Согласие через email
Сбор согласий через электронную почту используется в b2b-взаимодействии, при регистрации в сервисах, в HR-процессах с дистанционными сотрудниками и в маркетинговых рассылках. С 01.09.2025 законодатель ужесточил требования к форме согласия: теперь это не просто галочка или заверение «ознакомлен» — это документ со строгим перечнем реквизитов по ст. 9 ФЗ-152. Инструкция ниже описывает шесть шагов: от проверки правовых оснований до хранения доказательной базы.
Шаг 1. Проверьте, нужно ли согласие вообще
Прежде чем выстраивать форму email-согласия, убедитесь, что оно является надлежащим правовым основанием для конкретной операции. Ст. 6 ФЗ-152 допускает обработку ПДн по 11 основаниям: согласие субъекта — только одно из них. Если обработка нужна для исполнения договора с субъектом (п. 5 ч. 1 ст. 6) или для выполнения требований закона (п. 2 ч. 1 ст. 6), согласие не нужно и его получение создаёт лишний риск — субъект может отозвать согласие, и обработка формально прекратится.
Для специальных категорий ПДн (данные о здоровье, судимости, религиозных убеждениях — ст. 10 ФЗ-152) и для биометрии (ст. 11 ФЗ-152) согласие обязательно как правило. Для распространения ПДн — отдельное согласие по ст. 10.1 ФЗ-152. Если оператор собирает согласие email-форматом под все три цели одновременно, каждая требует отдельного документа.
Что изменилось в требованиях к согласию с 01.09.2025?
ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом. Его нельзя включать в текст договора, трудового соглашения, оферты или политики конфиденциальности. Ранее полученные согласия в составе иных документов обратной силы не имеют: переоформлять их не требуется, однако новые — только в отдельном виде.
Обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень допустимых действий с ними, срок действия согласия, способ отзыва. Email-формат полностью применим — главное, чтобы текст письма или вложения содержал все перечисленные элементы.
Шаг 2. Составьте текст согласия по реквизитам ст. 9 ФЗ-152
Текст согласия готовится оператором и направляется субъекту для ознакомления и подтверждения. В email-сценарии возможны два варианта: субъект получает письмо с текстом согласия и отвечает на него; либо в письме содержится ссылка на документ, который субъект подписывает квалифицированной электронной подписью (КЭП) или иным способом, обеспечивающим идентификацию.
Обязательные реквизиты согласия по ст. 9 ФЗ-152
- ФИО субъекта персональных данных и его контактные данные
- Полное наименование оператора и его адрес
- Цель (цели) обработки персональных данных — конкретно, не «по всем вопросам»
- Перечень персональных данных, на обработку которых даётся согласие
- Перечень разрешённых действий: сбор, запись, хранение, передача третьим лицам и т. д.
- Срок действия согласия и порядок его отзыва
Если ПДн передаются третьим лицам (поручение обработки по п. 3 ст. 6 ФЗ-152 или иным основаниям), перечень получателей или категорий получателей также включается в текст. Согласие без реквизитов оператора или без срока — дефектное: при проверке Роскомнадзора оно приравнивается к отсутствующему.
Ваша форма согласия через email проверена по реквизитам ст. 9 ФЗ-152?
Если вы юрист, который выстраивает ОРД оператора, и не уверены, соответствует ли текущая форма требованиям с 01.09.2025 — дефект в реквизитах приравнивается к отсутствию согласия. Штраф по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за каждое нарушение. Получить согласие заново после протокола РКН намного сложнее, чем исправить форму до проверки.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Выберите механизм подтверждения и обеспечьте доказательную базу
Ключевая проблема email-согласия — доказуемость. Простой ответ «Согласен» на письмо не несёт правовой силы сам по себе: оператор обязан доказать, что согласие дал именно тот субъект, которому направлялось письмо (ч. 3 ст. 9 ФЗ-152: бремя доказывания лежит на операторе). Практика выработала три рабочих механизма.
Механизм 1 — double opt-in. Оператор направляет письмо с текстом согласия и уникальной ссылкой подтверждения. Переход по ссылке фиксируется в журнале с IP-адресом, timestamp и идентификатором письма. Этот механизм — стандарт для рассылок и онлайн-регистрации.
