Согласие на обработку данных отдельным документом: что изменил 156-ФЗ с 2025
Знакомая картина: сайт собирает согласие на обработку персональных данных одной галочкой под формой, «Принимаю пользовательское соглашение и даю согласие на обработку данных». С 1 сентября 2025 года такая конструкция перестала считаться корректным согласием. Закон от 24 июня 2025 года № 156-ФЗ переписал признаки согласия в 152-ФЗ и прямо потребовал оформлять его отдельно от других документов. Разберём, что именно изменилось, почему согласие на обработку данных отдельным документом в 2025 году стало обязательным, какой штраф грозит за нарушение и как за пару минут проверить свою форму.
Что сломалось в привычной галочке
Внизу формы стоит один чекбокс, который закрывает собой всё. Человек ставит галочку и тем же движением соглашается с офертой, с пользовательским соглашением и с обработкой персональных данных. Владельцу так удобнее. Но для субъекта данных это значит, что согласиться на обработку отдельно от остального он просто не может.
156-ФЗ исходит из того, что согласие на обработку персональных данных это самостоятельное волеизъявление. Дать его человек должен осознанно, а не «заодно» с принятием условий сервиса. Если согласие спрятано внутри оферты, отделить одно от другого невозможно, и закон считает такое согласие дефектным.
Вторая частая ошибка живёт в той же галочке: она стоит уже проставленной. Посетитель только открыл страницу, а чекбокс отмечен. Для конверсии удобно, но согласием это не является. Согласие предполагает активное действие субъекта, а не его молчание или нежелание снимать чужую галочку. Заранее отмеченный чекбокс не образует того самого «однозначного» волеизъявления, которого требует закон.
Согласие отдельным документом: что требует закон с 2025 года
Часть 1 статьи 9 закона 152-ФЗ в редакции 156-ФЗ задаёт признаки правильного согласия. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. И отдельно сказано главное для практики: согласие оформляется отдельно от иной информации и документов, которые подтверждает или подписывает субъект.
Переведём на язык сайта. «Отдельно от иных документов» значит, что согласие нельзя вшивать в текст оферты или пользовательского соглашения и закрывать общим чекбоксом. У согласия должен быть свой пункт, свой чекбокс или свой документ, на который посетитель соглашается самостоятельным действием.
«Конкретным и предметным» значит, что из текста ясно, кто обрабатывает данные, какие именно данные и для каких целей. Формулировка «даю согласие на обработку моих данных» без указания оператора, состава данных и целей этим признакам не отвечает.
«Информированным и сознательным» значит, что у человека есть доступ к политике обработки данных до того, как он соглашается. То есть рядом с формой нужна работающая ссылка на политику, а не упоминание где-то в подвале.
«Однозначным» значит, что нужно активное действие: человек сам ставит галочку. Заранее отмеченный чекбокс или вывод о согласии из самого факта отправки формы этому не отвечают.
Стоит оговориться: 156-ФЗ не придумал согласие заново. Требование, чтобы согласие было конкретным, информированным и сознательным, в законе было и раньше. Свежая редакция добавила другое: прямое и недвусмысленное правило про отдельное оформление и слово «однозначное». Раньше многие толковали закон в свою пользу и считали общую галочку под офертой достаточной. Теперь спорить сложно: норма прямо говорит про оформление отдельно от иных документов. Конструкции, которые годами жили на сайтах и формально проходили, с осени 2025 года требуют пересмотра.
Здесь важно не перепутать два разных режима. Статья 9 регулирует согласие на обычную обработку. Есть ещё статья 10.1 того же закона, она про согласие на распространение данных неограниченному кругу лиц, то есть публикацию. Это другое основание и другие правила, и 156-ФЗ его не отменял. В этой статье речь только о согласии на обработку по статье 9.
Когда согласие вообще нужно, а когда нет
Распространённое заблуждение: раз есть форма, значит обязательно нужен чекбокс согласия. Это не всегда так. Согласие - лишь одно из оснований обработки. Закон допускает обрабатывать данные и по другим основаниям, и тогда отдельное согласие на форме не требуется.
Самый частый пример: обработка нужна для исполнения договора, стороной которого является субъект. Посетитель оформляет заказ и оставляет имя, телефон и адрес доставки, а оператор обрабатывает эти данные ради выполнения заказа. Тут основание «договор», а не согласие, и навешивать чекбокс «согласен на обработку» не обязательно.
А вот когда форма собирает данные для целей, не нужных для самого договора, основание меняется. Подписка на рассылку о скидках, аналитика, маркетинговые рассылки, передача данных партнёрам: всё это уже не исполнение договора. Здесь основанием становится согласие, и оно должно отвечать всем признакам статьи 9: отдельное, конкретное, с активной галочкой.
