Перейти к содержанию
инструкция 17 февраля 2027 По состоянию на 17 февраля 2027

Чекбокс согласия с политикой: правовое значение

Чекбокс на сайте — это не просто элемент интерфейса: он фиксирует юридически значимое согласие субъекта на обработку персональных данных по ст. 9 ФЗ-152.
С 01.09.2025 требования к согласию ужесточены ФЗ-156: оно оформляется отдельным документом с обязательными реквизитами. Галочка, совмещённая с принятием оферты или политики, больше не даёт оператору правовой защиты. Штраф за нарушение требований к согласию — 300 000 — 700 000 ₽ по ч. 2 ст. 13.11 КоАП.
→ Если вы юрист и проверяете комплаенс сайта — читайте пошаговый разбор того, что именно должен фиксировать чекбокс, чтобы согласие было действительным.

Роскомнадзор проверяет сайты операторов по индикаторам риска, и отсутствие или неправильное оформление согласия — один из самых частых поводов для протокола. По данным РКН, в 2024 году зафиксировано более 135 случаев компрометации данных; при этом большинство нарушений по ст. 13.11 КоАП связано с ненадлежащим оформлением согласий и отсутствием актуальной политики обработки ПДн. После вступления в силу ФЗ-156 от 24.06.2025 юристы компаний-операторов получили новые обязательства: переаудит форм согласия, пересмотр структуры политики конфиденциальности и назначение ответственного по ст. 22.1 ФЗ-152. В этой инструкции — последовательность действий для приведения чекбокса и сопутствующей документации в соответствие с действующими нормами.

Шаг 1. Понять, что фиксирует чекбокс и почему это важно для оператора

Чекбокс согласия с политикой — это электронный способ получения согласия субъекта на обработку его персональных данных. Согласие по ст. 9 ФЗ-152 должно быть конкретным, информированным, сознательным и однозначным. Проставление галочки удовлетворяет этим критериям только при одном условии: форма содержит все обязательные реквизиты, а не просто ссылку на политику.

До 01.09.2025 операторы нередко включали согласие в текст договора, оферты или политики конфиденциальности. С вступлением в силу ФЗ-156 от 24.06.2025 это недопустимо: согласие оформляется отдельным документом. Чекбокс «Я принимаю условия оферты» не равен чекбоксу «Я даю согласие на обработку персональных данных в целях...» — это разные правовые акты.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) — согласие субъекта оформляется отдельным документом. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок согласия, способ отзыва.»

Практическое следствие для юриста: каждый сценарий сбора ПДн на сайте требует отдельного чекбокса с самостоятельным текстом согласия — для формы обратной связи, для регистрации в личном кабинете, для подписки на рассылку. Один общий чекбокс «Согласен с политикой» не покрывает все цели и не соответствует требованию конкретности.

Согласия на сайте не разделены по целям?

Если в формах компании один общий чекбокс или согласие встроено в договор — это нарушение ч. 2 ст. 13.11 КоАП с штрафом 300 000 — 700 000 ₽. С 01.09.2025 требования ФЗ-156 применяются ко всем новым согласиям. Юристы DATUM проведут аудит форм и подготовят пакет согласий по новым требованиям.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Проверить состав текста согласия, к которому ведёт чекбокс

Текст, к которому привязан чекбокс, должен содержать все восемь реквизитов ст. 9 ФЗ-152. Если хотя бы один отсутствует — согласие считается ненадлежащим, а оператор не вправе ссылаться на него как на правовое основание обработки. Проверьте каждый пункт по этому списку.

Обязательные реквизиты согласия по ст. 9 ФЗ-152

  • Наименование и адрес оператора — юридическое лицо или ИП, который собирает данные.
  • Цель (цели) обработки — конкретные, не формулировка «для улучшения сервиса».
  • Перечень персональных данных — имя, email, телефон — каждый атрибут явно.
  • Перечень действий с ПДн — сбор, запись, хранение, передача третьим лицам (если есть).
  • Срок согласия или указание на событие, после которого согласие прекращается.
  • Способ отзыва согласия — адрес, email, форма на сайте.

Дополнительно проверьте: если оператор передаёт данные третьим лицам (например, сервисам email-рассылки или колл-центру на аутсорсе), это должно быть отражено в перечне действий. Передача по поручению по ст. 6 ч. 3 ФЗ-152 не отменяет требование к составу согласия — субъект должен знать, кому и зачем уходят его данные.

