагу. Без этого действия согласия нет. Политика отвечает на вопрос «как устроена обработка у оператора», согласие — «разрешил ли этот человек обработать его данные».
Отсюда практический вывод: ссылка на политику и чекбокс согласия — это не одно и то же. Дать ссылку «ознакомлен с политикой» недостаточно там, где обработка строится именно на согласии. Нужна отдельная отметка волеизъявления.
Что изменилось: согласие оформляется отдельно
Раньше операторы массово склеивали всё в одну строку: «принимаю оферту, политику и даю согласие на обработку». Изменения в статью 9 закона 152-ФЗ это прекратили. С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельно от иных согласий и документов.
На практике это значит: один общий чекбокс «согласен со всем» больше не годится. Согласие на обработку — отдельный пункт, отдельное волеизъявление, которое нельзя смешивать с принятием оферты или ознакомлением с политикой.
Если на сайте несколько целей, требующих согласия (например, обработка заявки и отдельно рекламная рассылка), их тоже корректнее разводить, а не собирать под одну галочку. Согласие на рассылку — это не то же самое, что согласие на обработку заявки.
Признаки действительного согласия
Само по себе наличие чекбокса ничего не гарантирует. Часть 1 статьи 9 закона 152-ФЗ задаёт, каким согласие должно быть, чтобы иметь силу. Разберём по признакам.
Конкретное и предметное. Понятно, на обработку каких данных и для каких целей человек соглашается. «Согласие на всё» предметным не считается.
Информированное. До того как поставить отметку, человек видит, кто оператор, какие данные собираются и зачем. Если рядом с чекбоксом нет ни ссылки на политику, ни пояснения, согласие нельзя назвать информированным.
Сознательное. Это активное действие самого человека. Заранее проставленная галочка, которую нужно снять, чтобы отказаться, сознательным согласием не является, ведь субъект ничего не выбирал.
Однозначное. Из действия ясно видно, что человек именно согласился, а не просто пролистал форму. Двусмысленные формулировки работают против оператора.
Для письменного согласия часть 4 статьи 9 добавляет обязательный состав сведений: оператор, цель обработки, перечень данных и действий с ними, срок действия согласия и порядок его отзыва. Это та же логика, развёрнутая в конкретный перечень.
Когда согласие не требуется
Согласие — не единственное основание обработки, и далеко не для всего его нужно запрашивать. Статья 6 закона 152-ФЗ перечисляет основания, при которых обработка законна без отдельного согласия субъекта.
Самые частые для сайта:
- Исполнение договора, стороной которого является субъект. Если человек оформляет заказ, обработка его контактов и адреса для доставки идёт на основании договора, а не согласия. Отдельная галочка «согласен на обработку» тут юридически избыточна.
- Требование закона. Когда обработка прямо предписана нормой (например, хранение данных о платежах для налогового учёта), основанием служит закон.
Согласие нужно там, где обработка не покрыта договором или законом: подписка на рассылку, маркетинг, передача данных партнёрам в рекламных целях. Типичная ошибка: требовать согласие на то, что и так делается по договору, и при этом забывать о согласии там, где оно действительно необходимо.
И обратное: субъект вправе отозвать согласие в любой момент. Если обработка держалась только на согласии, после отзыва её нужно прекратить. Поэтому в согласии и в политике должен быть описан порядок отзыва.
Как проверить, что согласие оформлено корректно
Пройдитесь по сайту глазами посетителя и сверьте с тем, что требует закон:
- под каждой формой, где обработка идёт на согласии, есть отдельный чекбокс согласия, а не общий «принимаю всё»;
- галочка не проставлена заранее, человек ставит её сам;
- рядом есть ссылка на политику, чтобы согласие было информированным;
- согласие на рассылку отделено от согласия на основную обработку;
- описан порядок отзыва согласия.
Часть этих расхождений видна автоматически. Проверить, как на сайте устроены формы, согласия и ссылка на политику, можно на странице проверки политики и обработки ПДн: сканер находит формы и внешние сервисы и показывает, где оформление расходится с требованиями 152-ФЗ. Индивидуальные случаи это не заменит, но покажет, с чего начинать.
Коротко
Согласие и политика — разные документы: политика описывает оператора, согласие фиксирует волю конкретного человека. С 1 сентября 2025 года согласие оформляется отдельно, а не одним чекбоксом «согласен со всем».
Действительное согласие конкретно, информированно, сознательно и однозначно, а заранее проставленная галочка ему не отвечает. И прежде чем добавлять чекбокс, стоит проверить, не идёт ли обработка по договору или закону: тогда отдельное согласие не нужно.
Нормативная база
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 9: согласие субъекта на обработку должно быть конкретным, предметным, информированным, сознательным и однозначным.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 4 статьи 9: требование к содержанию письменного согласия (перечень обязательных сведений включает оператора, цель, перечень данных и действий, срок и порядок отзыва; в норме перечень шире).
- Федеральный закон от 24.06.2025 № 156-ФЗ: изменения в часть 1 статьи 9 152-ФЗ, по которым согласие на обработку персональных данных оформляется отдельно от иных информации и (или) документов; норма действует с 01.09.2025.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, пункты 2–11 части 1 статьи 6: основания обработки без отдельного согласия субъекта (исполнение договора, требование закона, защита жизни и др.; пункт 1 относится к обработке с согласия).
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 9: право субъекта отозвать согласие в любой момент.