Как взять согласие на обработку персональных данных в 2026 году

Представьте: на вашем сайте есть форма подписки. Человек ставит галочку «согласен» и оставляет email. А через месяц вы получаете штраф в 700 тысяч рублей.

Как так?

Недавно правила сбора персональных данных изменились, а в 2026 году резко ужесточились.

Теперь недостаточно просто галочки в форме. Требуется отдельное корректное согласие, а за ошибки или утечки бизнес рискует миллионными штрафами.

Эта статья — пошаговое руководство, как привести сайт и бизнес-процессы в соответствие с новыми правилами и избежать санкций.

Содержание статьи

Ключевые изменения с 2025 года: что важно знать каждому бизнесу
Как правильно получить согласие на сайте в 2026 году: пошаговая
Ответственность и штрафы: новые реалии с 2025 года
Права пользователей и действия оператора
Что будет дальше: готовьтесь к новым изменениям
Рекомендации

⏱ Время чтения: ~ 10 минут

Ключевые изменения с 2025 года: что важно знать каждому бизнесу

В 2025 году регулирование в сфере персональных данных в России пережило масштабную реформу. Основные изменения вступили в силу тремя этапами: 30 мая, 1 июля и 1 сентября.

Что изменилось:

  1. Резкий рост штрафов

Теперь они сопоставимы с европейскими (GDPR). За утечку данных компания может заплатить до 5 млн рублей, а в случае повторных инцидентов — оборотный штраф от 1% до 3% годовой выручки (минимум 25 млн рублей).

2. Согласие — только отдельным документом

С 1 сентября 2025 года согласие нельзя включать в оферту, договор или правила сервиса. Оно должно быть:
  • отдельным документом (бумажным или электронным);
  • конкретным, информированным и однозначным;
  • с чётко прописанными целями и перечнем данных.

3. Обязательная регистрация у Роскомнадзора

Раньше малый бизнес часто игнорировал подачу уведомления в Роскомнадзор. Теперь это отдельное нарушение с штрафом до 300 тыс. рублей. Оператором считается любой, кто собирает данные клиентов через форму на сайте, CRM или аналитику.

4. Жёсткая локализация хранения

С 1 июля 2025 года запрещено:
  • хранить персональные данные россиян в иностранных базах;
  • собирать данные через иностранные сервисы без первичного размещения в РФ.

5. Cookie‑файлы — персональные данные

Роскомнадзор требует отдельного информированного согласия на сбор идентификаторов, позволяющих отслеживать поведение пользователя.

6. Обезличивание данных

С 1 сентября 2025 года операторы, включённые в реестр, обязаны предоставлять обезличенные данные в государственную информационную систему (ГИС).

7. Расширение полномочий Минцифры

Минцифры вправе требовать предоставления обезличенных данных для загрузки в федеральные информационные системы.

Как правильно получить согласие на сайте в 2026 году: пошаговая инструкция

Шаг 1. Разработайте отдельное согласие

Согласие должно содержать:

  • Данные оператора: наименование, ИНН, ОГРН, адрес.
  • Данные субъекта: ФИО, адрес, email, телефон.
  • Цели обработки (конкретно, например: «для отправки коммерческих предложений», «для регистрации в личном кабинете»).
  • Перечень данных (ФИО, email, телефон, cookie и т. д.).
  • Действия с данными (сбор, хранение, передача, обработка).
  • Срок действия (например, «5 лет с даты подписания» или «до отзыва»).
  • Порядок отзыва (как пользователь может отозвать согласие).
  • Подпись субъекта (живая, УКЭП или действие на сайте).

Важно:
  • Для специальных категорий данных (здоровье, биометрия, религия) согласие только в письменной форме.
  • Для передачи данных третьим лицам — отдельное согласие с указанием их наименований и целей передачи.

Шаг  2. Добавьте пустой чекбокс в каждую форму

  • Чекбокс не должен быть предзаполнен.
  • Рядом — ссылка на Политику обработки данных.
  • Нельзя использовать формулировки вроде «отправляя форму, вы соглашаетесь…» без явного действия пользователя.

