Ключевой принцип — согласие должно быть добровольным, конкретным, информированным и однозначным. Если пользователь не понимает, какие данные, для каких целей и кем обрабатываются, либо не совершает активного действия по выражению воли, такое согласие при проверках Роскомнадзором признаётся недействительным.
Когда на сайте требуется согласие на обработку ПДн
Согласие на сайте требуется не во всех случаях, однако при определённых целях обработки без него обойтись нельзя. Ошибка многих владельцев сайтов — использовать согласие «на всё», не анализируя правовые основания.
Согласие обязательно, если:
-
персональные данные используются для маркетинга, рассылок и рекламы;
-
осуществляется профилирование пользователей;
-
данные передаются третьим лицам вне исполнения запроса;
-
обрабатываются cookies, не относящиеся к строго техническим;
-
цели обработки не связаны напрямую с исполнением договора или запроса субъекта.
Согласие может не требоваться, если:
-
пользователь сам инициирует обращение;
-
данные обрабатываются строго для ответа на запрос;
-
объём данных минимален и соответствует цели.
Важно, чтобы выбранное правовое основание было осознанным и документально зафиксированным.
Использование согласия «на всякий случай» при проверках признаётся нарушением принципов 152-ФЗ.
Какие требования 152-ФЗ предъявляет к согласию
Федеральный закон № 152-ФЗ устанавливает обязательные критерии, которым должно соответствовать согласие субъекта персональных данных. Несоблюдение хотя бы одного из них делает согласие недействительным.
Согласие должно быть:
-
добровольным — без принуждения и навязывания;
-
конкретным — в отношении определённых целей обработки;
-
информированным — пользователь должен понимать, какие данные и для чего обрабатываются;
-
однозначным — выраженным через активное действие субъекта.
Дополнительно согласие должно:
-
быть выражено до начала обработки;
-
соответствовать фактической обработке данных;
-
позволять однозначно установить факт его получения.
При проверках Роскомнадзор оценивает не только текст согласия, но и способ его получения. Формальное соответствие без реального волеизъявления пользователя не принимается.
В какой форме можно получить согласие на сайте
Согласие на обработку персональных данных на сайте допускается в электронной форме, если обеспечена возможность однозначно подтвердить волеизъявление пользователя. Это следует из требований 152-ФЗ и практики проверок.
Корректные формы получения согласия:
-
отдельный чекбокс с активным действием пользователя;
-
кнопка подтверждения с явным указанием на согласие;
-
иные элементы интерфейса, фиксирующие осознанное действие.
Недопустимые формы согласия:
-
автоматическое согласие по факту посещения сайта;
-
заранее отмеченные галочки;
-
скрытые согласия внутри пользовательского соглашения;
-
формулировки вида «продолжая пользоваться сайтом, вы соглашаетесь…».
Роскомнадзор при проверках анализирует реальное поведение сайта, а не только текст согласия. Если согласие невозможно выразить отдельно и осознанно, оно признаётся недействительным.
Как должен выглядеть чекбокс согласия
Чекбокс согласия — ключевой элемент подтверждения волеизъявления пользователя. Его оформление напрямую влияет на действительность согласия при проверках Роскомнадзора.
Корректный чекбокс согласия должен:
-
быть отдельным элементом, не совмещённым с кнопкой отправки формы;
-
быть неотмеченным по умолчанию;
-
сопровождаться понятным текстом, описывающим цель обработки;
-
позволять пользователю отправить форму только после осознанного выбора;
-
содержать ссылку на политику ПДн или полный текст согласия.
Недопустимые практики:
-
автоматическая отметка чекбокса;
-
объединение согласия с пользовательским соглашением;
-
отсутствие возможности отправить форму без «скрытого» согласия;
-
использование одного чекбокса для разных целей обработки.
Роскомнадзор оценивает чекбокс не формально, а с точки зрения того, мог ли пользователь реально отказаться от согласия без негативных последствий.
Какой текст должен быть в согласии
Текст согласия на сайте должен однозначно и полно раскрывать условия обработки персональных данных. Общие или универсальные формулировки при проверках Роскомнадзором признаются недействительными.
В согласии обязательно указываются:
-
наименование и данные оператора персональных данных;
-
конкретные цели обработки;
-
перечень или категории персональных данных;
-
действия с персональными данными (сбор, хранение, передача и т.д.);
-
срок действия согласия;
-
порядок и способ отзыва согласия;
-
указание на возможность передачи данных третьим лицам (при наличии).
Недопустимо:
-
использовать формулировки «на любые цели»;
-
скрывать условия в многостраничных документах;
-
объединять разные цели обработки в одном согласии без разграничения.
Текст согласия должен соответствовать фактической обработке данных и совпадать по смыслу с политикой ПДн и уведомлением оператора.
Нужно ли отдельное согласие для разных целей
Отдельное согласие требуется, если цели обработки различаются по своему назначению и правовому основанию. Это один из ключевых моментов, на который обращает внимание Роскомнадзор.
Как правило, отдельное согласие нужно для:
-
обработки обращений через формы обратной связи;
-
маркетинговых и рекламных рассылок;
-
аналитики и cookies (кроме технических);
-
передачи персональных данных третьим лицам;
-
обработки специальных категорий данных.
Использование одного согласия «на всё» при проверках квалифицируется как нарушение принципа конкретности и информированности.
Где размещать согласие на сайте
Согласие должно быть размещено непосредственно в точке сбора персональных данных, чтобы пользователь видел его до передачи информации.
Корректные варианты размещения:
-
рядом с формой обратной связи;
-
на страницах регистрации и авторизации;
-
во всплывающих окнах (cookies, маркетинг);
-
в интерфейсе личного кабинета.
Согласие не считается полученным, если:
-
текст размещён в другом разделе сайта;
-
пользователь не видит согласие до отправки формы;
-
ссылка на согласие спрятана или недоступна.
Как Роскомнадзор проверяет согласия на сайте
При проверках Роскомнадзор использует визуальный и технический анализ:
-
проверяет внешний вид форм и чекбоксов;
-
анализирует код сайта и обработку действий пользователя;
-
сопоставляет согласия с политикой ПДн и уведомлением;
-
оценивает фактическую возможность отказа.
Даже корректный текст согласия признаётся недействительным, если техническая реализация не позволяет подтвердить волеизъявление пользователя.
Типичные ошибки при оформлении согласий
На практике чаще всего выявляются:
-
согласие «по факту использования сайта»;
-
универсальные формулировки без целей;
-
заранее отмеченные чекбоксы;
-
отсутствие возможности отказа;
-
несоответствие согласия фактической обработке;
-
отсутствие фиксации факта получения согласия.
Такие ошибки рассматриваются как отсутствие законного основания обработки персональных данных.
Как привести согласия в соответствие с требованиями
Для корректного оформления согласий необходимо:
-
проанализировать все точки сбора персональных данных;
-
определить правовые основания по каждой цели;
-
разделить согласия по целям обработки;
-
доработать тексты и чекбоксы;
-
согласовать сайт с политикой ПДн и уведомлением оператора.
Ключевой шаг — разработка индивидуальных текстов согласий, которые не просто формально «закрывают» сбор данных, а чётко привязывают каждое действие пользователя к конкретной, законной цели обработки, прописанной в ваших документах.
На практике
На практике Роскомнадзор практически всегда выявляет нарушения именно в согласиях на сайте. Причина — формальный подход и попытка «закрыть всё одним текстом».
Вывод однозначен: согласие на сайте законно только тогда, когда оно конкретное, осознанное и технически корректно реализовано. Формальные решения не работают при проверках.