Практический ориентир такой. Если данные строго необходимы, чтобы оказать услугу или выполнить заказ, основанием скорее всего будет договор. Если данные собираются «на будущее», для маркетинга или для удобства оператора, нужно отдельное согласие. Политика обработки данных и доступ к ней нужны в любом случае, независимо от основания.
Разберём на одной форме. Интернет-магазин при оформлении заказа просит имя, телефон и адрес доставки, а ниже добавляет чекбокс «хочу получать письма о скидках». Тут два разных потока. Имя, телефон и адрес нужны, чтобы доставить заказ, это исполнение договора, и отдельное согласие на них не обязательно. А рассылка о скидках к выполнению заказа отношения не имеет, и подписка на неё уже согласие, которое должно быть отдельным и непредпроставленным. Ошибка возникает, когда обе цели смешивают в одну галочку «оформить заказ и подписаться»: выходит, что заказ нельзя оформить, не согласившись на рассылку, а это и есть запрещённое склеивание разных волеизъявлений.
Та же логика работает для аналитики и внешних виджетов. Если на сайте стоят счётчики, пиксели или сторонние сервисы, собирающие данные о посетителях, основанием обычно выступает не договор, а отдельное волеизъявление пользователя. Это отдельная большая тема, но проверять её стоит по тому же принципу: для чего на самом деле собираются данные и есть ли под это основание.
Пример. Лендинг с одной формой заявки подключает счётчик аналитики и виджет онлайн-чата. Сама заявка нужна, чтобы перезвонить клиенту, тут основание ближе к договору и преддоговорным действиям. А счётчик и чат собирают данные о посетителе, который ещё ничего не заказал и, может, не закажет вовсе. Под этот сбор договора нет, и закрыть его той же галочкой «отправить заявку» нельзя: согласие на чат и аналитику окажется склеено с отправкой формы и не выделено отдельно. На практике аналитику и подобные сервисы выносят в отдельный механизм согласия и описывают в политике, а не прячут в общий чекбокс формы.
Штраф: вилка и что она значит
За обработку персональных данных без согласия там, где оно требуется, либо с нарушением требований к содержанию согласия, отвечает часть 2 статьи 13.11 КоАП. Размеры по этому составу:
| Тип лица | Штраф по части 2 статьи 13.11 КоАП |
|---|---|
| Гражданин | от 10 000 до 15 000 ₽ |
| Должностное лицо | от 100 000 до 300 000 ₽ |
| Юридическое лицо | от 300 000 до 700 000 ₽ |
Отдельно стоит близкий, но самостоятельный состав: отсутствие политики обработки данных в открытом доступе или невозможность её открыть. Это часть 3 статьи 13.11 КоАП, и штрафы там ниже: для граждан от 1 500 до 3 000 ₽, для должностных лиц от 6 000 до 12 000 ₽, для ИП от 10 000 до 20 000 ₽, для юридических лиц от 30 000 до 60 000 ₽. Это разные нарушения: одно про форму согласия, другое про доступность самого документа политики.
Важная оговорка про статус. Самозанятый, который собирает данные через сайт, тоже оператор персональных данных, никакого освобождения «потому что самозанятый» в законе нет. При этом самозанятый это не ИП, и по какой именно категории субъекта будут считать штраф в конкретном случае, определяет орган. Поэтому не стоит механически примерять на себя суммы для юридических лиц.
Это вилка по КоАП, а не юридическое заключение. Конкретный размер штрафа определяет уполномоченный орган с учётом обстоятельств, отягчающих и смягчающих факторов, и нижняя граница диапазона на практике встречается чаще верхней. Цель раздела не напугать, а показать порядок цифр: чтобы было понятно, стоит ли тратить полчаса на исправление формы.
Как проверить согласие на своей форме
Проверку можно провести глазами обычного посетителя. Откройте каждую форму, где запрашивают имя, телефон, email или другие данные, и пройдите по короткому списку.
- Под формой есть отдельный пункт про согласие на обработку персональных данных, а не один общий чекбокс на всё сразу.
- Этот чекбокс не отмечен заранее: посетитель ставит галочку сам.
- В тексте рядом понятно, кто оператор и для каких целей собираются данные.
- Рядом есть рабочая ссылка на политику обработки данных, и она открывается без регистрации.
- Согласие на обработку не спрятано внутри оферты или пользовательского соглашения общей фразой.
Если хотя бы один пункт не выполняется, форму стоит поправить. Форма на сайте обычно не одна: контакты, заявка, обратный звонок, подписка, оформление заказа, виджет чата. Каждая собирает данные, и каждую нужно проверить.
