Человек оставляет заявку на сайте — вводит имя и телефон, нажимает «Отправить». В этот момент сайт начинает обрабатывать персональные данные. Не после отправки, не при хранении — прямо в момент ввода.
Если рядом с формой не стоит галочка с подтверждением согласия, это нарушение. Не важно, маленький блог это или крупный интернет-магазин.
Разбираемся, когда нужно согласие, что в нём должно быть и как правильно оформить текст под формой.
Когда форма на сайте считается обработкой персональных данных
Обработка — это любое действие с данными: сбор, запись, хранение, передача, удаление. Даже если сайт просто принял имя и email через форму и передал их на почту владельца — это уже обработка.
Кратковременное хранение тоже считается. Данные попали в базу на секунду — значит, был факт обработки.
Форма обратной связи
Поля «Имя» и «Телефон» или «Email» — классический случай. Пользователь вводит данные, они уходят на почту или в CRM.
Подписка на рассылку
Поле с email — достаточно. Email — это персональные данные, поскольку позволяет идентифицировать человека.
Форма заказа в интернет-магазине
Имя, адрес доставки, телефон, email — полный комплект персональных данных. Согласие обязательно.
Форма регистрации
Создание аккаунта с именем и email — тоже обработка. Нужно согласие при регистрации.
Нужно ли согласие пользователя на обработку персональных данных
В большинстве случаев — да. 152-ФЗ устанавливает, что обработка персональных данных допускается только с согласия субъекта, если нет другого законного основания.
Для типичного сайта — лендинга, корпоративного сайта, интернет-магазина, блога с формой подписки — согласие через чек-бокс является самым простым и надёжным вариантом.
Когда согласие можно заменить другим основанием
Если пользователь заключает договор с сайтом (например, оформляет покупку или регистрируется как клиент), обработка данных, необходимых для исполнения этого договора, допускается без отдельного согласия. Но политика обработки персональных данных всё равно должна быть опубликована на сайте.
Что должно быть в согласии на обработку персональных данных
Согласие — не просто галочка. Это юридически значимое действие, которое должно быть информированным: пользователь должен понимать, с чем именно он соглашается.
Данные оператора
Название организации или ФИО ИП — того, кто собирает и обрабатывает данные.
Цель обработки
Зачем собираются данные: для обработки заявки, отправки рассылки, регистрации аккаунта и т.д.
Перечень персональных данных
Конкретно: имя, телефон, email, адрес — только те, что реально собираются.
Перечень действий с данными
Сбор, запись, хранение, передача (если есть), удаление.
Срок обработки
До какого момента данные хранятся: до исполнения договора, до отзыва согласия, конкретная дата.
Способ отзыва согласия
Пользователь должен понимать, как он может отозвать согласие: письмо на email, заявление в офис, кнопка в личном кабинете.
Передача третьим лицам
Если данные передаются в CRM, партнёрам, сервисам рассылки — это нужно указать.
Текст согласия на обработку персональных данных для сайта (образец)
Ниже — четыре варианта текста для разных ситуаций. Их можно адаптировать под конкретный сайт: заменить название компании, уточнить перечень данных и цели.
Вариант 1 — универсальный текст согласия
Подходит для большинства сайтов: корпоративных, лендингов, сайтов услуг.
Настоящим я, в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», даю своё согласие [Наименование организации / ФИО ИП] (далее — Оператор) на обработку моих персональных данных на следующих условиях.
Перечень персональных данных: фамилия, имя, отчество; номер телефона; адрес электронной почты.
Цель обработки: обработка заявки, поступившей через форму на сайте; обратная связь с пользователем; исполнение договора.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача (при наличии), обезличивание, удаление.
Срок действия согласия: до момента отзыва субъектом персональных данных.
Порядок отзыва согласия: направив письменное заявление на адрес электронной почты Оператора: [email@example.com].
Оператор вправе привлекать для обработки персональных данных третьих лиц при условии соблюдения ими конфиденциальности и только в объёме, необходимом для достижения указанных целей.
Вариант 2 — короткий текст под чек-бокс формы
Размещается прямо рядом с галочкой. Содержит ссылку на полный документ — политику обработки персональных данных.
Я даю согласие на обработку своих персональных данных в соответствии с Политикой обработки персональных данных.
Это минимальный рабочий вариант. При клике на ссылку пользователь должен попасть на страницу с полным текстом политики.
Вариант 3 — для интернет-магазина
Используется при оформлении заказа, когда собираются адрес и платёжные данные.
Оформляя заказ, я даю согласие [Название магазина] на обработку персональных данных (имя, телефон, email, адрес доставки) в целях исполнения заказа и доставки товара, в соответствии с Политикой обработки персональных данных. Согласие действует до исполнения заказа или до его отзыва.
Вариант 4 — для подписки на рассылку
Используется в форме подписки на новости или полезные материалы.