Механизм 2 — КЭП субъекта. Субъект подписывает документ согласия квалифицированной электронной подписью и направляет подписанный файл оператору. Доказательная сила максимальная, процесс сложнее для массовых операций.
Механизм 3 — ответ с официального корпоративного email. В b2b-сценарии, когда субъект использует корпоративный адрес, ответ «Согласен» с подтверждёнными реквизитами (ФИО, должность, организация) в сочетании с журналом переписки образует достаточную доказательную базу. Для физических лиц на личных адресах этот механизм слабее.
Шаг 4. Свяжите согласие с уведомлением РКН и политикой конфиденциальности
Согласие — не изолированный документ. Оно вписывается в ОРД оператора: уведомление о намерении обрабатывать ПДн (ст. 22 ФЗ-152, форма — Приказ РКН №180 от 28.10.2022), политику обработки персональных данных (ст. 18.1 ФЗ-152) и приказ о назначении ответственного по ст. 22.1 ФЗ-152.
Цель обработки в тексте email-согласия должна дословно или по смыслу совпадать с целью, указанной в уведомлении оператора в реестре РКН. Расхождение — основание для протокола по ч. 1 ст. 13.11 КоАП (обработка в целях, не совместимых с заявленными). Политика конфиденциальности, опубликованная на сайте, описывает все категории ПДн, операторов и обработчиков: если в email-согласии указан иной перечень данных — он тоже должен быть отражён в политике.
Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 — это лицо, назначенное приказом. В малых компаниях это часто юрист или руководитель. Именно он отвечает перед РКН за корректность ОРД, включая email-согласия. Требования к квалификации ответственного закреплены в ч. 4 ст. 22.1 ФЗ-152.
Если вы юрист и обнаружили, что цели в уведомлении РКН не совпадают с целями в email-согласиях — это нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Устранить расхождение нужно до проверки: после протокола исправления не снимают ответственность. Юристы DATUM проведут аудит комплекта ОРД и выдадут приоритизированный план устранения.
Собрать ОРД под ключШаг 5. Организуйте хранение и отзыв согласий
Согласие хранится в течение срока обработки ПДн и сверх него — пока не истечёт срок исковой давности по возможным претензиям субъекта. На практике это означает хранение не менее трёх лет после прекращения обработки. Email-переписка, журналы double opt-in, подписанные файлы — всё это образует доказательный архив.
Субъект вправе отозвать согласие в любой момент (ч. 2 ст. 9 ФЗ-152). Порядок отзыва должен быть указан в тексте согласия и должен быть реально исполним: email-адрес или форма, на которую направляется отзыв, обрабатывается в течение разумного срока (оператор обязан прекратить обработку после получения отзыва, если нет иного правового основания). Журнал отзывов ведётся отдельно.
Шаг 6. Проверьте сценарии нарушений и риски проверки
Сценарий 1: согласие встроено в письмо-оферту. До 01.09.2025 это было распространённой практикой. Теперь такое согласие не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Ситуация: оператор продолжает ссылаться на эти старые согласия как на основание текущей обработки. Доказательства: письмо содержит несколько документов в одном тексте; нет отдельного файла или раздела. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽. Стратегия: разграничить документы, получить новые согласия по отдельному шаблону до следующей операции с ПДн субъекта.
Сценарий 2: отсутствие доказательства согласия при запросе РКН. Ситуация: РКН в ходе проверки запрашивает все согласия субъектов, обработка данных которых ведётся на основании email-переписки. Оператор не сохранил журнал double opt-in, письма удалены. Доказательства: нет. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП по каждому субъекту, в отношении которого нет доказательства. Стратегия: внедрить автоматическую архивацию журналов с отметкой timestamp и IP немедленно; ретроспективно получить подтверждения там, где это возможно.
Сценарий 3: цели в согласии шире целей в реестре РКН. Ситуация: оператор указал в email-согласии цель «обработка в маркетинговых целях», а в уведомлении в реестре заявлена только «обработка в целях исполнения договора». Вероятный исход: нарушение ст. 5 и ст. 22 ФЗ-152, протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽) и по ч. 10 ст. 13.11 (неактуальное уведомление, 100 000–300 000 ₽). Стратегия: синхронизировать уведомление в реестре с реальными целями; подать уведомление об изменении сведений по форме Приказа РКН №180.
