Важно
Росстат продлил сроки сдачи отдельных статформ Обсуждаем, как с учетом изменений с 1 сентября оформить согласия на обработку персональных данных на сайте, если нет отдельного раздела про персональные данные.
Как правильно оформить согласие на обработку персональных данных на сайте, если нет отдельного раздела «Персональные данные»
Я разрабатываю сайт, на котором пользователи оставляют свои данные (например, при регистрации или оформлении заказа). Отдельного раздела «Персональные данные» у меня сейчас нет. Как мне юридически грамотно оформить согласие на обработку персональных данных в такой ситуации, нужно ли делать отдельную галочку? Что требуется по закону, чтобы не было проблем при проверках и чтобы соблюсти интересы пользователей?
По общему правилу, согласно ч. 1 ст. 9 Федерального закона № 152-ФЗ от 27.07.2006, разрешение от субъекта на обработку его персональных данных может быть предоставлено в любой форме, которая даёт возможность подтвердить, что это разрешение было получено.
Применительно к сайтам сегодня распространен подход, когда разрешение оформляют с помощью «чекбокса», рядом с которым размещают надпись:
«Согласен на обработку персональных данных».
Этой фразе сопутствует гиперссылка на документ. Дополнительных требований для таких случаев закон не предусматривает, но учтите, что с 1 сентября 2025 года одобрение на работу с ПД должно оформляться отдельно от подписания других документов.
Как изменятся требования к оформлению согласий на обработку персональных данных с 1 сентября 2025 года?
Я слышал, что с 1 сентября 2025 года появились новые требования к работе с согласиями на обработку персональных данных. Что конкретно изменится для владельцев сайтов, и как мне подготовиться к этим изменениям?
Отвечает Пастухов Михаил
Да, с 1 сентября 2025 года вступили в силу поправки, привнесенные Федеральным законом от 24.06.2025 № 156-ФЗ в законодательство о ПД. По новым правилам разрешение на обрабатывание персданных подлежит оформлению отдельно от других условий, разрешений, сведений, которые подписывает гражданин.
Применительно к сайтам эти нововведения означают, что проставлять, к примеру, «галочку» в чекбоксе допустимо, только если рядом с ним идет сопутствующий текст о том, что это является разрешением на работу с его персональными данными. Если, помимо резолюции на работу с ПД, нажав галочку, субъект ПД соглашается, к примеру, с офертой, то такой вариант недопустим.
Нужно ли получать отдельное согласие на передачу персональных данных третьим лицам при оформлении заказа на сайте?
Я интегрирую на свой сайт оплату и доставку сторонних сервисов. Требуется ли мне просить пользователей отдельно согласиться на передачу их данных этим сервисам, или достаточно единого соглашения на обработку данных для всех целей?
Отвечает Пастухов Михаил
Официальные разъяснения по такому вопросу сегодня отсутствуют.
По смыслу нововведений, привнесенных Федеральным законом от 24.06.2025 № 156-ФЗ в ч. 1 ст. 9 ФЗ № 152, любое одобрение на работу с персданными подлежит оформлению отдельно от иных документов, которые подтверждает пользователь. Разрешение на передачу ПД третьим лицам представляется возможным рассматривать как отдельную форму согласия, поскольку и у него, и у «обычного» согласия на работу с ПД различная регламентация и требования к ним.
Поэтому, если исходить из буквального толкования обновленной редакции ч. 1 ст. 9 ФЗ № 152, полагаю, что наиболее оптимальный и безопасный вариант в вашей ситуации — оформление этих одобрений отдельными документами.
Обязательно ли выводить галочку на «Ознакомлен с политикой конфиденциальности» отдельно, или хватает ссылки на документ до оформления заказа?
На странице оформления заказа у меня есть ссылка на политику конфиденциальности, но галочки нет. Обязан ли я добавить отдельную галочку, подтверждающую, что пользователь ознакомился с политикой, или это избыточно?
Отвечает Пастухов Михаил
Проставление «галочек» необходимо, к примеру, для фиксации одобрения на обработку персональных данных в целях соблюдения требований ч. 1 ст. 9 ФЗ № 152.
В случае сбора персданных с использованием информационно-телекоммуникационных сетей, оператор обязан опубликовать документ, определяющий его политику в отношении работы с персональными данными, в соответствующей сети, в том числе на сайте (ч. 2 ст. 18.1 № 152-ФЗ).
Простыми словами, политика конфиденциальности — это документ, объясняющий пользователям, как компания собирает, обрабатывает и защищает их персональные данные.
Таким образом, наличие ссылки на политику конфиденциальности на странице оформления заказа, где пользователь имеет возможность с нею ознакомиться, является достаточным и оптимальным решением.
Когда нужно собирать согласия на обработку персональных данных: только при регистрации или на каждом этапе взаимодействия с пользователем?
