Согласие на обработку персональных данных в 2026: штрафы до 700 000 ₽, образцы и как оформить на сайте

Одна забытая галочка под формой заявки может стоить бизнесу от 300 000 до 700 000 ₽. А если база клиентов утечёт — счёт пойдёт на миллионы. С 30 мая 2025 года ответственность за персональные данные ужесточили, и привычная отписка «для галочки» больше не спасает. Ниже — без воды: кому нужно согласие, когда оно не требуется, готовые образцы (для сайта, сотрудника и отзыва), чек-лист самопроверки и что делать, если вы уже собираете данные неправильно.

Почти любой сайт сегодня собирает персональные данные. Форма заявки, обратный звонок, расчёт стоимости, подписка, регистрация, чат — как только человек оставляет имя и телефон, вы становитесь оператором персональных данных по 152-ФЗ. А у оператора есть обязанность: получить согласие до начала обработки. Нет согласия — есть нарушение.

Сколько теперь стоит ошибка: штрафы 2025–2026

Поправки от 30 мая 2025 года (ФЗ № 420-ФЗ) привязали размер штрафа к масштабу нарушения. Раньше за работу без согласия отделывались десятками тысяч — теперь суммы совсем другие.

• Обработка без согласия (ч. 2 ст. 13.11 КоАП): физлица — 10 000–15 000 ₽, должностные лица — 100 000–300 000 ₽, юрлица — 300 000–700 000 ₽.
• Не уведомили Роскомнадзор о том, что вы оператор: для организаций — 100 000–300 000 ₽.
• Утечка данных 1 000–10 000 человек: юрлица и ИП — 3–5 млн ₽.
• Утечка 10 000–100 000 человек: — 5–10 млн ₽.
• Повторная или массовая утечка — оборотные штрафы, в пределе до 500 млн ₽.

И свежая деталь: с 28 декабря 2025 года (ФЗ № 508-ФЗ) дела по статье 13.11 вернули мировым судьям — рассматриваются они проще и быстрее. Риск стал не только дороже, но и ближе.

Кому нужно согласие — и когда оно НЕ требуется

Согласие нужно везде, где есть сбор контактов: лендинг с формой заявки, интернет-магазин, сайт услуг с обратным звонком, форма подписки, личный кабинет, бот в мессенджере. Простое правило: если на сайте есть хоть одна форма, собирающая имя и телефон, — согласие обязательно.

Но есть случаи, когда отдельное согласие по закону не требуется (ст. 6 152-ФЗ) — обработка допускается и без него, если она необходима:

• для исполнения договора, стороной которого является сам человек (например, чтобы доставить уже оформленный им заказ);
• для исполнения обязанностей, возложенных на вас законом;
• для защиты жизни, здоровья или иных жизненно важных интересов человека.

Важная оговорка: даже когда отдельное согласие не нужно, это не отменяет остальных обязанностей — политику конфиденциальности, уведомление в Роскомнадзор и хранение данных в России никто не отменял. И как только вы используете данные для другой цели (например, рассылка после оформления заказа) — согласие снова обязательно.

Что такое согласие

Согласие — это разрешение человека на обработку его данных с конкретной целью. По закону оно должно быть конкретным, предметным, информированным, сознательным и однозначным. По-человечески: посетитель должен понимать, кто, какие именно его данные, зачем и на какой срок собирает — и согласиться осознанно, а не случайно кликнув по кнопке.

Как на этом попадают: три сценария из жизни

Сценарий 1. Магазин без галочки. Запустили сайт, поставили форму заказа — имя, телефон, адрес. Про согласие не подумали: «у всех так». Недовольный клиент или конкурент пишет жалобу в Роскомнадзор. Проверка фиксирует обработку без согласия (ч. 2 ст. 13.11) и выдаёт предписание. То, что закрывалось за пару часов на старте, превращается в сотни тысяч штрафа плюс срочную переделку под надзором.

