Как получить согласие на обработку персональных данных и не попасть на штраф

Соблюдать закон о персональных данных, на самом деле, не так трудно. Особенно если во всем разобраться. Главное тут — правильно получить согласие пользователей и оформить нужные документы. В статье инструкция на пальцах, что такое согласие на обработку персональных данных, как его просить и как не вляпаться в штрафы.

Персональные данные (далее ПД) — это всё, что помогает вас опознать. Имя, номер телефона, email, любимая пицца с ананасами — если по этим данным можно понять, что это вы, значит, это ПД.

Допустим, вы собираетесь провести бесплатный вебинар и хотите отправить участникам напоминание и презентацию. Придётся собрать их имена и почты. Или у вас интернет-магазин, и покупатели оставляют номер телефона для подтверждения заказа. В обоих случаях вы собираете персональные данные — и вступаете на территорию, где действуют законы.

Посмотрим, какие бывают персональные данные. Вот неполный, но показательный список:

• имя,
• номер телефона,
• email,
• адрес,
• дата рождения,
• профессия,
• IP-адрес,
• данные cookie,
• история покупок,
• поведение на сайте (что кликал, куда смотрел),
• голос,
• фото,
• и любые другие данные, по которым можно узнать человека.

Почему это важно

Если вы, скажем, добавили пользователей в рассылку без их согласия, вы ходите по тонкому юридическому льду. Потому что согласие на обработку персональных данных — не формальность, а требование закона.

А чем грозит согласие на обработку персональных данных? На самом деле, не само согласие, а его отсутствие или неправильное оформление. Если нет нужного документа или пользователь не поставил галочку осознанно — считай, согласия нет. А за это уже могут прилететь штрафы, причём немаленькие.

Разберемся, что считается сбором персональных данных. Вот несколько классических примеров:

• запрос контактов на лендинге или сайте;
• сохранение данных при регистрации пользователя;
• отслеживание поведения через cookies;
• сбор инфы о клиентах в CRM;
• получение контактов от партнёров.

В России всё это регулируется законом № 152-ФЗ. Он чётко говорит, как можно собирать, хранить и использовать личную информацию. И главное — требует согласие пользователя и указывает, кто может требовать согласие на обработку персональных данных. А еще закон вводит понятия «оператор», «обработка» и «согласие на обработку».

Чтобы проще было разобраться, вот пара ключевых терминов.

• Оператор — это вы, если собираете чужие данные. Даже если просто поставили форму на сайт.
• Обработка — это не только сбор. Это всё: хранение, передача, использование. Отправили человеку email — значит, обработали.

Важно: обработка персональных данных без согласия — как готовить ужин в чужой квартире без приглашения. Нехорошо и незаконно.

В следующем разделе расскажем, зачем нужно согласие на обработку персональных данных и как правильно получить согласие, чтобы всё было и по-честному, и по закону.

Если собирать данные без согласия людей, можно попасть в неприятную историю. От внезапных проверок до штрафов. Чтобы всё было по закону и без нервов, рассказываем, где взять согласие на обработку персональных данных и как оформить согласие правильно: с текстами, галочками и нужными документами.

Без неё никак. Это документ, в котором вы честно рассказываете, какие данные собираете, зачем и что потом с ними делаете.

Рассказываем, что включить в политику.

• Контакты оператора (ваши данные: ИП, ООО, адрес, всё как положено).
• Зачем собираете данные (например, рассылка, доступ к курсу, оформление заказа).
• Какие именно данные нужны (если только рассылка — хватит имени и почты, не надо спрашивать дату рождения и группу крови).
• Что будете с ними делать (собирать, хранить, отправлять, удалять и т. д.).
• Как долго храните данные и как человек может забрать своё согласие обратно.
• Если подключаете кого-то ещё — укажите, название и адрес организации.

Политику выкладываем на отдельную страницу. А ссылку на эту страницу размещаем на видном месте и не прячем её под семью pop-up окнами. Самое логичное место — футер. Тогда ссылка будет видна на всех страницах сайта автоматически.

Вот тут уже подключается техника. Самый простой и надежный способ взять согласие — это старый добрый чекбокс.

Рядом с чекбоксом должен быть текст: «Я даю согласие на обработку персональных данных» или «Я согласен с политикой конфиденциальности» — и ссылка на саму политику.

Где ставим чекбоксы:

• формы регистрации,
• формы обратной связи,
• подписка на рассылку,
• регистрация на курс,
• оформление заказа.

Важно: нельзя дать пользователю пройти дальше, пока он не поставит галочку. Только добровольное, осознанное согласие — это и есть «юридический ок».

Список для проверки, правильно ли у вас оформлено согласие.

1. Явное действие. Пользователь должен сознательно дать согласие — поставить галочку, нажать кнопку.