Если пользователь уже согласился на обработку своих данных при регистрации — нужно ли просить согласие повторно при оформлении заказа или, например, при подписке на рассылку?
Отвечает Пастухов Михаил
Если пользователь уже согласился на то, что его ПД будут обрабатывать при регистрации, — повторно запрашивать его одобрение при оформлении заказа или подписке на рассылку не требуется, если эти действия предусмотрены изначальным волеизъявлением и соответствуют его целям.
Но, если при оформлении заказа или подписке на рассылку предполагается обработка дополнительных персданных, которые не были указаны в первоначальном подписываемом документе, или если эти действия преследуют иные цели, нежели те, на которые было дано разрешение при регистрации, то необходимо получать отдельную резолюцию на работу с этими данными или для этих новых целей, чтобы не нарушать положения Федерального закона № 152-ФЗ от 27.07.2006 (в частности, ст. 5 и 9).
Требуется ли отдельное согласие на получение рассылок, если пользователь уже дал согласие на обработку персональных данных?
Я хочу сделать рассылку новостей по e-mail, собираю почтовые адреса через форму на сайте. Если пользователь дал согласие на обработку персональных данных, то нужно ли ему ещё отдельно подтверждать согласие именно на рассылку?
Отвечает Пастухов Михаил
Если пользователь предоставил свою резолюцию на обработку персональных данных — это не означает автоматического разрешения на получение рассылок. Разрешение на обработку персональных данных и волеизъявление на получение рассылок — это абсолютно разные категории. Первое регулируется законодательством о ПД, второе — законодательством о рекламе.
Для осуществления рассылок по электронной почте требуется отдельное, явное согласие пользователя на этот вид взаимодействия с ним, чтобы соблюсти требования положений ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ и исключить риски претензий со стороны ФАС.
Можно ли юридически объединить согласие на обработку персональных данных и на заключение договора-оферты в одну галочку?
На этапе оформления заказа у меня стоит галочка: «Я принимаю условия оферты и даю согласие на обработку персональных данных». Законно ли оформлять оба этих согласия через одну отметку, или требуется разделить их?
Отвечает Пастухов Михаил
Если ранее такой распространённый подход считался допустимым, то сегодня это происходит не так. Поскольку с 1 сентября 2025 года вступили в силу поправки в ч. 1 ст. 9 ФЗ № 152, привнесенные Федеральным законом от 24.06.2025 № 156-ФЗ, которые запрещают подобное объединение. Дело в том, что по новым правилам разрешение на обрабатывание персональных данных подлежит оформлению отдельно от других условий, сведений, которые подписывает гражданин.
Применительно к вашей ситуации, чтобы избежать нарушений законодательства о персональных данных, следует оформлять такие разрешения раздельным образом.
Как часто нужно запрашивать повторное согласие на обработку персональных данных у постоянных пользователей сайта?
Чтобы не раздражать пользователей бесконечными запросами согласия, хочу понять: достаточно ли одного согласия при первом обращении, или необходимо периодически обновлять согласие, особенно если цели обработки расширяются?
Отвечает Пастухов Михаил
Законодательство (в частности, положения ФЗ № 152) не содержит каких-либо требований относительно периодического обновления резолюции пользователя на обработку персональных данных. Кроме того, не имеет никакого значения и то, как давно такое одобрение было предоставлено, оно не имеет какого-либо срока действия, если только не было предоставлено на определенный срок.
Вместе с тем частота запроса повторного одобрения на обработку персданных у постоянных пользователей может зависеть, к примеру, от изменений в целях обработки или расширения состава обрабатываемых данных. Простыми словами, если оператор решил расширить цели применения ПД или обрабатывать новые категории данных, которые не были указаны в первоначальном разрешении, то необходимо получить новое одобрение от пользователя.
Как действовать, если пользователь отказывается давать согласие на обработку персональных данных, но желает оформить заказ?
Столкнулся с ситуацией, когда человек хочет оформить заказ, но не желает давать согласие на обработку своих данных. Могу ли я заключить с ним договор и обслужить его без этого согласия? Как действовать в подобных случаях?
Отвечает Пастухов Михаил
Если покупатель намерен оформить заказ, но не согласен отдельно подтверждать работу с его персданными, то заключение и исполнение договора все равно допустимы, когда обработка данных необходима для его выполнения.
Положения п. 5 ч. 1 ст. 6 Федерального закона № 152-ФЗ позволяют обрабатывать персданные без отдельного разрешения, когда это требуется для заключения договора по инициативе субъекта или для исполнения уже заключенного договора. В связи с чем, когда сведения используются исключительно для целей заключения и исполнения договора (например, оформление заказа, доставка и проведение оплаты), отдельное одобрение субъекта на работу с персданными не требуется.
Читайте также:
