Согласие на обработку персональных данных: образец и требования 2026
Согласие на обработку персональных данных — это добровольное, информированное и конкретное волеизъявление субъекта, разрешающее оператору обрабатывать его данные в определённых целях. Согласие регулируется ст. 9 Федерального закона № 152-ФЗ и является одним из нескольких законных оснований для обработки данных — но далеко не единственным.
С 01.09.2025 вступил в силу 156-ФЗ от 24.06.2025: согласие должно оформляться отдельным документом — его нельзя встраивать в политику обработки, договор, анкету или любой другой документ, который субъект подписывает. Это прямое требование ч. 1 ст. 9 152-ФЗ в новой редакции.
Когда согласие нужно, а когда — нет
Распространённое заблуждение: думать, что согласие нужно на любую обработку персональных данных. Это не так. Согласие требуется только тогда, когда нет другого законного основания.
Когда согласие НЕ нужно
По ч. 1 ст. 6 152-ФЗ обработка законна без согласия, если:
- Данные обрабатываются для исполнения договора, стороной которого является субъект (заказ, трудовой договор)
- Есть обязанность по закону — например, передача данных в ФНС или СФР
- Данные общедоступны — опубликованы самим субъектом
- Обработка нужна для защиты жизни и здоровья субъекта
- Данные обрабатываются в статистических или научных целях в обезличенном виде
Когда согласие НУЖНО
- Рассылка маркетинговых писем и SMS
- Передача данных третьим лицам в коммерческих целях
- Обработка биометрических или специальных категорий данных
- Cookie-трекинг на сайте (аналитика, реклама) — если cookie-идентификаторы позволяют идентифицировать пользователя, они являются персональными данными и подпадают под 152-ФЗ
- Публикация фото или видео с изображением человека
Виды согласий
1. Простое согласие (конклюдентные действия)
Субъект совершает действие, из которого явно следует согласие: заполняет форму, нажимает кнопку «Отправить» при наличии чекбокса с ссылкой на политику.
Применение: подписка на рассылку, форма обратной связи, регистрация на сайте.
Полный состав реквизитов по ст. 9 ч. 4 для простого согласия не требуется — достаточно чтобы субъект понимал, кто обрабатывает, зачем и как отозвать. Однако с 01.09.2025 (156-ФЗ) даже простое согласие должно быть отдельным от иных документов.
2. Письменное согласие (полный состав ст. 9 ч. 4)
Письменное согласие — с полным исчерпывающим составом реквизитов из ст. 9 ч. 4 — требуется только в случаях, прямо указанных в федеральном законе:
- Ст. 10 ч. 2 п. 1 — обработка специальных категорий ПД (здоровье, национальность, религия, политические взгляды, интимная жизнь)
- Ст. 11 ч. 1 — биометрические данные
- Ст. 12 — трансграничная передача данных в страны без адекватной защиты
Письменное согласие может быть бумажным (с собственноручной подписью) или электронным, подписанным квалифицированной электронной подписью.
Важно: ч. 4 ст. 9 152-ФЗ не является основанием для требования письменного согласия — она устанавливает состав реквизитов такого согласия. Случаи, когда письменная форма обязательна, перечислены в ст. 10 ч. 2, ст. 11 и ст. 12.
3. Согласие сотрудника
Оформляется в рамках трудовых отношений. Имеет особенности: сотрудник юридически зависим от работодателя, поэтому Роскомнадзор требует, чтобы согласие не было условием трудоустройства, если основания для обработки есть в законе (ТК РФ, глава 14).
4. Согласие на cookie
Технически это согласие на обработку данных через файлы cookie. В России прямого требования о явном cookie-баннере нет в 152-ФЗ, однако если через cookie вы собираете персональные данные — идентификаторы пользователей, поведенческие профили, которые позволяют идентифицировать конкретное лицо — нужно информировать пользователя и получать согласие.
Обязательные элементы письменного согласия: ст. 9 ч. 4 (9 пунктов)
Статья 9 ч. 4 устанавливает исчерпывающий перечень того, что должно содержать письменное согласие. Отсутствие хотя бы одного элемента делает согласие юридически недействительным и влечёт штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ для юридических лиц.