Отдельный вопрос — согласие на распространение. Если сайт публикует отзывы, фото или иные данные субъектов в открытом доступе, требуется отдельное согласие по ст. 10.1 ФЗ-152. Молчание субъекта (непроставление второго чекбокса) означает: данные обрабатываются только для нужд оператора.

Как политика конфиденциальности связана с чекбоксом и что обязан опубликовать оператор?

Политика обработки ПДн по ст. 18.1 ФЗ-152 — самостоятельный документ, обязательный к публикации на сайте. Ссылка на политику в тексте чекбокса не заменяет само согласие: это два разных правовых инструмента с разными функциями.

Политика информирует субъекта об общих условиях обработки. Согласие — фиксирует его волеизъявление применительно к конкретной цели и конкретному перечню данных. Роскомнадзор при проверке запрашивает оба документа независимо друг от друга. Отсутствие политики на сайте влечёт штраф по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽ для юрлица); ненадлежащее согласие — штраф по ч. 2 той же статьи (300 000 — 700 000 ₽).

«Ст. 18.1 ч. 2 ФЗ-152 устанавливает обязательное содержание политики обработки ПДн: правовые основания, цели, способы обработки, перечень лиц, которым раскрываются данные, сроки обработки и хранения, порядок уничтожения.»

Распространённая ошибка: в политике перечислены все цели обработки, а чекбокс на форме регистрации ссылается на неё целиком. В результате субъект даёт согласие сразу на маркетинговые рассылки, аналитику и передачу данным партнёрам — не понимая этого. Такое согласие не является конкретным и будет признано ненадлежащим при проверке.

Если вы юрист и политика компании содержит всё подряд, а согласие ссылается на неё одной строкой — это типичное нарушение ч. 2 ст. 13.11. Штраф 300 000 — 700 000 ₽, при повторности по ч. 2.1 — до 1 500 000 ₽. Юристы DATUM соберут ОРД под ключ и разведут документы по структуре.

Собрать ОРД под ключ

Шаг 3. Проверить уведомление в реестре РКН и соответствие заявленных целей реальной обработке

Оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки по ст. 22 ФЗ-152. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Подача — через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр — 30 дней с момента принятия уведомления.

Проверить наличие записи в реестре можно на pd.rkn.gov.ru публично. Если запись есть, но устарела — это самостоятельное нарушение: реальная обработка шире заявленной. Неуведомление или несвоевременное уведомление влечёт штраф по ч. 10 ст. 13.11 КоАП: 100 000 — 300 000 ₽ для юрлица.

Юрист, проверяющий комплаенс, должен сверить три документа между собой: уведомление в реестре РКН, политику обработки ПДн на сайте и тексты согласий в формах. Цели обработки, категории ПДн и перечень получателей должны совпадать во всех трёх. Расхождение — основание для предписания со стороны РКН.

Шаг 4. Назначить ответственного по ст. 22.1 ФЗ-152 и оформить приказ

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. Это не просто формальность: именно этот сотрудник координирует ответы на запросы субъектов, контролирует соответствие форм согласий нормам и отвечает за актуальность политики. На него же возлагается ведение журнала обращений субъектов.

Требования к квалификации ответственного установлены ч. 4 ст. 22.1 ФЗ-152: он должен обладать знаниями в области защиты ПДн. На практике это означает прохождение обучения или наличие опыта юридической или ИБ-работы с персональными данными. Ответственным может быть штатный юрист, кадровик или DPO на аутсорсе.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо назначает лицо, ответственное за организацию обработки ПДн. Контактные данные ответственного публикуются на сайте оператора и направляются в РКН в уведомлении по форме Приказа РКН №180.»

Частая ошибка: ответственный назначен приказом, но его данные не внесены в уведомление РКН и не опубликованы на сайте. Это создаёт расхождение между документами и реальным состоянием — основание для замечания при проверке.

Шаг 5. Проверить, какие согласия нужно переоформить после 01.09.2025

ФЗ-156 от 24.06.2025 не имеет обратной силы: согласия, полученные до 01.09.2025, переоформлять не требуется, если они соответствовали нормам на момент получения. Однако все новые согласия — с 01.09.2025 — обязаны оформляться отдельным документом с полным набором реквизитов.

Юристу нужно разделить базу согласий на два пула: «старые» (до 01.09.2025) и «новые» (с 01.09.2025). Для «старых» проверить: если согласие было встроено в договор и при этом не содержало всех реквизитов ст. 9 ФЗ-152 — оно недействительно не с 01.09.2025, а с момента получения. Ссылаться на него в суде или при проверке РКН не получится.

