Согласие на обработку персональных данных: 9 ошибок, за которые штрафует РКН в 2026

В апреле 2026 один наш клиент — ИП на УСН, интернет-магазин кормов для собак — получил предписание РКН с восемью пунктами нарушений. Семь из восьми касались согласия на обработку персональных данных. Не самой формы согласия. Не процедуры хранения. Конкретно — формулировок и UX-паттернов на странице регистрации и в чекбоксах под формами. Сумма потенциального штрафа по сетке статьи 13.11 КоАП, если не устранить за 30 дней — 1,2–2,1 млн рублей. Реальная стоимость переделки силами разработчика — 14 часов работы.

Чек-лист, по которому мы это разгребали, ниже. Он же — список ошибок, на которых сейчас в 2026 году спотыкается почти каждый небольшой коммерческий сайт.

TL;DR

С июля 2023 года (после вступления в силу 233-ФЗ) согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным, однозначным. Размытые формулировки и связки в одном чекбоксе с офертой больше не работают. Автомат-инспектор Роскомнадзора в 2026 проверяет это первым делом, и за каждое нарушение — отдельный штраф по ст. 13.11 КоАП. Девять формулировок ниже — то, на чём чаще всего «горят» сайты малого бизнеса.

Главное

• Один чекбокс «Согласен с офертой и обработкой ПДн» с июля 2023-го прямо запрещён ч. 1 ст. 9 152-ФЗ.
• Pre-checked checkbox («галочка по умолчанию») судебная практика квалифицирует как отсутствие согласия.
• Цели обработки в политике вида «для улучшения сервиса» считаются неконкретными — нарушение ч. 4 ст. 9.
• Если форма уходит на сторонний сервис в США/ЕС/Беларуси — это трансграничная передача, нужно отдельное согласие и уведомление РКН по ст. 12.
• Утечка ≥1000 записей с 30 мая 2025 года — оборотный штраф до 15 млн рублей (ч. 4 ст. 13.11.4 КоАП, введено 420-ФЗ).

Что изменилось к 2026

Главный сдвиг произошёл в 2023, когда 233-ФЗ переписал ч. 1 ст. 9 152-ФЗ. До этого можно было получать согласие «любым способом, позволяющим подтвердить факт его получения». После — только «конкретное, предметное, информированное, сознательное, однозначное». Дальше пошла волна разъяснений Роскомнадзора, приказов и судебной практики.

Параллельно в 2024–2025 РКН перевёл первичную проверку сайтов на робота. Бот заходит, открывает формы, читает чекбоксы и тексты под ними, вытаскивает политику — и формирует предписание автоматически. Подробнее, как именно это работает, мы разбирали в отдельной статье про автомат-инспектор и сетку штрафов.

Сегодня — про то, что бот находит чаще всего в части согласий.

Ошибка 1. Один чекбокс на оферту и согласие

«Я принимаю условия оферты и даю согласие на обработку персональных данных» — самая массовая формулировка на формах регистрации. И самая сломанная.

Что не так. Согласие на обработку ПДн — это самостоятельный юридический акт. Он не может быть «приложением» к договору. С точки зрения ч. 1 ст. 9 152-ФЗ объединение в одном чекбоксе нарушает требование «конкретности и предметности»: пользователь не может отказать в согласии на обработку, не отказавшись от договора.

Норма. Часть 1 ст. 9 152-ФЗ в редакции 233-ФЗ от 24.07.2023.

Как чинить. Два чекбокса. Первый — «Принимаю условия оферты». Второй — «Даю согласие на обработку персональных данных в соответствии с Политикой». Оба обязательны для отправки формы. Это не косметика — это структура.

Бонус: в идеале добавить третий мини-блок «Хочу получать рассылку» — но необязательный, отдельно. Это закрывает п. 6 ниже.

Ошибка 2. Галочка стоит по умолчанию

Pre-checked checkbox. Сайт открылся — галка на согласии уже стоит. Пользователь нажал «Зарегистрироваться» — формально согласился.

Что не так. Согласие должно быть активным действием субъекта. Молчание или бездействие согласием не считается — это прямо записано в Регламенте ЕС GDPR (ст. 4(11)) и воспроизведено в позиции РКН и судебной практике РФ. Робот РКН делает скриншот формы при первом заходе и проверяет, какие чекбоксы pre-checked.

