Любая форма сбора данных на сайте — от заявки на расчёт до подписки на блог — должна сопровождаться отдельным согласием на обработку персональных данных. Это требование ст. 6 и ст. 9 152-ФЗ, и оно выполняется на практике как чекбокс рядом с кнопкой отправки.

Разбираем, что писать в этом чекбоксе, какие ссылки рядом и почему «по умолчанию галочка проставлена» — это нарушение.

Что считается «явным» согласием

Согласие должно быть конкретным, информированным и сознательным. На сайте это превращается в чёткие технические требования.

  • Чекбокс не должен быть проставлен по умолчанию — пользователь сам ставит галочку.
  • Текст согласия должен быть рядом с кнопкой отправки и виден без скролла.
  • Согласие на обработку ПДн нельзя объединять в один чекбокс с согласием на рассылки.
  • Согласие нельзя «прятать» в политике конфиденциальности — нужна отдельная ссылка на текст согласия.
  • У пользователя должна быть возможность ознакомиться с политикой обработки до подтверждения.

Образец текста для чекбокса

Минимально безопасная формулировка содержит четыре элемента: ссылку на политику обработки, ссылку на отдельное согласие на обработку, упоминание целей, упоминание оператора.

  • Слова «политика обработки» и «согласие на обработку» — кликабельные ссылки.
  • Лучше дополнительно указать срок действия согласия и право его отозвать.
  • Если на форме просите телефон, отдельно укажите, что данные используются для связи с заявителем.
Шаблон

Я даю согласие ООО «Компания» на обработку моих персональных данных в целях ответа на заявку в соответствии с Политикой обработки персональных данных и Согласием на обработку.

Чем согласие на обработку отличается от согласия на рассылку

Это два разных правовых основания. Согласие на обработку ПДн нужно по 152-ФЗ, согласие на рассылку — по статье 18 38-ФЗ «О рекламе». Объединять их в один чекбокс нельзя ни в коем случае.

  • Согласие на обработку обязательно — без него нельзя обработать заявку вообще.
  • Согласие на рассылки — добровольное, его отсутствие не должно мешать пользователю отправить форму.
  • Если оба чекбокса объединены в один, штрафы идут и по 152-ФЗ, и по 38-ФЗ — параллельно.

Что хранить как доказательство согласия

Если пользователь потом заявит, что не давал согласия, оператор должен будет это доказать. Минимальный набор данных, который стоит сохранять:

  • Дата и время отправки формы.
  • IP-адрес и user-agent (с учётом политики псевдонимизации).
  • Версия текста согласия и политики на момент отправки.
  • Ссылка на конкретную страницу, с которой была отправлена форма.

Частые вопросы

Можно ли вместо чекбокса написать «Отправляя форму, вы соглашаетесь»?+

Юридически это спорная конструкция. Роскомнадзор и суды чаще не признают такую формулировку явным согласием. Безопаснее использовать обычный чекбокс, который пользователь активно проставляет.

Нужно ли отдельное согласие на обработку cookie и аналитики?+

Технически — это согласие через cookie-баннер, не через форму. Если на сайте есть Яндекс.Метрика и пиксели, нужен отдельный cookie-баннер с возможностью отказа.

Что делать, если пользователь отозвал согласие?+

По закону оператор обязан прекратить обработку и в течение 30 дней удалить данные, кроме случаев, когда обработка нужна для исполнения договора или закона. Сам отзыв нужно зафиксировать и сохранить.