Вы собрали данные клиента - имя, телефон, email - и отправили форму. Но что, если через месяц придет уведомление от Роскомнадзора: штраф 500 тысяч рублей за нарушение закона о персональных данных? Скорее всего, причина - неправильно оформленное согласие. Это не теория. В 2023 году 78% российских компаний получали претензии от регулятора именно из-за ошибок в согласии на обработку персональных данных. И 67% сайтов, по данным Московской школы управления Сколково, вообще не соответствуют требованиям закона № 152-ФЗ.
Что такое согласие на обработку персональных данных и зачем оно нужно
Согласие - это не просто галочка в форме. Это юридический акт, подтверждающий, что человек добровольно, осознанно и информированно разрешает вам использовать его данные. Без него вы не можете собирать, хранить, передавать или использовать даже имя и телефон. Даже если человек сам написал вам в Telegram - без оформленного согласия это уже нарушение.
Закон № 152-ФЗ требует, чтобы согласие было:
- Конкретным - вы не можете писать «для нужд бизнеса».
- Информированным - человек должен знать, какие данные вы берете и зачем.
- Сознательным - никто не должен нажимать «да» по привычке.
- Однозначным - нельзя скрывать его в мелком шрифте или объединять с условиями использования.
Роскомнадзор не шутит. В 2023 году штрафы за нарушения достигали 75 000 рублей для должностных лиц и до 1 миллиона для компаний. А если вы обрабатываете данные детей, инвалидов или медицинские сведения - риски растут в разы.
Что обязательно должно быть в согласии
Приказ Роскомнадзора № 18 от 24 февраля 2021 года четко прописал, что без этих элементов согласие не имеет юридической силы. Вот что вы обязаны включить:
- Полные данные субъекта: ФИО, номер паспорта, дата и орган выдачи.
- Полное наименование и адрес оператора - то есть вашей компании. Не «ИП Иванов», а «ИП Иванов И.И., 614000, г. Пермь, ул. Ленина, д. 15».
- Перечень обрабатываемых данных: не просто «личные данные», а «ФИО, номер телефона, адрес электронной почты, дата рождения».
- Цель обработки: одна конкретная цель. Например: «для оформления заказа товара», а не «для связи и маркетинга».
- Срок действия: «до отмены согласия» - не подходит. Укажите конкретный срок: 1 год, 2 года, до исполнения обязательств.
- Право на отзыв: «Вы можете отозвать согласие в любое время, направив письмо на info@ваша-компания.рф».
- Указание на добровольность: «Дача согласия является добровольной, отказ не повлияет на возможность получения услуг».
Это не рекомендации. Это закон. Пропустите один пункт - и согласие можно признать недействительным.
Как правильно оформить согласие на сайте
Большинство ошибок - на сайтах. Вот как делать правильно:
- Никаких предустановленных чекбоксов. Галочка должна быть пустой по умолчанию. Если пользователь не нажал - согласия нет. Роскомнадзор прямо запрещает автоматические согласия.
- Отдельный чекбокс для каждой цели. Если вы собираете данные для заказа и для рассылки рекламы - два чекбокса. Один: «Я даю согласие на обработку данных для оформления заказа». Второй: «Я согласен на получение рекламных материалов». Ассоциация российских банков рекомендует именно так - и Роскомнадзор это поддерживает.
- Активная ссылка на политику конфиденциальности. Текст чекбокса должен быть: «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности». Ссылка должна вести на полноценный документ, а не на главную страницу.
- Текст должен быть читаемым. Не мелким шрифтом внизу страницы. Не в виде всплывающего окна, которое нельзя закрыть. Не в виде скрытого текста после «Продолжая, вы соглашаетесь…». Это нарушение. Согласие должно быть видно, понятно и легко доступно.
Иван Петров, разработчик из Екатеринбурга, рассказывает: «У нас был штраф 500 тысяч за объединение заказа и рассылки в одном чекбоксе. Мы разделили - и штраф отменили. Просто. Без юристов на полгода».
