ФЗскан.РФ
Документы·7 мин чтения·обновлено 02.05.2026

Согласие на обработку ПДн: чекбокс, который не оспорят в суде

Чекбокс «Согласен на обработку персональных данных» — самая частая форма согласия на сайте. И самая частая ошибка: чекбокс есть, а юридически он не работает.

Расскажу, как сделать согласие, которое не оспорят при проверке.

Не просто галочка

Согласно ст. 9 ч. 4 152‑ФЗ, согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным». Юристы формулируют это пятью словами, но на практике каждое из них значит конкретное требование к чекбоксу:

  • Конкретным — указаны конкретные данные (ФИО, телефон, e‑mail), а не «любые данные пользователя».
  • Предметным — указана конкретная цель (заказ, консультация, рассылка), а не «деятельность оператора».
  • Информированным — пользователь имеет реальную возможность прочитать политику. Значит — рядом ссылка на публикуемый документ.
  • Сознательным — действие осознанное. Чекбокс не может быть отмечен по умолчанию.
  • Однозначным — нельзя дать согласие через бездействие («продолжая использовать сайт, вы соглашаетесь...»). Только активный клик/галочка.

Как должен выглядеть чекбокс

Минимальный рабочий вариант под формой обратной связи:

☐ Я ознакомлен(а) с Политикой обработки персональных данных
  и даю ООО «Ромашка» согласие на обработку моих персональных
  данных (имя, телефон, e‑mail) для оформления заявки и связи
  по поводу заказа.

Что здесь важного:

  • «Я ознакомлен» — подтверждение, что пользователь видел политику. Сама фраза «Политика обработки персональных данных» — кликабельная ссылка на документ, открывается в новой вкладке.
  • «даю ООО «Ромашка» — конкретный оператор, не «компании», не «администрации сайта».
  • «моих персональных данных (имя, телефон, e‑mail)» — конкретный перечень, что собираем.
  • «для оформления заявки и связи по поводу заказа» — конкретная цель.
  • Чекбокс не отмечен по умолчанию. Кнопка «Отправить» неактивна, пока галочка не поставлена.

Отдельное согласие на рекламу

Если форма — это подписка на рассылку или у вас вообще предполагается отправка маркетинговых сообщений, нужен отдельный чекбокс для согласия на рекламу. Согласие на ПДн ≠ согласие на рекламу: первое регулируется 152‑ФЗ, второе — ст. 18 закона «О рекламе».

☐ Согласен(а) на получение рекламных и информационных
  сообщений от ООО «Ромашка» на указанный e‑mail.
  Подписку можно отменить кнопкой «Отписаться» в каждом письме.

Этот чекбокс должен быть опциональным — заказ можно оформить и без него. Иначе вы привязываете услугу к согласию на рекламу, что отдельно запрещено.

За рассылку без отдельного согласия штрафует не только Роскомнадзор, но и ФАС — по ст. 14.3 ч. 1 КоАП до 500 тыс. ₽ за каждый факт. Известен ряд кейсов, когда ФАС начисляла штраф за каждое отдельное письмо в рассылке: получалось несколько миллионов с одного цикла.

Что сохранять у себя на сервере

Если на проверке Роскомнадзор спросит «покажите согласие пользователя Иванова от 5 марта», вы должны его предъявить. Это значит — галочки нужно журналировать. Минимально:

  • дата и время постановки согласия (ISO‑8601);
  • текст согласия в той редакции, которая была на момент клика;
  • хеш или версия политики, на которую ссылался чекбокс;
  • IP‑адрес и User‑Agent (для дополнительной идентификации);
  • идентификатор пользователя — e‑mail или ФИО, которые он ввёл в форму.

В базе данных это обычно отдельная таблица consents. Срок хранения записи о согласии — пока согласие действует, плюс срок исковой давности (3 года) после его отзыва. Удалять раньше нельзя — нечем будет доказать.

Распространённые ошибки

В порядке убывания популярности:

  • Чекбокс отмечен по умолчанию. Технически — одна строка в HTML. Юридически — согласие недействительно. Подавляющее число сайтов, которые мы проверяли, грешат именно этим.
  • Ссылка ведёт на 404. Политика когда-то была, а потом сайт переехал на другой движок и URL поменялся. Проверяйте раз в квартал хотя бы автоматически.
  • Один чекбокс на ПДн и рекламу. «Принимаю условия и даю согласие на маркетинговые сообщения» — нельзя. Должно быть два отдельных чекбокса, один обязательный, второй опциональный.
  • Согласие не сохраняется. Чекбокс работает на фронте, но на бэке нигде не записывается. На проверке предъявить нечего.
  • «Продолжая использовать сайт, вы соглашаетесь». Это не согласие, это попытка его подменить. По 152‑ФЗ так нельзя.

Отзыв согласия

Любое согласие можно отозвать (ст. 9 ч. 2). Пользователь пишет на ваш privacy‑e‑mail «отзываю согласие на обработку моих ПДн» — у вас есть 30 дней на удаление.

Что нужно учесть: отзыв на маркетинг и отзыв на ПДн — разные вещи. Если человек заказал у вас товар, отозвать согласие на обработку его адреса доставки нельзя — тут основанием выступает не согласие, а исполнение договора (ст. 6 ч. 1 п. 5). Заказ исполнили — данные храним 3 года для бухгалтерии. А вот отписаться от рассылки — обязаны в любой момент.

Проверить свой сайт по этим пунктам

Запустите автоматическую проверку — она пройдёт по типовым нарушениям 152‑ФЗ и сразу покажет, чего у вас нет.

Запустить проверку →

Читать дальше

10 мин чтения

Политика обработки персональных данных: что должна содержать в 2026 году

Политика — главный публичный документ оператора. Без неё нельзя ни одну форму на сайте. Разбираем поэлементно: какие 13 разделов обязательны, какие — рекомендованы и как НЕ нужно писать.

Читать →