Требование №4 Штраф: до 75 000 ₽

Согласие на обработку персональных данных

Согласие — это письменное или электронное подтверждение того, что пользователь добровольно разрешает вам обрабатывать его данные. По статье 9 ФЗ-152 согласие должно быть конкретным, информированным и однозначным. Нажатие кнопки «Отправить» без чекбокса не считается согласием.

Как реализовать

Создайте отдельный документ согласия
Не путайте с политикой конфиденциальности. Согласие — это документ от первого лица («Я, пользователь, даю согласие…»). Политика — это правила оператора.
Включите обязательные элементы
ФИО и реквизиты оператора, перечень конкретных данных, конкретные цели обработки, перечень допустимых действий (сбор, хранение, передача…), срок действия, порядок отзыва.
Разделите согласия по целям
Согласие на обработку заявки и согласие на рекламную рассылку — это два разных согласия. Объединять их в одном чекбоксе запрещено (ст. 9 ФЗ-152).
Храните доказательство согласия
Сохраняйте: дату и время согласия, IP-адрес, версию документа на момент согласия. При проверке РКН вам потребуется доказать, что согласие было получено.
Обеспечьте возможность отзыва
Укажите в документе email для отзыва. После получения запроса — прекратить обработку и уничтожить данные в течение 30 дней.

Частая ошибка: Один чекбокс «Согласен с политикой и на рассылку» — нарушение. Согласие должно быть отдельным для каждой цели. РКН штрафует за это систематически с 2022 года.

Лайфхак: Сохраняйте в базе хэш текста документа на момент согласия. Если потребуется доказать что пользователь согласился именно с этой версией — вы сможете это подтвердить.

Официальные источники

consultant.ru — ФЗ-152, статья 9 «Согласие субъекта ПД» — Требования к форме и содержанию согласия
rkn.gov.ru/personal-data — Разъяснения РКН о получении согласия