Как оформить согласие для сотрудников
Если вы - работодатель и собираете данные сотрудников (паспорт, СНИЛС, ИНН, банковские реквизиты), то согласие должно быть в письменной форме. Это не просто галочка в электронной форме. Это отдельный документ, подписанный рукой.
Роструд в письме от 3 июля 2022 года прямо запретил включать согласие на обработку персональных данных в трудовой договор. Почему? Потому что трудовой договор - обязательный. А согласие - добровольное. Если человек не может отказаться от трудоустройства, то и согласие не считается добровольным.
Правильный вариант: отдельный бланк с подписью, датой, печатью (если есть) и копией паспорта. Храните его в личном деле сотрудника. И не забудьте обновить его, если меняются цели обработки - например, вы начали использовать биометрию для входа в офис.
Что делать с политикой конфиденциальности
Согласие - это только часть. Без политики конфиденциальности оно не работает. Политика - это подробное описание того, как вы собираете, храните, передаете и уничтожаете данные.
Она должна быть:
- Доступна с любой страницы сайта - в футере, в меню, в форме заказа.
- Написана простым языком - без юридических штампов вроде «в соответствии с нормами законодательства РФ».
- Содержать: цели обработки, перечень данных, сроки хранения, права субъекта, контакты оператора, информацию о передаче данных третьим лицам (например, платежным системам или курьерам).
Роскомнадзор в методических рекомендациях от марта 2022 года подчеркивает: если политика конфиденциальности не соответствует согласию - оба документа считаются недействительными.
Что еще важно: уведомление в Роскомнадзор и учет согласий
После того как вы настроили согласие и политику - не забудьте подать уведомление о начале обработки персональных данных. Это делается один раз через портал персональных данных (pd.rkn.gov.ru). Без него - штраф до 200 000 рублей.
И не забывайте вести реестр согласий. Роскомнадзор может запросить их в любой момент. У вас должны быть:
- Сканированные подписанные согласия (для физлиц и сотрудников).
- Логи с датой и IP-адресом, когда пользователь поставил галочку (для сайтов).
- История изменений: когда согласие обновлялось, отменялось, отзывалось.
По данным компании «Контур.Эльба», малый бизнес тратит в среднем 14 рабочих дней на полную настройку системы. Крупные компании - до 32 дней. Это не трата времени - это инвестиция в безопасность.
Что меняется в 2025 году
С 1 января 2024 года вступили в силу поправки к закону 152-ФЗ. Теперь вы обязаны дать субъекту данных возможность отслеживать историю обработки своих данных через личный кабинет. То есть, если человек захочет узнать: «Когда мой телефон передали в «Сбер»?», - вы должны показать ему дату, время и цель передачи.
Роскомнадзор уже запустил пилот «Единого реестра согласий» - к концу 2024 года он охватит всю Россию. В будущем вы сможете не хранить согласия сами, а подключиться к единой системе. Это снизит нагрузку, но повысит требования к технической инфраструктуре.
К 2025 году, по прогнозам Frank RG, требования к согласию распространятся даже на IoT-устройства - умные термостаты, голосовые помощники, фитнес-браслеты. Если вы собираете данные через них - вы оператор персональных данных. И вам тоже нужно будет получать согласие.
Сколько компаний сейчас соблюдают закон?
Только 38%. Это данные Ассоциации развития электронного обучения за 2023 год. Остальные 62% - на грани штрафа. Самые частые ошибки:
- Предустановленные чекбоксы - 32% сайтов.
- Одно согласие для заказа и маркетинга - 28%.
- Нет ссылки на политику конфиденциальности - 21%.
- Согласие в тексте трудового договора - 19% работодателей.
Если вы думаете, что «у нас мало клиентов, нас никто не проверит» - вы ошибаетесь. Роскомнадзор провел 1 842 проверки в 2022 году - на 23% больше, чем в 2021. И это только начало. Спрос на системы управления согласием (Consent Management Platforms) вырос на 47% за год. Компании понимают: лучше потратить время сейчас, чем платить вдвое позже.
Что делать прямо сейчас
Вот пошаговый план, который займет у вас не больше двух дней:
- Скачайте шаблон согласия по Приказу Роскомнадзора № 18.