2. Чёткий текст. Формулировка должна быть понятной. Например: «Нажимая „Отправить“, вы соглашаетесь на обработку персональных данных в соответствии с [политикой конфиденциальности]».

3. Документ с условиями. Ссылка на «Политику конфиденциальности» железно должна быть.

Если собираете данные для разных целей (например, заявки и маркетинговой рассылки), делите согласие на два чекбокса:

☑ Я согласен на обработку данных для оформления заказа.
☑ Я хочу получать спецпредложения и новости.

Если у вас подключена аналитика — вы уже собираете данные, даже если человек просто зашел и ничего не нажал. IP-адрес, местоположение, поведение на сайте — это тоже персональные данные.

Значит, нужен баннер или всплывашка. В ней должно быть:

• сообщение о том, что сайт использует cookies;
• выбор: согласиться или отказаться;
• ссылка на политику или отдельный раздел про куки.

Информацию о cookies можно включить в политику конфиденциальности или оформить как отдельный раздел. Главное — прямо указать, какие именно данные собираются и зачем.

Что нужно указать:

• какие данные собираются (IP, гео, язык браузера, поведение на сайте);
• зачем вы их собираете (аналитика, улучшение UX, настройка рекламы);
• кому данные передаются (например, Google Analytics, Яндекс. Метрика).

Да, это официально. Если вы начали собирать ПД, должны уведомить об этом Роскомнадзор. Делается один раз — через портал персональных данных.

После этого вы попадаете в реестр операторов ПД. Есть исключения, когда уведомление не нужно, но они довольно специфичные и описаны в законе.

Забить на закон — плохая идея. Особенно с 30 мая 2025 года, когда штрафы за работу с персональными данными без согласия подросли. Если на вас вдруг пожалуется пользователь или заглянет проверка, последствия могут быть весьма ощутимыми.

За нарушение руководителя компании или ИП могут оштрафовать на 50 000−100 000 ₽, малые предприятия — на 75 000−150 000 ₽, остальные компании — 150 000−300 000 ₽.

Чтобы не попасть в эту печальную статистику, держим в голове 5 простых правил:

1. Запрашиваем согласие. Никаких «по умолчанию». Пользователь должен сам и осознанно разрешить вам использовать свои данные Чекбокс, отдельная кнопка, текст рядом — всё это не просто формальность, а реальный щит от претензий.

2. Делаем и размещаем политику конфиденциальности. Один документ — и гора с плеч. В нём вы объясняете, что именно собираете, зачем и как храните. Размещаем политику на сайте — чаще всего в футере, чтобы ссылка была видна на каждой странице, и у каждой формы сбора контактов.

3. Берём только нужное. Берите только те данные, которые реально нужны для работы. Это называется «принцип минимизации». Не надо спрашивать лишнего:

Если вы собираете больше, чем нужно, это уже потенциальный повод для жалобы.

4. Защищаем данные. Если храните данные клиентов, они должны быть зашифрованы и защищены. Используйте:

• шифрование и работу по HTTPS;
• двухфакторную аутентификацию для доступа в админку;
• доступ к данным — только для тех, кому это действительно нужно.

5. Дайте пользователю уйти. По закону человек может в любой момент передумать и забрать свое согласие. Сделайте это просто: добавьте в политику или на сайт контакт, по которому можно попросить удалить данные. А ещё лучше — настройте автоматическое удаление по запросу.

Есть несколько таких случаев, все они описаны в ФЗ-152. Вот основные из них.

1. Обработка данных для исполнения законодательства: Если обработка персональных данных необходима для выполнения обязательств по законам или нормативным актам. Например, для налогообложения, защиты прав потребителей, при трудовых отношениях.
2. Обработка данных для исполнения договора: Когда обработка персональных данных требуется для выполнения условий договора, стороной которого является субъект данных. Это может быть, например, обработка данных клиента при заключении договора на покупку товара или услуги.
3. Обработка для защиты жизни или здоровья: В случаях, когда обработка данных необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта данных.
4. Обработка для публичных интересов: Если обработка данных необходима для выполнения задач, поставленных в интересах общества, государственной безопасности, защиты прав и свобод.
5. Обработка без использования автоматических средств: Если персональные данные обрабатываются исключительно в бумажной форме без использования автоматизированных систем (например, когда информация содержится только на физических носителях).
6. Данные, уже включенные в публичные реестры: Если данные были включены в официальные публичные реестры (например, данные юрлиц или госслужащих, доступные в открытых источниках), то согласие на их обработку не требуется.

Но даже в этих случаях надо соблюдать другие требования закона о защите данных: соблюдение принципа минимизации данных и безопасность их хранения.

Работа с персональными данными — это не страшно, если делать всё по-человечески. Хотите спокойно спать — оформите согласие, держите данные под замком и не просите у пользователей ничего лишнего.