Как это применяется на практике
Кейс 1. Юрист IT-компании (Центральный ФО, осень 2025) обнаружил при аудите, что email-согласия соискателей на обработку резюме вшиты в тело письма-подтверждения получения резюме. После 01.09.2025 такая форма нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Компания до получения предписания разработала отдельный шаблон согласия и внедрила double opt-in с журналированием. При последующей плановой проверке РКН претензий к форме согласия не предъявил.
Кейс 2. В деле компании из сферы дополнительного образования (Приволжский ФО, начало 2026) РКН при внеплановой проверке запросил доказательства согласий родителей на обработку ПДн детей, полученных по email. Журналы double opt-in не велись, письма частично удалены. Арбитражный суд региона вынес постановление о штрафе в сотни тысяч рублей по ч. 2 ст. 13.11 КоАП. Компания воспользовалась правом на снижение штрафа через представление смягчающих обстоятельств: немедленное устранение нарушения и отсутствие предшествующих протоколов.
Услуги DATUM по теме
- Комплект ОРД под ключ — 38 документов: согласия, политика, приказы, журналы
- Аудит соответствия 152-ФЗ — проверка email-форм согласий, уведомлений РКН и всей ОРД
- DPO-аутсорсинг — ведение функции ответственного по ст. 22.1, ответы на запросы субъектов
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет ОРД включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), шаблоны согласий субъектов (ст. 9 ФЗ-152), журнал учёта обращений субъектов и журнал учёта инцидентов. Для каждой цели обработки могут потребоваться отдельные согласия. Полный комплект насчитывает 38 документов при стандартной модели обработки.
2. Как составить политику обработки ПДн?
Политика обработки ПДн публикуется на сайте оператора и должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: наименование оператора, цели обработки, правовые основания, категории субъектов и ПДн, порядок и сроки хранения, права субъектов, меры защиты. Шаблоны из открытых источников часто не содержат полного перечня разделов и не учитывают специфику конкретного оператора — использовать их без адаптации рискованно.
3. Кого назначить ответственным по ст. 22.1?
Ответственный за организацию обработки ПДн назначается приказом руководителя. Требования к квалификации закреплены в ч. 4 ст. 22.1 ФЗ-152. Им может быть штатный юрист, сотрудник службы ИБ или внешний DPO-аутсорсер. Важно: сведения об ответственном передаются в РКН через уведомление по форме Приказа РКН №180 при регистрации или изменении данных в реестре.
4. Можно ли использовать шаблон политики из интернета?
Формально — можно, если шаблон содержит все обязательные разделы по ч. 2 ст. 18.1 ФЗ-152. На практике большинство шаблонов устарели: не учитывают изменения ФЗ-156 от 24.06.2025 в части требований к согласию, не описывают актуальные цели конкретного оператора, содержат несовместимые цели в одном документе. РКН при проверке оценивает соответствие политики реальной обработке, а не наличие текста любого содержания.
5. Какие согласия нужны после 01.09.2025?
После 01.09.2025 любое новое согласие субъекта по ст. 9 ФЗ-152 оформляется отдельным документом — вне договора, оферты и политики. Если оператор обрабатывает специальные категории ПДн (ст. 10) или биометрию (ст. 11), согласие на них оформляется отдельно от общего. Согласие на распространение ПДн (ст. 10.1) — также отдельный документ. Ранее полученные согласия до 01.09.2025 переоформлять не требуется.
Итог
Согласие через email — допустимый инструмент, но он требует трёх вещей: текст с полным перечнем реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156, механизм, доказывающий факт выражения воли субъектом, и архив, который переживёт проверку РКН. Нарушение любого из этих условий — самостоятельное основание для протокола.
Практика DATUM по сопровождению операторов ПДн охватывает разработку форм согласий, аудит ОРД и представление интересов при проверках Роскомнадзора. Для юристов, выстраивающих ОРД с нуля или после изменений ФЗ-156, доступен аудит соответствия по чек-листу из 38 пунктов.
25 января 2027 года