Сценарий 2. Рассылка «по своей базе». Компания собрала телефоны под заявки, а потом начала слать по ним рекламу или передала базу подрядчику. Это другая цель и передача третьим лицам — нужно отдельное основание. И претензия может прилететь не только от РКН, но и от ФАС за рекламу без согласия.

Сценарий 3. «Мы маленькие, нас это не касается». Самозанятый или ИП с лендингом уверен, что правила — для корпораций. На деле оператором становится любой, кто собирает данные клиентов. Размер бизнеса не освобождает от обязанностей — он лишь влияет на то, насколько больно будет.

Три вида согласий, которые постоянно путают

• Согласие на обработку — базовое, нужно практически всем. О нём и идёт речь в статье.
• Согласие на распространение (публикацию данных для неограниченного круга лиц) — отдельный документ с особыми требованиями (Приказ Роскомнадзора № 18 от 24.02.2021). Нужно, например, если вы публикуете отзывы с именами или фото клиентов.
• Cookie-уведомление — не то же самое, что согласие на обработку. Cookie, по которым можно идентифицировать человека, могут считаться персональными данными, поэтому пользователя как минимум нужно проинформировать баннером (как сделать правильно).

Что обязательно должно быть в согласии (ст. 9 152-ФЗ)

• ФИО, адрес субъекта и реквизиты документа, удостоверяющего личность (для письменной формы);
• наименование (или ФИО) и адрес оператора, который получает согласие;
• цель обработки персональных данных;
• перечень данных, на обработку которых даётся согласие;
• перечень действий с данными и способы обработки;
• наименование и адрес лица, обрабатывающего данные по поручению оператора, если такое поручение есть;
• срок действия согласия и порядок его отзыва.

Образец согласия для сайта (заполненный пример)

Для формы на сайте чаще используют согласие через действие — отметку в непредзаполненном чекбоксе. Вот заполненный пример формулировки рядом с такой галочкой, который можно взять за основу:

Нажимая «Отправить заявку», я даю согласие ООО «Ромашка», ИНН 7700000000, адрес: 101000, г. Москва, ул. Примерная, д. 1, на обработку моих персональных данных (имя, номер телефона, адрес электронной почты), указанных в форме, с целью обработки моей заявки и связи со мной. Обработка включает сбор, запись, хранение, использование и удаление данных. Согласие действует до достижения цели обработки или до его отзыва. Отозвать согласие можно письмом на info@romashka.ru. С Политикой конфиденциальности ознакомлен(а).

Образец согласия сотрудника

При приёме на работу согласие чаще оформляют отдельным письменным документом. Упрощённый каркас выглядит так:

Я, Иванов Иван Иванович, паспорт 0000 № 000000, проживающий по адресу …, даю согласие ООО «Ромашка» (адрес: …) на обработку моих персональных данных (ФИО, паспортные данные, СНИЛС, ИНН, адрес, сведения об образовании и стаже) с целью оформления трудовых отношений и кадрового учёта. Согласие действует на срок трудовых отношений и может быть отозвано письменным заявлением. Дата, подпись.

Как отозвать согласие (и образец отзыва)

Человек вправе отозвать согласие в любой момент. После отзыва оператор обязан прекратить обработку и удалить данные — кроме случаев, когда есть другое законное основание их хранить (например, требование закона). Образец заявления об отзыве — короткий:

Я, Иванов Иван Иванович, отзываю ранее данное согласие на обработку моих персональных данных, предоставленное ООО «Ромашка». Прошу прекратить обработку и удалить мои данные в установленный законом срок. Дата, подпись.

Срок действия и хранения согласия

Жёсткой цифры в законе нет: согласие действует до достижения цели обработки или до его отзыва — это и указывают в тексте. Сам документ (или электронную отметку) разумно хранить всё время обработки и какое-то время после её завершения, чтобы при проверке подтвердить, что согласие действительно было получено. На практике ориентируются на срок исковой давности.