Норма. Часть 1 ст. 9 152-ФЗ — согласие должно быть «сознательным» и «однозначным». Сознательным оно быть не может, если действие совершил не пользователь.

Как чинить. Все чекбоксы согласий — пустые при загрузке страницы. Кнопка отправки — disabled до тех пор, пока обязательные не отмечены. И никаких «принимаю при использовании сайта», «продолжая, вы соглашаетесь» — это та же конструкция, только без UI.

Ошибка 3. Размытые цели обработки

В политике написано: «обрабатываем для улучшения качества сервиса, маркетинговых и иных целей, связанных с деятельностью оператора». Сразу две проблемы.

Что не так. Часть 2 ст. 5 152-ФЗ требует, чтобы цели были «конкретными, заранее определёнными и законными». «Иные цели, связанные с деятельностью» — открытый список, по факту бланкетная норма, передающая оператору неограниченное усмотрение. Это не цель — это её отсутствие. Робот РКН ищет в политике конкретные ключевые слова: «исполнение договора», «обработка заказа», «доставка», «выставление счёта», «отправка рассылок» — и сравнивает с реально собираемыми полями. Если совпадения нет — флаг.

Норма. Ч. 2 ст. 5 и п. 4 ч. 1 ст. 14 152-ФЗ.

Как чинить. В политике — список из 5–10 конкретных целей: «исполнение договора купли-продажи», «доставка товара», «отправка чеков и накладных», «информирование о статусе заказа», «отправка маркетинговой рассылки (при отдельном согласии)», «ответ на обращение через форму обратной связи», «аналитика трафика через Яндекс.Метрику (при согласии на cookie)». Каждая цель — со своим перечнем собираемых полей.

Ошибка 4. Не указана трансграничная передача

Форма заявки на сайте уходит через Web3Forms. Или Tilda Forms. Или Google Forms. Или Mailchimp. Или Sendgrid. Или Twilio.

Что не так. Все перечисленные сервисы хостятся вне РФ — это автоматическая трансграничная передача персональных данных по ст. 12 152-ФЗ. С 1 марта 2023 (после 266-ФЗ от 14.07.2022) для трансграничной передачи в страну, не входящую в перечень «обеспечивающих адекватную защиту», нужно:

1. Уведомить РКН до начала передачи (отдельное уведомление, не путать с уведомлением об обработке).
2. Получить отдельное согласие субъекта — не «общее согласие на обработку», а конкретное на передачу в страну X.

Перечень адекватных стран узкий — большинство европейских и часть азиатских; США в нём нет с 2014 года. Web3Forms, Mailchimp и большинство популярных формочных сервисов — США.

Норма. Ст. 12 152-ФЗ, Приказ РКН №178 от 25.10.2022.

Как чинить. Самый дешёвый путь — перенести приём форм на собственный бэкенд в РФ. Час разработчика. Альтернатива — оформить уведомление о трансграничной передаче и добавить отдельный чекбокс с конкретной страной получателем. По нашему опыту, оформление с юристом стоит дороже миграции на свой бэк.

Ошибка 5. Cookie-баннер вместо согласия на ПДн

Знакомая картина: внизу страницы плашка «Мы используем cookies. Принять / Отклонить». И всё, кнопки в формах — без чекбоксов согласия.

Что не так. Такая плашка закрывает только одну часть истории — обработку идентификаторов трекинга и поведенческих данных в Метрике/GA. Это не покрывает обработку имени, телефона и адреса электронной почты, которые пользователь вводит в форму обратной связи. Это две разные операции с разными правовыми основаниями. Согласие на трекинг нужно само по себе, но согласия на формах оно не заменяет.

Норма. Ст. 6 152-ФЗ — каждая обработка нуждается в самостоятельном правовом основании.

Как чинить. Два уровня: верхняя плашка-согласие (две кнопки — «Только необходимые» и «Принять все», с инициализацией Метрики/GA только после явного «Принять все»), плюс чекбоксы согласия в каждой форме сбора. Это не «или», это «и».

Ошибка 6. Маркетинг и обработка — в одном согласии

«Даю согласие на обработку персональных данных и получение рекламно-информационных материалов».