Подписываясь на рассылку, я даю согласие [Название компании] на обработку моего email-адреса с целью отправки информационных и маркетинговых материалов. Согласие можно отозвать в любой момент, нажав «Отписаться» в письме или написав на [email@example.com]. Подробнее — в Политике обработки персональных данных.
Образец политики конфиденциальности для сайта
Ссылка с согласия должна вести на политику конфиденциальности. Ниже вы можете увидеть образец политики конфиденциальности для сайта.
Шаблон политики конфиденциальности
Ниже представлен образец документа. Красным цветом выделены поля, которые необходимо заменить на ваши данные.
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика конфиденциальности персональных данных (далее — Политика) действует в отношении всей информации, размещённой на сайте [Адрес сайта] (далее — Сайт), которую владельцы и/или администрация Сайта могут получить о Пользователе во время использования им Сайта.
Использование Сайта означает согласие Пользователя с настоящей Политикой и условиями обработки его персональных данных.
Политика применяется только к Сайту [Адрес сайта]. Оператор не контролирует и не несёт ответственность за сайты третьих лиц.
2. ОСНОВНЫЕ ПОНЯТИЯ
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
2.2. Оператор персональных данных — [Название компании/ФИО], осуществляющий обработку персональных данных.
2.3. Пользователь — любое физическое лицо, использующее Сайт.
2.4. Cookies — небольшие текстовые файлы, сохраняемые на устройстве Пользователя.
2.5. IP-адрес — уникальный сетевой адрес устройства Пользователя.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Идентификация Пользователя и обратная связь.
3.2. Предоставление доступа к функционалу Сайта.
3.3. Обработка заявок и обращений.
3.4. Улучшение качества работы Сайта и сервисов.
3.5. Обработка и получение платежей.
3.6. Проведение аналитических, статистических и маркетинговых исследований.
4. АНАЛИТИКА И ОБЕЗЛИЧЕННЫЕ ДАННЫЕ
На Сайте осуществляется сбор и обработка обезличенных данных о Пользователях с помощью файлов cookie и сервисов веб-аналитики.
Такие данные могут включать:
4.1. IP-адрес устройства;
4.2. тип и версию браузера;
4.3. тип устройства и операционную систему;
4.4. источник перехода на Сайт;
4.5. сведения о посещённых страницах и действиях Пользователя;
4.6. время доступа и продолжительность сессии.
Для анализа поведения Пользователей и улучшения качества работы Сайта могут использоваться следующие сервисы аналитики:
- Яндекс.Метрика;
- VK Pixel;
- и иные аналогичные сервисы веб-аналитики и статистики.
Указанные сервисы могут собирать информацию в обезличенном виде и использовать файлы cookie. Оператор не сопоставляет полученные аналитические данные с конкретным Пользователем.
Пользователь может в любой момент изменить настройки своего браузера для отказа от использования файлов cookie, однако это может привести к ограничению функциональности Сайта.
Для анализа работы Сайта и улучшения взаимодействия с Пользователями могут использоваться сервисы аналитики, коллтрекинга и коммуникаций.
5. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Фамилия, имя, отчество.
5.2. Контактный телефон.
5.3. Адрес электронной почты.
5.4. [Дополнительные данные]
6. ПЛАТЕЖИ
При оплате товаров или услуг на Сайте платёжные данные Пользователя передаются в платёжную систему [Платёжная система]. Оператор не хранит банковские и платёжные данные Пользователя.
7. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ
В отдельных случаях, связанных с обращениями Пользователей, может осуществляться фиксация коммуникаций в целях повышения качества обслуживания.
Оператор вправе вносить изменения в настоящую Политику.
8. КОНТАКТНАЯ ИНФОРМАЦИЯ
- Наименование: [Название компании/ФИО]
- ИНН: [ИНН]
- ОГРН / ОГРНИП: [ОГРН/ОГРНИП]
- Адрес: [Юридический адрес]
- Телефон: [Телефон]
- Email: [Email]
Обработка персональных данных на сайте — пример оформления формы
Правильный чек-бокс — это не просто элемент дизайна. Он фиксирует добровольное и информированное согласие пользователя.
Чек-бокс должен быть пустым по умолчанию
Пользователь ставит галочку сам. Предустановленная галочка не считается добровольным согласием — это прямо нарушает требования 152-ФЗ.
Текст рядом с чек-боксом должен содержать ссылку
Фраза «согласен с политикой» без кликабельной ссылки не позволяет пользователю прочитать документ. Ссылка обязательна.
Отправить форму без галочки — нельзя
Кнопка «Отправить» должна быть неактивна, пока пользователь не поставил галочку, или форма должна показывать ошибку при попытке отправки без согласия.
Ссылка — на конкретный документ
Не на главную страницу и не на страницу «Контакты», а на политику обработки персональных данных. Лучше, если она открывается в новой вкладке, чтобы пользователь не терял заполненную форму.
