Согласие на обработку ПДн на сайте: что требует закон

Согласие на обработку персональных данных на сайте нужно почти всегда, когда вы собираете данные через формы, куки-файлы или системы аналитики и при этом у вас нет другого основания из ч. 1 ст. 6 ФЗ-152. С 1 сентября 2025 года согласие должно быть оформлено отдельно от иных документов — «вшить» его в договор или оферту больше нельзя (ч. 1 ст. 9 ФЗ-152 в редакции ст. 5 ФЗ № 156-ФЗ от 24.06.2025). На сайте это реализуется видимым непредустановленным чекбоксом рядом с формой, а согласие на рекламную рассылку собирается отдельно.

Главное

• Согласие — лишь одно из оснований обработки. Если есть другое основание из ч. 1 ст. 6 ФЗ-152 (например, исполнение договора), отдельное согласие может не требоваться; для необязательных операций (рассылки, аналитика, передача партнёрам) согласие нужно.
• С 1 сентября 2025 года согласие оформляется отдельным документом, не объединённым с договором, анкетой или офертой (ч. 1 ст. 9 ФЗ-152 в ред. ФЗ № 156-ФЗ от 24.06.2025).
• Куки-файлы, IP-адреса и данные систем аналитики Роскомнадзор и суды на практике относят к персональным данным. Прямой нормы «куки — это ПДн» в законе нет — это позиция регулятора и судебная практика (актуально на июнь 2026 года).
• Согласие на сайте должно подтверждаться действием пользователя: непредустановленный чекбокс или кнопка рядом с формой. Преднажатые галочки и «согласен на всё» нарушают принципы добровольности и однозначности (ч. 1 ст. 9 ФЗ-152).
• Чекбокс должен вести на отдельный документ согласия с реквизитами ч. 4 ст. 9 ФЗ-152; полный перечень реквизитов и правило отдельного документа разобраны в посте кому нужно согласие.
• Согласие на рекламу собирается отдельно от согласия на обработку ПД (ч. 1 ст. 15 ФЗ-152); объединять их под одной галочкой нельзя.

Когда согласие нужно, а когда нет

Согласие — не единственное основание

Статья 6 ФЗ-152 предусматривает несколько оснований для обработки персональных данных, и согласие субъекта — только одно из них (п. 1 ч. 1 ст. 6). Если данные нужны для исполнения договора с клиентом или для выполнения требований закона, отдельное согласие обычно не требуется. Согласие необходимо именно для необязательных, дополнительных операций: маркетинговых рассылок, веб-аналитики, передачи данных партнёрам.

Объём собираемых данных должен соответствовать заявленным целям обработки — это принцип минимизации (ст. 5 ФЗ-152). Формулировки вроде «любые цели» или «иные данные» недопустимы: согласие должно быть конкретным, информированным и однозначным (ст. 5, ст. 9 ФЗ-152).

Что считается персональными данными на сайте

Закон определяет персональные данные широко — как любую информацию, прямо или косвенно относящуюся к определённому или определяемому физическому лицу. Куки-файлы, IP-адреса, идентификаторы устройств и данные систем веб-аналитики Роскомнадзор и суды на практике относят к персональным данным. При этом прямой нормы «куки — это ПДн» в ФЗ-152 нет: это толкование регулятора и судебная практика (актуально на июнь 2026 года). Исключительно технические куки-файлы, не позволяющие выделить лицо, остаются предметом дискуссии, но позиция регулятора жёсткая — безопаснее исходить из того, что обработка ПД есть.

Как оформить согласие на сайте

Видимое подтверждение действием

Согласие на сайте должно быть заметным для посетителя и подтверждаться его действием — отдельным непредустановленным чекбоксом, кнопкой или ссылкой на текст согласия рядом с формой сбора данных, а не только в подвале страницы. Заранее проставленные галочки и конструкция «согласен на всё» нарушают принципы добровольности и однозначности согласия (ч. 1 ст. 9 ФЗ-152). Бездействие пользователя согласием не считается — требуется именно аффирмативное действие.

Чекбокс ведёт на отдельный документ согласия

С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельно от иной информации и документов, которые субъект подтверждает или подписывает (ч. 1 ст. 9 ФЗ-152 в ред. ФЗ № 156-ФЗ от 24.06.2025). На практике это значит: чекбокс рядом с формой ставит галочку не «внутри» оферты, а напротив самостоятельного текста согласия, который содержит обязательные реквизиты ч. 4 ст. 9 ФЗ-152 (данные субъекта и оператора, цель, перечень ПД, действия, срок и порядок отзыва). Кто именно обязан переходить на отдельный документ, как трактуется новое правило и полный перечень реквизитов разобраны в посте кому нужно согласие на обработку персональных данных — здесь сосредоточимся на том, как этот документ привязать к интерфейсу сайта.