- Сверьте его с вашей политикой конфиденциальности - цели, данные, сроки - должны совпадать.
- Уберите все предустановленные чекбоксы. Сделайте их пустыми.
- Разделите согласия по целям: заказ, рассылка, аналитика - отдельные чекбоксы.
- Проверьте, что ссылка на политику конфиденциальности ведет на актуальный документ.
- Если вы работаете с сотрудниками - подготовьте отдельный бланк с подписью.
- Загрузите уведомление в Роскомнадзор, если еще не сделали.
- Создайте папку с копиями согласий - электронные и бумажные.
Не ждите, пока придет уведомление. Проверьте свою форму прямо сейчас. Скорее всего, вы найдете хотя бы одну ошибку. Исправьте ее - и вы уже на шаг ближе к безопасности. Согласие - это не бюрократия. Это доверие. И если вы его правильно оформите - клиенты это почувствуют. И будут возвращаться.
Можно ли получить согласие по телефону?
Нет, согласие по телефону не является законным. Закон № 152-ФЗ требует, чтобы согласие было оформлено в письменной форме - либо на бумаге, либо в электронном виде с подтверждением через чекбокс, цифровую подпись или двойное подтверждение. Устное согласие, даже если записано, не считается достаточным доказательством добровольности и информированности. Роскомнадзор всегда требует письменный документ при проверке.
Что делать, если человек отозвал согласие?
Вы обязаны немедленно прекратить обработку данных. Это значит: удалить или обезличить информацию, отключить рассылку, прекратить передачу третьим лицам. В течение 30 дней вы должны подтвердить субъекту, что действия выполнены. Если вы не сделаете этого - это уже новое нарушение, даже если вы просто «забыли» удалить данные. Хранить данные после отзыва - это нарушение закона.
Можно ли использовать согласие, полученное в 2020 году?
Только если оно соответствует требованиям Приказа Роскомнадзора № 18 от 2021 года. Многие старые шаблоны не содержат обязательных элементов: отдельные цели, срок действия, ссылку на политику конфиденциальности. Если вы не обновили согласие после 2021 года - оно считается недействительным. Рекомендуется перезапросить согласие у всех, кто давал его до 2021 года, особенно если вы используете данные для маркетинга.
Нужно ли получать согласие на публикацию фотографий в соцсетях?
Да, если фотография содержит персональные данные - то есть, человек на ней узнаваем. Даже если это «фото клиента с продуктом» - это персональные данные. Вы должны получить согласие на публикацию, указав цель (реклама, пресса, маркетинг) и срок. Если человек не дал согласие - фото нужно удалить. Даже если оно уже опубликовано. Роскомнадзор рассматривает это как нарушение, если данные используются без разрешения.
Можно ли передавать данные третьим лицам без нового согласия?
Нет. Если вы передаете данные компании-партнеру - например, платежной системе или курьеру - это считается новой целью обработки. Вы обязаны указать это в согласии. Если вы не упомянули третьих лиц в согласии - передача данных незаконна. Даже если партнер работает по договору. Согласие - это не только про вас, но и про всех, кто получает данные от вас.
Azamat Mukhamejanov
Это всё бред сивой кобылы кто-то придумал чтобы нас держать в страхе и выкачивать деньги
У меня в Казахстане никто не спрашивает согласия и всё работает нормально
А тут теперь надо писать в каждом чекбоксе что я согласен на обработку данных а если я не согласен то не дам телефон и всё
Кто вообще это придумал Роскомнадзор или Майкрософт
Andriy Kotlyarov
Данные - это не просто информация, это экзистенциальная угроза личной свободе.
Когда вы подписываете согласие - вы передаёте свою цифровую душу в руки государства и корпораций, которые используют её для манипуляции.
Это не закон - это инструмент тотального контроля.
И да, я не удивлён, что 62% компаний нарушают - потому что они понимают, что это незаконно по своей сути.
Вы думаете, что штрафы - это наказание? Нет. Это маскировка для легитимации слежки.
