Согласие на обработку персональных данных: что должно быть рядом с формой на сайте
Любая форма сбора данных на сайте — от заявки на расчёт до подписки на блог — должна сопровождаться отдельным согласием на обработку персональных данных. Это требование ст. 6 и ст. 9 152-ФЗ, и оно выполняется на практике как чекбокс рядом с кнопкой отправки.
Разбираем, что писать в этом чекбоксе, какие ссылки рядом и почему «по умолчанию галочка проставлена» — это нарушение.
Что считается «явным» согласием
Согласие должно быть конкретным, информированным и сознательным. На сайте это превращается в чёткие технические требования.
- Чекбокс не должен быть проставлен по умолчанию — пользователь сам ставит галочку.
- Текст согласия должен быть рядом с кнопкой отправки и виден без скролла.
- Согласие на обработку ПДн нельзя объединять в один чекбокс с согласием на рассылки.
- Согласие нельзя «прятать» в политике конфиденциальности — нужна отдельная ссылка на текст согласия.
- У пользователя должна быть возможность ознакомиться с политикой обработки до подтверждения.
Образец текста для чекбокса
Минимально безопасная формулировка содержит четыре элемента: ссылку на политику обработки, ссылку на отдельное согласие на обработку, упоминание целей, упоминание оператора.
- Слова «политика обработки» и «согласие на обработку» — кликабельные ссылки.
- Лучше дополнительно указать срок действия согласия и право его отозвать.
- Если на форме просите телефон, отдельно укажите, что данные используются для связи с заявителем.
Чем согласие на обработку отличается от согласия на рассылку
Это два разных правовых основания. Согласие на обработку ПДн нужно по 152-ФЗ, согласие на рассылку — по статье 18 38-ФЗ «О рекламе». Объединять их в один чекбокс нельзя ни в коем случае.
- Согласие на обработку обязательно — без него нельзя обработать заявку вообще.
- Согласие на рассылки — добровольное, его отсутствие не должно мешать пользователю отправить форму.
- Если оба чекбокса объединены в один, штрафы идут и по 152-ФЗ, и по 38-ФЗ — параллельно.
Что хранить как доказательство согласия
Если пользователь потом заявит, что не давал согласия, оператор должен будет это доказать. Минимальный набор данных, который стоит сохранять:
- Дата и время отправки формы.
- IP-адрес и user-agent (с учётом политики псевдонимизации).
- Версия текста согласия и политики на момент отправки.
- Ссылка на конкретную страницу, с которой была отправлена форма.
Частые вопросы
Можно ли вместо чекбокса написать «Отправляя форму, вы соглашаетесь»?+
Юридически это спорная конструкция. Роскомнадзор и суды чаще не признают такую формулировку явным согласием. Безопаснее использовать обычный чекбокс, который пользователь активно проставляет.
Нужно ли отдельное согласие на обработку cookie и аналитики?+
Технически — это согласие через cookie-баннер, не через форму. Если на сайте есть Яндекс.Метрика и пиксели, нужен отдельный cookie-баннер с возможностью отказа.
Что делать, если пользователь отозвал согласие?+
По закону оператор обязан прекратить обработку и в течение 30 дней удалить данные, кроме случаев, когда обработка нужна для исполнения договора или закона. Сам отзыв нужно зафиксировать и сохранить.
Ещё по теме
Политика обработки персональных данных для сайта: что должно быть и где её разместить
Минимальный состав политики обработки ПДн по 152-ФЗ, типовые ошибки и почему «скачанный из интернета» шаблон чаще всего не подходит.
Cookie-баннер по 152-ФЗ: реальное согласие, а не «всплывашка»
Что Роскомнадзор считает «настоящим» cookie-баннером, какие cookies можно ставить до согласия и почему «продолжая, вы соглашаетесь» уже не работает.
Согласие на рекламную рассылку: как сделать правильно по 38-ФЗ и 152-ФЗ
Чем согласие на рассылку отличается от согласия на обработку, как корректно его собирать через double opt-in и какие штрафы грозят за «спам».