| № п. | Элемент | Пример / комментарий |
|---|---|---|
| п. 1 | ФИО, адрес субъекта, реквизиты документа, удостоверяющего личность (паспорт: серия, №, дата выдачи, орган) | Иванов Иван Иванович, паспорт 4510 123456, выдан ОУФМС... |
| п. 2 | ФИО, адрес представителя субъекта, реквизиты его паспорта и доверенности — при получении согласия от представителя | Указывается, если согласие даёт не сам субъект |
| п. 3 | Наименование (или ФИО) и адрес оператора, получающего согласие | ООО «Ромашка», ИНН 7701234567, г. Москва, ул. ... |
| п. 4 | Цель обработки персональных данных | Ведение кадрового учёта / направление рассылок |
| п. 5 | Перечень ПД, на обработку которых даётся согласие | ФИО, дата рождения, СНИЛС, ИНН, email, телефон |
| п. 6 | Наименование (или ФИО) и адрес лица, осуществляющего обработку по поручению оператора (обработчика) — если обработка будет поручена | ООО «Сервис рассылок», г. Санкт-Петербург, ул. ... Если обработчика нет — пункт не включается |
| п. 7 | Перечень действий с ПД и общее описание способов обработки | Сбор, запись, систематизация, хранение, использование, передача; автоматизированная и неавтоматизированная обработка |
| п. 8 | Срок действия согласия и способ отзыва | «До отзыва» или конкретный срок; отозвать — направить заявление на email@company.ru |
| п. 9 | Подпись субъекта персональных данных | Собственноручная подпись |
Новое с 01.09.2025: согласие — только отдельный документ (156-ФЗ)
Федеральный закон от 24.06.2025 № 156-ФЗ дополнил ч. 1 ст. 9 требованием: согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и документов, которые подтверждает или подписывает субъект.
Что это означает на практике:
- Нельзя включать согласие в текст договора на услуги
- Нельзя совмещать согласие с анкетой клиента или сотрудника
- Нельзя считать политику обработки ПД согласием
- Согласие на рассылку и согласие на передачу данным партнёрам — два отдельных документа (чекбокса)
Если ваши текущие формы содержат согласие внутри договора или анкеты — это нарушение, действующее с сентября 2025 года.
Принципы действительного согласия
Добровольность
Согласие не может быть условием получения услуги, если обработка данных для этой услуги не требуется. Нельзя написать: «Без согласия на рассылку мы не продадим вам товар».
Информированность
Субъект должен понимать, что именно он разрешает. Расплывчатые формулировки «на любые цели» или «в маркетинговых целях» без конкретики — основание для признания согласия недействительным.
Конкретность
Одно согласие = одна цель. Если вы хотите и вести рассылку, и передавать данные партнёрам — нужно два отдельных блока или два чекбокса.
Однозначность
Молчание, заранее проставленные галочки или пассивное бездействие НЕ являются согласием.
Образец согласия для формы на сайте (простое согласие)
Для формы обратной связи, регистрации или подписки на рассылку достаточно простого согласия — без паспортных данных. Главное: оно должно быть оформлено отдельным чекбоксом (156-ФЗ), не отмеченным по умолчанию.
☐ Я даю согласие [Наименование ООО/ИП], ИНН [XXXXXXXXXX],
адрес: [юридический адрес], на обработку моих персональных
данных: фамилия, имя, отчество, адрес электронной почты,
номер телефона — в целях ответа на мой запрос и направления
информационных материалов о продуктах и услугах компании.
Обработка включает: сбор, запись, хранение, использование,
передачу операторам почтовых рассылок.
Согласие действует до его отзыва. Отозвать согласие можно,
направив запрос на [email@company.ru].
С Политикой обработки персональных данных ознакомлен(а):
[ссылка на политику]
Чекбокс должен быть не отмечен по умолчанию — пользователь ставит галочку сам.
Хотите получить корректный текст согласия для вашего сайта за 10 минут? Сгенерируйте его в ПдПро — сервис автоматически подставит реквизиты вашей компании и подберёт формулировки под вашу ситуацию.
Образец письменного согласия сотрудника (полный состав ст. 9 ч. 4)
Письменное согласие с полным составом реквизитов требуется, когда вы обрабатываете специальные категории ПД сотрудника (например, сведения о здоровье для ДМС, группе инвалидности). Ниже — образец с учётом всех 9 обязательных элементов.
СОГЛАСИЕ
на обработку персональных данных
г. [Город] «__» _______ 2026 г.
Я, [ФИО], паспорт серия __ № ______, выдан ________________
«__» _______ ____ г., проживающий(ая) по адресу: _____________,
даю согласие [Наименование работодателя], ИНН __________,
адрес: [юридический адрес], на обработку следующих персональных
данных:
[перечень: ФИО, дата рождения, СНИЛС, ИНН, сведения
об образовании, трудовой стаж, сведения о состоянии здоровья
(для целей ДМС) и т.д.]
Цель обработки: ведение кадрового учёта, оформление трудовых
отношений, исполнение требований трудового законодательства,
организация добровольного медицинского страхования.
Перечень действий: сбор, запись, систематизация, накопление,
хранение, уточнение, использование, передача страховой компании
[наименование, адрес]; автоматизированная и неавтоматизированная
обработка.
Срок хранения: в течение срока трудовых отношений и 50 лет
после их прекращения для документов, созданных после 01.01.2003
(ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ).
Согласие может быть отозвано путём направления письменного
заявления по адресу: [адрес] или на email: [email].
_____________________ / [ФИО]
Обратите внимание: срок хранения личного дела сотрудника — 50 лет для документов, созданных после 01.01.2003 (до 2003 года — 75 лет). Использование устаревшей цифры «75 лет» для современных документов — распространённая ошибка при составлении согласий.