Что не так. Реклама — отдельная цель и отдельное правовое основание. Согласие на «обработку для исполнения договора» и согласие на «получение рекламы» — разные. Связка в одном чекбоксе не позволяет пользователю принять услугу и при этом отказаться от рассылки. Это нарушение ч. 1 ст. 9 152-ФЗ (необходимость конкретности) и ч. 1 ст. 18 ФЗ «О рекламе» (рассылка только с предварительного согласия).

Норма. Ч. 1 ст. 9 152-ФЗ + ч. 1 ст. 18 ФЗ «О рекламе» №38-ФЗ.

Как чинить. Чекбокс на маркетинг — отдельный, необязательный, снятый по умолчанию. Текст: «Хочу получать новости и предложения по email». Если пользователь не отметил — рассылку не отправляем, и точка. У нас в логе должна быть запись: «по такому-то email — согласия на рассылку нет».

Ошибка 7. Невозможно отозвать согласие

Регистрация прошла, согласие дано, рассылка пошла. В письмах нет ссылки «отписаться». На сайте нет кнопки «удалить аккаунт». Email на удаление не указан.

Что не так. Часть 2 ст. 9 152-ФЗ: «согласие на обработку персональных данных может быть отозвано субъектом персональных данных». Часть 5 ст. 21 — обязанность оператора в течение 30 дней прекратить обработку или обосновать невозможность отзыва. Если механизма отзыва нет — нарушение по умолчанию, даже до того, как пользователь о нём попросил.

Норма. Ч. 2 ст. 9 + ч. 5 ст. 21 152-ФЗ.

Как чинить. Минимум: в политике — email и адрес для письменных обращений с заявлением об отзыве. В каждом маркетинговом письме — ссылка «отписаться» (ст. 18 ФЗ «О рекламе» отдельно требует). На сайте в личном кабинете — кнопка «Удалить аккаунт» с подтверждением. И главное — процесс, который реально удаляет данные за 30 дней (или анонимизирует, если требуется хранение по 402-ФЗ «О бухучёте»: первичка — 5 лет с момента последней операции).

Ошибка 8. Нет фиксации факта согласия

Юзер нажал «Регистрация». В базе появилась запись users(name, email, phone). Где запись «согласие получено такого-то числа в такое-то время»? Нигде.

Что не так. Часть 4 ст. 9 152-ФЗ: «обязанность предоставить доказательство получения согласия лежит на операторе». Если на проверке РКН попросит показать, как и когда получено согласие конкретного пользователя — нужны логи. Не «я уверен, что чекбокс был, потому что в коде стоит required» — а конкретная запись: дата, время, IP, версия текста согласия и политики (которые могли поменяться), какой именно чекбокс отмечен.

Норма. Ч. 4 ст. 9 152-ФЗ.

Как чинить. При сабмите формы пишем в БД отдельную таблицу consent_log с полями: user_id (или email/phone), consent_type (договор / обработка ПДн / рассылка / cookie), version_hash (хэш текста политики и согласия в момент клика), accepted_at, ip, user_agent. Хранить — минимум 3 года после прекращения обработки (общий срок исковой давности по ГК).

В DocAssist эту таблицу делаем по умолчанию для всех клиентов, кому ставим compliance-конфиг. Без неё доказать согласие на споре или на проверке — нечем.

Ошибка 9. Нет согласия родителей для несовершеннолетних

Любой сервис, где регистрируются дети — онлайн-школа, детский кружок, репетитор, гейминг с возможностью покупки, образовательная платформа. Если в форме нет вопроса «Сколько вам лет» и потом не запрашивается согласие законного представителя — нарушение.

Что не так. Часть 1 ст. 6 152-ФЗ + ч. 1 ст. 64 СК РФ: за несовершеннолетних младше 14 лет действуют законные представители (родители или опекуны). Согласие на обработку ПДн от 12-летнего юридически ничтожно.

Норма. Ч. 1 ст. 6 152-ФЗ + ст. 64, 28 Семейного кодекса.

Как чинить. В формах, где может зарегистрироваться ребёнок — обязательное поле «Дата рождения» или «Возраст». Если меньше 14 — отдельная процедура: загрузка отсканированного согласия родителя по форме (есть в Приказе РКН №274 от 24.02.2021), либо вход через аккаунт родителя с явным подтверждением. Между 14 и 18 — согласие самого подростка, но желательно сохранять отдельный лог о том, что вы запросили возраст.

Edu-стартапы в 2024–2025 получали за это много предписаний. В 2026 РКН-бот тоже это проверяет.

Чек-лист на 10 минут: проверьте свой сайт сейчас

Откройте ваш сайт в режиме инкогнито и пройдитесь по списку. Каждый невыполненный пункт — потенциальный штраф.

1. На главной странице, до любого взаимодействия, нет активных трекеров (Метрики, GA, Pixel) — они грузятся только после клика по «Принять все» в плашке согласия на трекинг.
2. Плашка согласия имеет минимум две кнопки: «Только необходимые» и «Принять все». Не «ОК» с крестиком.
3. В каждой форме сбора данных — отдельный чекбокс согласия на обработку ПДн (не объединён с офертой и не объединён с рассылкой).
4. Чекбоксы согласий не отмечены при загрузке страницы.
5. Кнопка отправки формы disabled, пока обязательные чекбоксы не отмечены.
6. Чекбокс на маркетинговую рассылку — отдельный, необязательный, снят по умолчанию.
7. В политике конфиденциальности — список конкретных целей обработки (5–10 штук), без формулировки «иные цели».
8. В политике перечислены все сторонние сервисы, которым передаются данные (Метрика, CRM, форма, email-сервис), с указанием страны хостинга.
9. Если есть передача за рубеж — отдельное согласие на трансграничную передачу + уведомление РКН подано.
10. В политике — email и адрес для отзыва согласия. В рассылках — ссылка «отписаться».
11. В БД есть таблица consent_log (или эквивалент) с фиксацией каждого согласия: время, IP, версия документа.
12. В формах, доступных детям, — поле «Возраст» и отдельная процедура согласия для несовершеннолетних.

Если хотя бы три пункта не закрыты — есть смысл начать переделку до того, как придёт предписание.

Как мы это автоматизировали

В работе с клиентами мы устали проходить этот чек-лист руками каждый раз — это занимало в среднем час на сайт, плюс ещё пару часов на формирование рекомендаций. Поэтому мы сделали compliance-сканер внутри нашего продукта DocAssist: вводите домен, через минуту получаете отчёт по тем же 9 категориям, с конкретными формулировками для исправления и ссылками на нормы закона. Из 9 ошибок выше сканер ловит 7 автоматически (Ошибки 8 и 9 требуют ручной проверки бэкенда и user-flow).

Сканер — часть DocAssist Pro. Полнофункциональная версия (плюс анализатор договоров, генератор писем в инстанции, проверка контрагентов по ИНН) живёт на apps.xencom.ru. Тариф Business добавляет ежедневный авто-мониторинг — полезно, если страницы регулярно правит маркетинг или разработчики, и хочется ловить регрессии до проверки.

Если у вас нет желания платить — пройдитесь по чек-листу руками. Большая часть пунктов закрывается за один день работы фронтенд- и бэкенд-разработчика.

FAQ

Нужно ли отдельное «бумажное» согласие, или хватит чекбокса на сайте? Чекбокса достаточно для большинства случаев — ч. 1 ст. 9 152-ФЗ говорит о согласии «в любой позволяющей подтвердить факт его получения форме». Письменная форма (с подписью или ЭП) обязательна только для специальных категорий ПДн (национальность, состояние здоровья, биометрия) и при трансграничной передаче в неадекватные страны. Для обычной формы заявки на сайте чекбокс + лог факта в БД — рабочий вариант.

Можно ли разместить согласие в самой оферте, без отдельного чекбокса? Нет. С 24.07.2023 (вступление в силу 233-ФЗ) согласие должно быть «конкретным» и «предметным». Внедрение текста согласия в общие условия оферты считается смешиванием правовых оснований и нарушает ч. 1 ст. 9 152-ФЗ.

Что делать, если данные уже собраны без правильного согласия? Стандартный путь: при следующем взаимодействии с пользователем (вход в кабинет, ответ на email) запросить актуальное согласие в правильной форме, зафиксировать в логах. Старые записи без согласия — либо мигрировать (получить согласие задним числом), либо обезличить или удалить. Удалять данные, которые нужны для исполнения активного договора, не нужно — у вас другое правовое основание (п. 5 ч. 1 ст. 6 — исполнение договора), отдельное согласие не требуется.