Главное изменение 2025: согласие — отдельный документ

С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельно от других документов и информации, которые человек подписывает или подтверждает. Согласие нельзя «вшивать» в текст оферты или объединять с подтверждением чего-то ещё одной общей галочкой. Привычная единственная галочка «Я согласен с условиями и политикой» теперь рискованна — корректнее вынести согласие на ПДн отдельным, явным пунктом.

Не только согласие: что ещё проверяет Роскомнадзор

• Политика конфиденциальности — отдельный публичный документ, доступный с любой страницы сайта.
• Корректные согласия на всех формах — с непредзаполненными чекбоксами.
• Уведомление в Роскомнадзор — как подать. С 30 мая 2025 года уведомлять РКН обязаны практически все операторы — исключений почти не осталось. За отсутствие уведомления — отдельный штраф 100 000–300 000 ₽.
• Хранение данных в России. По 242-ФЗ данные граждан РФ должны собираться и храниться с использованием баз данных на территории России — это касается выбора хостинга и CRM.

Как оформить согласие на сайте правильно

1. Разместите отдельные страницы с политикой конфиденциальности и текстом согласия — они должны открываться по ссылке с любой формы.
2. У каждой формы добавьте чекбокс согласия. Он НЕ должен быть предзаполнен.
3. Сформулируйте пункт конкретно: на обработку каких данных, с какой целью и кем (укажите оператора).
4. Не объединяйте согласие на ПДн с офертой или подпиской в одну галочку.
5. Предусмотрите способ отзыва согласия (контакт или email).
6. Проверьте, что данные хранятся в России и что вы подали уведомление в Роскомнадзор.

Чек-лист: проверьте свой сайт за 5 минут

• На каждой форме есть непредзаполненный чекбокс согласия — да/нет?
• Рядом с галочкой есть ссылки на политику и текст согласия — да/нет?
• Согласие на ПДн вынесено отдельно от оферты и других галочек — да/нет?
• На сайте опубликована политика конфиденциальности — да/нет?
• Указан способ отозвать согласие — да/нет?
• Подано уведомление в Роскомнадзор — да/нет?
• Данные клиентов хранятся на серверах в России — да/нет?

Если хотя бы на один пункт ответ «нет» — это зона риска, которую стоит закрыть до того, как ей заинтересуется проверяющий.

Уже собирали данные без согласия — что делать?

Без паники и без удаления базы «на всякий случай». Разумный порядок: добавьте корректные согласия и политику на сайт прямо сейчас, чтобы остановить новые нарушения. Затем проверьте, подано ли уведомление в Роскомнадзор, и подайте, если нет. По уже собранным контактам при следующем касании (звонок, письмо, заказ) запросите согласие корректно. Устранение нарушения до проверки почти всегда дешевле, чем после.

5 ошибок, за которые штрафуют чаще всего

• Предзаполненный (уже отмеченный) чекбокс — такое согласие считается неполученным.
• Одна галочка на всё сразу: оферта + рассылка + персональные данные.
• На сайте нет текста согласия и/или политики конфиденциальности.
• Цель обработки и перечень данных не указаны или размыты.
• Не подано уведомление в Роскомнадзор, хотя данные собираются.

Важно: это обзорный материал, а не юридическая консультация. Точные формулировки под вашу ситуацию — особенно при передаче данных третьим лицам, рассылках или работе с данными несовершеннолетних — стоит проверить с юристом и по действующей редакции 152-ФЗ.

Как закрыть вопрос быстро

Минимальный комплект для сайта — политика конфиденциальности, текст согласия и корректные чекбоксы на формах. А если нужно привести сайт в соответствие целиком — формы, согласия, cookie-уведомление, уведомление РКН, хранение данных в России, — этим занимается наша студия: сделаем так, чтобы проверка Роскомнадзора была не страшна.