Хранение и доказательство согласия
Оператор обязан доказать наличие согласия при проверке (ч. 3 ст. 9 152-ФЗ). Рекомендации:
- Для сайтов: фиксировать IP-адрес, дату и время, версию текста согласия при нажатии кнопки
- Для бумажных форм: хранить оригиналы с подписью
- Для телефонных согласий: запись разговора + журнал
Срок хранения доказательств согласия — не менее срока обработки данных + 3 года.
Отзыв согласия: что обязан сделать оператор
По ч. 5 ст. 21 152-ФЗ после получения отзыва согласия оператор обязан:
- В течение 30 дней прекратить обработку и уничтожить данные, если нет другого законного основания для их хранения
- Уведомить субъекта об уничтожении
Нельзя отказать в отзыве или требовать обоснования — это право субъекта, которое не обусловлено ничем.
Ответственность: штрафы за нарушение согласия
Ошибки в согласии — не формальность. Ч. 2 ст. 13.11 КоАП РФ (в ред. 420-ФЗ от 30.11.2024, действует с 30.05.2025) предусматривает:
| Нарушение | Юрлица |
|---|---|
| Обработка без письменного согласия, когда оно обязательно | 300 000 — 700 000 ₽ |
| Нарушение требований к составу сведений в письменном согласии (отсутствие любого из 9 элементов ст. 9 ч. 4) | 300 000 — 700 000 ₽ |
Оба состава — в одной части статьи. То есть если в согласии, где требуется полный состав, не указан обработчик по поручению (п. 6) или нет описания способов обработки (п. 7) — это уже штраф до 700 000 ₽.
Частые ошибки при оформлении согласий
Ошибка 1: Один чекбокс «на всё» Если один чекбокс покрывает и рассылку, и передачу данных партнёрам — это нарушение принципа конкретности и требования 156-ФЗ об отдельном оформлении.
Ошибка 2: Заранее отмеченный чекбокс Предустановленная галочка = нет согласия. Роскомнадзор это проверяет.
Ошибка 3: Согласие внутри договора или анкеты С 01.09.2025 (156-ФЗ) согласие должно быть оформлено отдельно. Пункт в договоре «Клиент даёт согласие на обработку ПД» — нарушение.
Ошибка 4: Ссылка только на политику без текста согласия «Нажимая кнопку, вы соглашаетесь с политикой» — недостаточно, если в форме не перечислены цели, данные и срок.
Ошибка 5: Нет порядка отзыва Обязательный элемент по п. 8 ст. 9 ч. 4. Укажите конкретный email или адрес.
Ошибка 6: Пропущен п. 6 — обработчик по поручению Если данные передаются сервису рассылок, CRM-системе или облачному хранилищу (даже отечественному) — в письменном согласии нужно указать наименование и адрес этого лица.
Ошибка 7: Срок хранения «75 лет» для современных кадровых документов Для документов, созданных после 01.01.2003, срок хранения личного дела — 50 лет, не 75.
Ошибка 8: Одинаковое письменное согласие для спецкатегорий и обычных данных Для спецкатегорий (здоровье, биометрия) нужен полный состав ст. 9 ч. 4. Для обычных данных в рамках договора согласие вообще не нужно.
Таблица: нужно ли согласие?
| Ситуация | Нужно ли согласие | Форма |
|---|---|---|
| Оформление заказа в интернет-магазине | Нет (договор) | — |
| Подписка на email-рассылку | Да | Простое (чекбокс) |
| Передача данных курьерской службе для доставки | Нет (исполнение договора) | — |
| SMS-рассылка акций | Да | Простое (чекбокс) |
| Кадровый учёт сотрудников | Нет (ТК РФ), но часть данных требует согласия | — |
| Публикация фото сотрудника на сайте | Да | Письменное |
| Передача данных в налоговую | Нет (закон) | — |
| Аналитические cookie (идентифицирующие) | Да | Простое (чекбокс) |
| Обработка сведений о здоровье сотрудника (ДМС) | Да (ст. 10 ч. 2) | Письменное, полный состав ст. 9 ч. 4 |
| Биометрическая идентификация | Да (ст. 11) | Письменное, полный состав ст. 9 ч. 4 |
Как быстро подготовить корректные согласия для бизнеса
Формирование согласий вручную — источник ошибок: легко пропустить один из 9 обязательных элементов, использовать устаревший срок хранения или забыть про обработчика по поручению. Каждая такая ошибка — потенциальный штраф до 700 000 ₽.
ПдПро генерирует согласия на обработку персональных данных — для клиентов, сотрудников и несовершеннолетних — с учётом всех требований ст. 9 ч. 4 152-ФЗ и изменений 156-ФЗ. В комплекте до 38 документов: политика, положение об обработке, согласия, уведомления, акты. Всё за ~10 минут.
Тарифы: 2 990 ₽ на 6 месяцев / 4 990 ₽ бессрочно.