Какие штрафы за нарушение в 2026? По ч. 1 ст. 13.11 КоАП — обработка без согласия: для ИП 100–300 тыс ₽, для юр.лица 300–700 тыс ₽. Повторно — 300–500 тыс ИП и 1–6 млн юр.лица. С 30 мая 2025 (после 420-ФЗ от 02.12.2024) утечка ≥1000 записей — оборотный штраф до 15 млн ₽ (ч. 4 ст. 13.11.4). Каждая категория нарушений считается отдельно — реальные предписания обычно набирают 3–5 пунктов.

Должен ли я уведомлять РКН, если у меня просто форма обратной связи на сайте? Да. Любой сбор имени, email или телефона = обработка ПДн = вы оператор = обязанность подать уведомление в реестр операторов на pd.rkn.gov.ru до начала обработки (ст. 22 152-ФЗ). Исключения узкие (бухгалтерия по своим работникам, физлицо для личных нужд) — большинство коммерческих сайтов под них не подпадают. Не уведомить — отдельный штраф по ст. 19.7 КоАП.

Что делать, если получили предписание? Не игнорировать. Срок устранения нарушений в типовом предписании — 30 дней. Закрыли — отчитайтесь приложенными скринами и описанием изменений. Если что-то не успеваете — пишите ходатайство о продлении до истечения срока. Игнорирование = повторное нарушение по ст. 19.5 ч. 1 КоАП плюс действующий первичный штраф. Это всегда дороже.

Если кратко

Девять ошибок выше покрывают подавляющее большинство кейсов, по которым сегодня штрафуют сайты малого бизнеса в нашей практике сопровождения проверок РКН. Семь из них чинятся за один день работы разработчика — нужно только знать, где смотреть. Восьмая (consent_log) — несколько часов на бэке. Девятая (несовершеннолетние) — больше зависит от продуктового решения, чем от технической реализации.

Если у вас есть ИП или малое ООО, и вы хотя бы раз в год подаёте уведомление в РКН (или собираетесь подавать) — пройдитесь по чек-листу и закройте найденные пункты. Это дешевле, чем потом доказывать, что «галка по умолчанию — это техническая особенность фреймворка».

Если хотите автоматизировать это раз и навсегда — DocAssist умеет сканировать сайт по этому самому чек-листу и держать его под мониторингом. Обнаруживает регресс, как только маркетинг что-нибудь сломает.

И не забывайте: автомат-инспектор работает 24/7. Соответствующая методичка про то, как именно он сканирует и какие штрафы получает бизнес — у нас в блоге, в той же категории Compliance.

Источники и нормативная база

Все цитируемые в статье нормы и пороги штрафов проверены по первичным источникам на 9 мая 2026.

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — официальный текст на pravo.gov.ru. Ключевые статьи в этой статье: ст. 3 (определения), ст. 6 (правовые основания), ст. 9 (требования к согласию), ст. 12 (трансграничная передача), ст. 22 (обязанность уведомить РКН).
• Статья 13.11 КоАП РФ — Нарушение законодательства РФ в области персональных данных — действующая редакция в КонсультантПлюс. Сетка штрафов 2026 года, на которую ссылается статья.
• Федеральный закон от 24.07.2023 № 233-ФЗ — ввёл требование «конкретного, предметного, информированного, сознательного, однозначного» согласия (правка ч. 1 ст. 9 152-ФЗ). Текст на publication.pravo.gov.ru.
• Федеральный закон от 02.12.2024 № 420-ФЗ — ввёл оборотные штрафы за утечки ПДн с 30 мая 2025 года (новая ч. 13–17 ст. 13.11 КоАП).
• Реестр операторов персональных данных Роскомнадзора — официальная база, по которой автомат-инспектор сверяет содержимое сайта с уведомлением.
• Постановление Пленума ВС РФ от 15.06.2010 № 16 (актуальная редакция) — судебная практика по применению норм о согласии и pre-checked checkbox.
• Ст. 19.5 КоАП РФ — Невыполнение в срок законного предписания органа государственного надзора — норма про штраф за невыполнение предписания РКН в срок.

Если в статье будет обнаружено устаревшее утверждение — напишите команде, исправление выйдет с обновлением dateModified в schema. См. также нашу методичку про работу автомат-инспектора РКН.