Шаг  3. Обновите и опубликуйте Политику обработки персональных данных

Этот документ (часто называемый «Политика конфиденциальности») должен быть размещён в открытом доступе, обычно в подвале сайта. Содержание политики должно точно отражать вашу реальную практику.

Включите в неё:
  • Контакты оператора.
  • Цели и правовые основания обработки.
  • Перечень собираемых данных (включая cookie).
  • Сведения о передаче данных третьим лицам.
  • Информацию о трансграничной передаче (если есть).
  • Порядок реализации прав субъекта (доступ, исправление, удаление).

Шаг  4. Настройте отдельное согласие для cookie и трекеров

  • Разместите всплывающий баннер при первом входе на сайт.
  • Пользователь должен иметь возможность:
1) принять согласие;
2) детально настроить типы данных (например, отключить рекламные cookie).
  • Сохраняйте доказательства получения согласия (журнал учёта).

Шаг  5. Подайте уведомление в Роскомнадзор (РКН)

  • Сделайте это до начала обработки данных или немедленно, если уже обрабатываете.
  • Подача через сайт РКН или Госуслуги.
Исключение: обработка исключительно в неавтоматизированном виде.

Шаг  6. Обеспечьте локализацию хранения данных

  • Базы данных должны находиться на территории РФ.
  • Проверьте подрядчиков (например, облачные сервисы) на соответствие требованиям.
  • Обеспечьте меры защиты данных (шифрование, доступ по ролям).

Шаг  7. Ведите журнал учёта согласий

  • Фиксируйте: дату получения, текст согласия, способ подтверждения (подпись, чекбокс и т. д.).
  • Храните доказательства не менее срока действия согласия.

Шаг  8. Обучите сотрудников

  • Проведите инструктаж по новым требованиям.
  • Назначьте ответственного за обработку данных.
  • Регулярно проводите аудит процессов.

Ответственность и штрафы: новые реалии с 2025 года

Важно: за злонамеренное использование данных предусмотрена уголовная ответственность (до 10 лет лишения свободы).

Права пользователей и действия оператора

Пользователь (субъект данных) имеет право:

  • Отозвать согласие — оператор обязан прекратить обработку и уничтожить данные в течение 30 дней (если хранение не требуется по закону).
  • Запросить доступ, исправление или блокировку данных — ответ в течение 30 дней.
  • Возразить против обработки для маркетинга.
  • Получить копию согласия в любой форме (бумажной или электронной).

Оператор обязан:

  • Вести журнал учёта обращений субъектов.
  • Обеспечивать конфиденциальность данных.
  • Проводить регулярный аудит процессов обработки.
  • Назначить ответственного за защиту данных.

Что будет дальше: готовьтесь к новым изменениям

Законодательство продолжает развиваться.

Обсуждаются:
  • Исключение «недружественных» государств из перечня стран с адекватной защитой данных.
  • Дополнительные требования к трансграничной передаче данных (например, прямое письменное согласие каждого пользователя).
  • Ужесточение контроля за обезличиванием данных.

Рекомендации

Проведите внутренний аудит процессов обработки данных.
Проверьте договоры и соглашения на наличие «скрытых» согласий.
Разработайте отдельные формы согласия для каждого вида обработки.
Подготовьте пакет внутренних документов (Политика, приказы, инструкции).
Обучите сотрудников новым требованиям.
Убедитесь в соответствии ИТ‑инфраструктуры требованиям локализации.
Итог: соблюдение новых правил — не просто избежание штрафов, а инвестиция в доверие клиентов и устойчивость
Автор статьи: Роман Зубрилин CRM-маркетолог
Автор статьи:
Роман Зубрилин CRM-маркетолог
✅ Подписывайтесь на мою личную рассылку

Один раз в неделю я присылаю письмо, в котором рассказываю:

— как системно работать с клиентской базой,
— делюсь находками и идеями,
— даю ссылки на новые посты.

Подписывайтесь, читайте и пишете ответные письма, я всё читаю и отвечаю.

Роман Зубрилин CRM-маркетолог

---

Нажимая кнопку вы соглашаетесь на обработку персданных и индивидуальные предложения