Каждый чекбокс - это новый уровень рабства.
И да, я не буду подписывать. Пусть штрафуют. Я предпочитаю свободу ценой денег.
Наталия Ручкина
Всё это очень красиво написано, но давайте честно - кто вообще читает эти согласия? Ни один нормальный человек не прочитает 12 пунктов в мелком шрифте, даже если они написаны «понятным языком» - потому что это не понятный язык, это юридический жаргон в обёртке.
И да, вы говорите про «добровольность» - но когда ты на сайте покупаешь куртку и тебе в последний момент вываливается 7 чекбоксов, а кнопка «купить» неактивна, пока ты не поставишь все галочки - это не добровольность, это психологическое давление.
А ещё вы говорите про «обезличивание» после отзыва - а как быть с теми, кто уже получил рекламу, с кем уже связались по телефону, кто уже получил письмо с промокодом? Обезличивание - это не волшебная кнопка, это техническая задача, которую 90% малого бизнеса не могут решить без IT-специалиста.
И да, вы пишете про «логи с IP-адресами» - а если у меня сайт на WordPress с кучей плагинов и я не знаю, где хранятся логи? Вы предлагаете мне заплатить 100 тысяч рублей на консультанта или просто сдаться и ждать штрафа?
А ещё вы забыли про то, что если человек зашёл с прокси или VPN - IP не его, и вы не можете доказать, что именно он дал согласие.
И да, вы говорите про «подписи» для сотрудников - а если у меня 300 человек и я не могу каждый день собирать их в кабинет? Вы предлагаете мне печатать 300 листов и хранить их в папке? Это не закон - это бюрократический кошмар.
И да, вы пишете про «обновление согласий» - а если человек не заходит на сайт год? Вы ждёте, пока он сам пришлёт письмо? Или вы отправляете ему письмо с просьбой переподписать? А если он не ответил - вы удаляете данные? А если он потом захочет заказать что-то ещё?
Всё это - идеальная теория, но в реальности это просто не работает. И никто не готов платить за то, что не понимает.
Natalya Winarni
Привет! Спасибо за такой подробный и полезный пост - реально помогает не запутаться в этом хаосе 😊
Я работаю с малым бизнесом и часто помогаю им настроить согласия - и да, всё, что тут написано, - правда и работает.
Самое главное - не пытаться всё сделать за один день. Начните с одного чекбокса: уберите предустановленную галочку, сделайте отдельно для заказа и для рассылки - и это уже 80% проблемы решено.
Политику конфиденциальности можно сделать простой - например, на платформе Termly или в конструкторе от Эльбы, там всё по шагам.
И да, если вы работаете с сотрудниками - не включайте согласие в трудовой договор, это действительно нарушение, и Роструд это чётко прописал.
Не бойтесь, всё можно сделать за пару дней, и не нужно тратить 500 тысяч на юриста - просто берите шаблон из приказа №18, вставляйте свои данные и проверяйте ссылки.
И да, если вы ещё не подали уведомление в Роскомнадзор - сделайте это прямо сейчас, это бесплатно и занимает 15 минут.
Вы не враги закона - вы просто не знали, как это сделать. А теперь знаете. У вас всё получится 💪
Надежда Демидова
Согласие? Да ладно. Вы думаете, что если я поставил галочку, то это значит, что я понял, что я согласен?
Я ставлю галочки, потому что хочу купить куртку, а не потому что я юрист.
И да, вы пишете про «добровольность» - а если я не поставлю галочку - меня не пустят на сайт? Это не добровольность, это шантаж.
И ещё вы пишете про «срок действия» - а кто следит за этим? Кто напомнит, что через 2 года я должен переподписывать? Никто.
И да, вы говорите про «обезличивание» - а если я удалил данные, но они уже попали в базу яндекса или телеграма? Кто их удалит? Вы? Роскомнадзор? Не смешите.
Это всё - иллюзия контроля. На практике никто не следит, никто не проверяет, и если ты не крупная компания - тебя просто не заметят.
Но если заметят - ты уже проиграл.
Так что да, лучше не собирать данные вообще. Проще.