Практический алгоритм переоформления для активных пользователей сервиса: направить уведомление о новой форме согласия, предложить принять её при следующем входе в систему. Удаление данных субъектов, которые не прошли повторное согласие, если срок обработки истёк, — обязательно по ст. 21 ФЗ-152.

Как это применяется на практике

Кейс 1. Интернет-магазин (Центральный ФО, лето 2025). Юрист компании при подготовке к проверке РКН обнаружил: форма регистрации содержит один чекбокс «Согласен с политикой конфиденциальности», который закрывает одновременно согласие на обработку ПДн, согласие на рассылку и принятие условий программы лояльности. Все три — разные цели с разными правовыми основаниями. В ходе аудита ОРД были разработаны три самостоятельных согласия с раздельными чекбоксами. При плановой проверке РКН инспектор проверил формы и уведомил об отсутствии нарушений. Расходы на аудит и доработку — существенно ниже минимального штрафа по ч. 2 ст. 13.11 (300 000 ₽).

Кейс 2. IT-компания (Северо-Западный ФО, осень 2025). Роскомнадзор по жалобе субъекта провёл внеплановую проверку. Согласие в форме обратной связи содержало все реквизиты ст. 9, но ответственный по ст. 22.1 не был назначен приказом — имелось только устное поручение. Инспектор выдал предписание об устранении нарушения. Компания устранила нарушение в установленный срок; штраф по ч. 3 ст. 13.11 не был назначен, поскольку нарушение было устранено до составления протокола.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет включает: уведомление в реестре РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1 с публикацией на сайте, отдельные согласия субъектов по ст. 9 с обязательными реквизитами, приказ о назначении ответственного по ст. 22.1, договоры-поручения с обработчиками по ст. 6 ч. 3, журнал учёта обращений субъектов. Полный пакет ОРД насчитывает около 38 документов в зависимости от категорий ПДн и сферы деятельности.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, установленные ч. 2 ст. 18.1 ФЗ-152: правовые основания обработки, цели и способы, перечень лиц, которым передаются данные, сроки обработки и порядок уничтожения, меры защиты. Политика публикуется на сайте оператора в открытом доступе — не за авторизацией. Использовать шаблон из интернета можно как отправную точку, но он требует адаптации под реальные цели и категории ПДн конкретного оператора: несоответствие политики реальной обработке — основание для предписания РКН.

3. Кого назначить ответственным по ст. 22.1?

Ответственным за организацию обработки ПДн может быть любой сотрудник с достаточной квалификацией в области защиты персональных данных — штатный юрист, специалист по ИБ или кадровик с профильной подготовкой. Назначение оформляется приказом руководителя; контактные данные ответственного вносятся в уведомление РКН по Приказу РКН №180 и публикуются на сайте. Альтернатива — DPO-аутсорсинг: внешний ответственный на договоре.

4. Можно ли использовать шаблон политики из интернета?

Шаблон можно использовать как структурную основу, но не как готовый документ. Политика конфиденциальности должна отражать реальную обработку конкретного оператора: фактические цели, категории ПДн, перечень получателей, сроки хранения. Шаблон, не адаптированный под деятельность компании, создаёт расхождение между документом и реальностью — это выявляется при проверке РКН и является нарушением ст. 18.1 ФЗ-152.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом — не встраивается в договор, оферту или текст политики. Для каждой цели обработки требуется самостоятельное согласие с полным набором реквизитов ст. 9 ФЗ-152. Согласия, полученные до 01.09.2025, переоформлять не нужно, если они соответствовали нормам на момент получения. Все согласия, получаемые с 01.09.2025, должны соответствовать новым требованиям.

Итог

Чекбокс согласия с политикой имеет правовое значение только тогда, когда к нему привязан текст с полным набором реквизитов ст. 9 ФЗ-152, а само согласие оформлено как отдельный документ — особенно после 01.09.2025. Одного чекбокса на все цели обработки недостаточно: каждая цель требует самостоятельного волеизъявления субъекта. Уведомление в реестре РКН, актуальная политика по ст. 18.1 и назначенный ответственный по ст. 22.1 — обязательные элементы комплаенса, без которых даже правильный чекбокс не защитит оператора от штрафа.

Практика DATUM по сопровождению операторов ПДн охватывает аудит форм согласия, разработку ОРД под ключ и представление интересов при проверках Роскомнадзора. Юристы практики сопровождали операторов в период перехода к требованиям ФЗ-156 и знают типовые расхождения, которые РКН выявляет в первую очередь.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 ФЗ-152 в ред. ФЗ-156, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

17 февраля 2027 года