Разница между политикой обработки персональных данных и согласием
Это два разных документа, которые часто путают. Оба обязательны для сайта, но выполняют разные функции.
| Документ | Что это | Где размещается | Кто создаёт |
|---|---|---|---|
| Политика обработки персональных данных | Общий документ, описывающий, как сайт работает с данными: какие собирает, зачем, как хранит, кому передаёт | Отдельная страница сайта, ссылка в футере | Владелец сайта (один раз) |
| Согласие на обработку персональных данных | Действие пользователя — подтверждение того, что он ознакомился с политикой и соглашается на обработку своих данных | Чек-бокс под каждой формой сбора данных | Пользователь при заполнении формы |
Политика объясняет правила. Согласие — это подтверждение от пользователя, что он эти правила принял. Наличие только политики без чек-бокса — нарушение. Наличие только чек-бокса без политики — тоже нарушение.
Где разместить текст обработки персональных данных на сайте
Требование закона — сделать политику обработки персональных данных доступной неограниченному кругу лиц. На практике это означает: она должна быть на сайте, и до неё должно быть легко добраться.
Ссылка в футере сайта
Обязательное размещение. «Политика конфиденциальности» или «Политика обработки персональных данных» — ссылка в нижней части каждой страницы. Это минимальный стандарт.
Ссылка под каждой формой
Рядом с чек-боксом. Пользователь должен иметь возможность прочитать документ прямо в момент заполнения формы.
Отдельная страница на сайте
Политика должна быть размещена на отдельной странице — не в виде всплывающего окна или PDF-файла. Адрес страницы обычно: /privacy или /politika-personalnih-dannih.
В пользовательском соглашении
Для сайтов с регистрацией политика может входить в состав пользовательского соглашения или размещаться отдельно рядом с ним.
Частые ошибки владельцев сайтов
Нет чек-бокса
Форма собирает данные, но рядом нет ни галочки, ни текста о согласии. Пользователь отправляет данные, не давая никакого согласия.
Галочка стоит по умолчанию
Пользователь не ставил галочку сам — значит, согласия не давал. Предустановленный чек-бокс не имеет юридической силы.
Текст без ссылки на политику
«Даю согласие на обработку персональных данных» — без ссылки. Непонятно, с чем именно соглашается пользователь.
Политика есть, а согласия нет
Документ опубликован, но чек-бокса под формой нет. Пользователи не дают согласия, хотя политика и написана правильно.
В политике указана не та компания
Скопированный шаблон с чужими реквизитами. Или сменилось юридическое лицо, а политику не обновили. Оператором указана компания, которая не имеет отношения к сайту.
Штрафы за обработку персональных данных без согласия
Роскомнадзор вправе проводить проверки и назначать штрафы за нарушения 152-ФЗ. Санкции существенно выросли с 2024 года.
| Нарушение | Размер штрафа |
|---|---|
| Обработка персональных данных без согласия | 300 000 — 700 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ |
| Отсутствие политики обработки персональных данных | до 60 000 ₽ |
| Нарушения при трансграничной передаче данных | 100 000 — 300 000 ₽ |
Штрафы назначаются не автоматически. Чаще всего проверки начинаются после жалобы пользователя. Правильно оформленная документация — самый простой способ избежать претензий.
Чек-лист: правильно ли оформлена обработка персональных данных на сайте
- Политика обработки персональных данных опубликована на отдельной странице
- Ссылка на политику есть в футере сайта
- Под каждой формой с личными данными есть чек-бокс
- Чек-бокс по умолчанию пуст (не предустановлен)
- Рядом с чек-боксом есть кликабельная ссылка на политику
- Форму нельзя отправить без отметки в чек-боксе
- В политике указаны цели обработки данных
- В политике указан оператор (название компании или ФИО ИП)
- Прописаны сроки обработки и хранения данных
- Указан порядок отзыва согласия
- Если данные передаются третьим лицам — это отражено в политике
Частые вопросы
Нужен ли чек-бокс, если на сайте только email-поле для рассылки?
Можно ли использовать один чек-бокс сразу для нескольких форм на сайте?
Если сайт сделан на конструкторе (Tilda, Битрикс24 и др.) — кто отвечает за согласие?
Нужно ли хранить подтверждение того, что пользователь дал согласие?
Может ли пользователь отозвать согласие и что тогда происходит?
Главное
Любая форма на сайте, которая собирает хотя бы одно поле с личными данными — имя, телефон, email, адрес — это обработка персональных данных. Не важно, насколько маленький сайт и сколько заявок приходит в месяц.
Проблема обычно не в самом сборе данных, а в отсутствии документов: нет политики, нет чек-бокса, нет ссылки. Это легко исправить — для большинства сайтов достаточно шаблонных документов и правильно оформленной формы.
Правильная структура защищает от штрафов и, что важнее, показывает пользователям, что их данные обрабатываются честно.