Обойти этот чек-лист по всем страницам сайта удобнее автоматически, чем вручную открывать форму за формой. На странице проверки политики и согласий по 152-ФЗ сканер находит формы и внешние сервисы и показывает, где рядом с формой нет отдельного согласия или ссылки на политику. Разбор индивидуального юридического случая это не заменит, но подскажет, с какой формы начинать.
Как привести форму в порядок
Когда расхождения найдены, порядок действий простой.
Во-первых, отделите согласие от оферты. Дайте согласию на обработку данных свой пункт с собственным чекбоксом, отдельным от принятия пользовательского соглашения. Если у вас одна общая галочка, разнесите её на две: одна про условия сервиса, другая про обработку данных.
Во-вторых, снимите предзаполнение. Чекбокс согласия должен быть пустым при открытии страницы, чтобы посетитель отмечал его сам. Это касается и веб-форм, и мобильной версии.
В-третьих, добавьте конкретику и ссылку. В тексте у согласия укажите, кто обрабатывает данные и для каких целей, и поставьте рядом рабочую ссылку на политику обработки. Что именно должно быть в самой политике, разобрано в материале о содержании политики конфиденциальности.
В-четвёртых, проверьте основание. Там, где данные нужны только для исполнения заказа или договора, отдельное согласие можно не требовать, но политика и информирование нужны всё равно. Подробнее о том, как законно собирать данные через формы, в статье про сбор персональных данных через формы.
Частые вопросы
Можно ли оставить одну галочку «согласен с условиями и обработкой данных»?
Нет. С 1 сентября 2025 года согласие на обработку данных должно быть оформлено отдельно от других документов. Общая галочка, закрывающая сразу оферту и согласие, требованию статьи 9 не отвечает. Разнесите её на отдельный пункт про обработку данных.
Обязательно ли делать отдельный файл-документ согласия?
Закон говорит про оформление согласия отдельно от иной информации и документов. На практике это чаще реализуют отдельным чекбоксом с самостоятельным текстом согласия и ссылкой на политику, а не обязательно отдельным скачиваемым файлом. Главное, чтобы согласие было обособлено и давалось активным действием человека.
Что не так с заранее проставленной галочкой?
Согласие должно быть однозначным, то есть результатом активного выбора человека. Если галочка отмечена уже при загрузке страницы, активного выбора нет, и такое согласие считается дефектным. Чекбокс должен быть пустым по умолчанию.
Нужно ли согласие, если у меня только форма оформления заказа?
Если данные нужны строго для выполнения заказа, основанием обычно выступает договор, и отдельный чекбокс согласия не обязателен. Но если та же форма собирает данные ещё и для рассылки или маркетинга, на эту часть нужно отдельное согласие. Политика обработки данных нужна в любом случае.
Касается ли это самозанятого?
Да. Самозанятый, собирающий данные через сайт, тоже оператор персональных данных, и требования к согласию и политике на него распространяются. Освобождения по статусу в законе нет.
Коротко
С 1 сентября 2025 года, после 156-ФЗ, согласие на обработку персональных данных нельзя вшивать в оферту или пользовательское соглашение: по статье 9 закона 152-ФЗ оно должно быть конкретным, информированным, однозначным и оформленным отдельно от других документов. На практике это значит отдельный непредпроставленный чекбокс согласия с указанием оператора и целей и рабочей ссылкой на политику. Согласие нужно не всегда: когда данные собираются для исполнения договора, основанием выступает договор, но политика обработки обязательна в любом случае. За обработку без надлежащего согласия предусмотрен штраф по части 2 статьи 13.11 КоАП, за недоступность политики по части 3 той же статьи. Проверить формы можно вручную по короткому чек-листу или автоматически сканом сайта.
Нормативная база
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (ред. от 24.06.2025), часть 1 статьи 9: согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным, однозначным и оформлено отдельно от иной информации и документов, которые подтверждает или подписывает субъект.
- Федеральный закон от 24.06.2025 № 156-ФЗ: дополнил часть 1 статьи 9 152-ФЗ требованием оформлять согласие отдельно от иной информации и документов, которые подтверждает или подписывает субъект; вступил в силу 1 сентября 2025 года.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1: оператор, собирающий данные через интернет, обязан опубликовать на страницах сайта документ о политике обработки персональных данных и сведения о реализуемых требованиях к защите.
- КоАП РФ, часть 2 статьи 13.11: обработка персональных данных без согласия в письменной форме, когда оно требуется, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие; влечёт административный штраф.
- КоАП РФ, часть 3 статьи 13.11: невыполнение оператором обязанности опубликовать политику обработки персональных данных или обеспечить к ней неограниченный доступ; влечёт предупреждение или административный штраф.