Технически удобнее всего сделать так: подпись чекбокса формулирует факт согласия и даёт ссылку на полный текст согласия (отдельная страница или модальное окно), а не пересказывает его в одной строке. Тогда галочка подтверждает именно отдельный документ, а не «вшитый» в форму абзац.

Реклама и рассылки — отдельное согласие

Обработка персональных данных в целях продвижения товаров, работ и услуг допускается только при предварительном согласии субъекта; без доказательства согласия она считается осуществляемой без него (ч. 1 ст. 15 ФЗ-152). Согласие на обработку ПД и согласие на рекламную рассылку нельзя объединять под одной галочкой — это разные согласия с разными формулировками.

Обязанности оператора помимо согласия

Само по себе согласие не закрывает все требования закона. Оператор, который собирает данные через сайт, должен также:

• Опубликовать Политику обработки ПД в открытом доступе на сайте — без регистрации и ввода данных (ст. 18.1 ФЗ-152).
• Уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки (ст. 22 ФЗ-152).
• Обеспечить отзыв согласия: субъект вправе отозвать его в любое время, после чего оператор прекращает обработку и уничтожает данные в течение 30 дней, если нет иного законного основания (ч. 5 ст. 21 ФЗ-152).

Отдельного режима для самозанятых закон не устанавливает: если вы обрабатываете чужие персональные данные, вы оператор и подпадаете под общие правила. Прямой судебной практики именно по самозанятым пока немного.

Пошагово: согласие ПДн на сайте

1. Определите, есть ли у вас иное основание из ч. 1 ст. 6 ФЗ-152. Если данные нужны только для исполнения договора — отдельное согласие на эти операции может не требоваться.
2. Для необязательных операций (рассылки, аналитика, передача партнёрам) подготовьте отдельный документ согласия по ч. 4 ст. 9 ФЗ-152.
3. Сформулируйте конкретную цель и перечислите конкретные категории данных — без «любых целей» и «иных данных» (ст. 5 ФЗ-152).
4. Разместите рядом с формой непредустановленный чекбокс со ссылкой на текст согласия; не используйте преднажатые галочки.
5. Сделайте отдельное согласие на рекламную рассылку — не объединяйте его с основным (ч. 1 ст. 15 ФЗ-152).
6. Опубликуйте Политику обработки ПД на странице сбора данных (ст. 18.1 ФЗ-152).
7. Опишите порядок отзыва согласия и фиксируйте факт его получения — бремя доказывания лежит на операторе (ч. 3 ст. 9 ФЗ-152).

Частые вопросы

Можно ли «вшить» согласие в текст оферты или договора на сайте? Нет. С 1 сентября 2025 года согласие должно быть оформлено отдельно от иных документов, которые подписывает или подтверждает субъект (ч. 1 ст. 9 ФЗ-152 в ред. ФЗ № 156-ФЗ от 24.06.2025). Объединять согласие с договором или офертой нельзя.

Нужно ли согласие, если куки-файлы используются только для аналитики? На практике Роскомнадзор и суды относят данные систем аналитики и куки-файлы к персональным данным, поэтому безопаснее получать согласие. Прямой нормы «куки — это ПДн» в законе нет — это позиция регулятора (актуально на июнь 2026 года); исключительно технические куки-файлы остаются спорной зоной.

Можно ли собрать одно согласие сразу и на обработку, и на рекламу? Нет, это разные согласия с разными формулировками. Реклама требует предварительного согласия по ч. 1 ст. 15 ФЗ-152, и объединять его с основным согласием под одной галочкой нельзя.

Достаточно ли поставить галочку «согласен» по умолчанию? Нет. Преднажатые галочки и формулировка «согласен на всё» нарушают принципы добровольности и однозначности (ч. 1 ст. 9 ФЗ-152). Требуется аффирмативное действие пользователя.

Как субъект может отозвать согласие? В любое время. После отзыва оператор прекращает обработку и уничтожает данные в течение 30 дней, если нет иного законного основания для их обработки (ч. 5 ст. 21 ФЗ-152).

Что дальше

Когда вы определили цели и перечень данных, остаётся подготовить сам документ. Удобнее всего составить согласие на обработку персональных данных в генераторе: он подставляет обязательные реквизиты ч. 4 ст. 9 ФЗ-152, поддерживает режим клиента/сайта и блокирует бланкетные формулировки. Если вас интересует именно цена ошибки, посмотрите отдельный разбор — штрафы за нарушения в области персональных данных.