Кибероснова152-ФЗ

Чекбокс согласия на обработку персональных данных: как сделать правильно

21 апреля 2026 г.8 мин чтения

Чекбокс согласия на обработку персональных данных — обязательный элемент любой формы на сайте, которая собирает ПДн пользователей (имя, email, телефон, адрес). Без чекбокса обработка незаконна, штраф до 500 000 ₽ по ч. 1 ст. 13.11 КоАП РФ. В этой инструкции — готовый HTML-код, 5 правил Роскомнадзора, типичные ошибки и что фиксировать в базе данных для доказательства факта согласия.

Зачем нужен чекбокс на сайте

По статье 9 Федерального закона 152-ФЗ обработка персональных данных возможна только с согласия субъекта (если нет другого основания — договор, закон, судебный акт). Для онлайн-форм это реализуется через чекбокс рядом с кнопкой отправки.

Чекбокс решает три задачи:

  1. Юридическое основание обработки. Явный выбор пользователя — согласие или отказ.
  2. Доказательство факта согласия. При проверке Роскомнадзора оператор показывает логи установки чекбокса: дату, IP, версию согласия.
  3. Информирование пользователя. Рядом с чекбоксом ссылка на политику — пользователь знает, кто и для чего обрабатывает его данные.

Отсутствие чекбокса = обработка ПДн без согласия = штраф. Для юрлица по ч. 1 ст. 13.11 КоАП РФ (редакция 420-ФЗ от 30.05.2025) — от 150 000 до 500 000 ₽. При массовой утечке — до 15 млн ₽ (ч. 4) и оборотные штрафы до 3% выручки.

5 правил чекбокса согласия

Правило 1. Чекбокс НЕ должен быть предустановлен

Автоматически отмеченная галочка (checked по умолчанию) — не согласие. По ч. 1 ст. 9 152-ФЗ согласие должно быть свободным, конкретным и информированным. Молчаливое согласие не считается.

Плохо:

<input type="checkbox" name="consent" checked>

Хорошо:

<input type="checkbox" name="consent" required>

Позиция Роскомнадзора подтверждена в многочисленных разъяснениях. Аналогичная позиция Европейского суда в деле Planet49 (C-673/17, 01.10.2019) — предустановленный чекбокс не является согласием.

Правило 2. Обязательность для основной формы

Чекбокс согласия на обработку ПДн для выполнения заказа/регистрации — должен быть обязательным (required). Без галочки форма не отправляется.

<form>
  <input type="text" name="name" required>
  <input type="email" name="email" required>
  
  <label>
    <input type="checkbox" name="pdn_consent" required>
    Я согласен на <a href="/privacy" target="_blank">обработку ПДн</a>
  </label>
  
  <button type="submit">Отправить</button>
</form>

Правило 3. Раздельные чекбоксы для разных целей

Согласие на обработку ПДн для договора — одно. Согласие на рекламные рассылки — другое. По п. 4 ч. 4 ст. 9 152-ФЗ цели обработки должны быть конкретными, и для каждой цели — отдельное согласие.

<!-- ОБЯЗАТЕЛЬНЫЙ: согласие на обработку ПДн -->
<label>
  <input type="checkbox" name="pdn_consent" required>
  Я согласен на <a href="/privacy">обработку персональных данных</a>
</label>

<!-- НЕОБЯЗАТЕЛЬНЫЙ: согласие на рассылку -->
<label>
  <input type="checkbox" name="marketing_consent">
  Я согласен получать рекламные рассылки на email
</label>

Пользователь соглашается на обработку ПДн (без этого форма не работает), но может отказаться от рекламы — это его право.

Правило 4. Читаемый текст и видимые ссылки

  • Шрифт не меньше 12px, цвет с контрастом к фону (стандарт WCAG AA).
  • Ссылка на политику — подчёркнутая, цветная, открывается в новой вкладке (target="_blank").
  • Нет мелкого шрифта — приёмы вроде font-size: 8px для «маскировки» согласия = нарушение принципа информированности.
<!-- ПЛОХО: мелкий шрифт, нет ссылки -->
<label style="font-size: 10px; color: #ccc;">
  <input type="checkbox">
  Согласие на ПДн
</label>

<!-- ХОРОШО: читаемый текст, видимая ссылка -->
<label style="font-size: 14px; color: #333;">
  <input type="checkbox" required>
  Я согласен на <a href="/privacy" target="_blank" 
    style="color: #0066cc; text-decoration: underline;">
    обработку персональных данных
  </a> в соответствии с политикой конфиденциальности.
</label>

Правило 5. Фиксация факта согласия в базе

Для доказательства при проверке РКН оператор должен хранить в базе:

ПолеЧто хранитьПример
consent_dateДата и время установки2026-04-21T15:32:18+03:00
ip_addressIP пользователя192.168.1.100
user_agentБраузер и устройствоMozilla/5.0...
policy_versionВерсия политики на момент согласияv2026-01-15
consent_scopeЧто именно согласовали (бит-маска){pdn: true, marketing: false}
form_idНа какой форме поставили/contact

Хранить — не менее 3 лет после прекращения отношений с пользователем. Для трудовых отношений — 75 лет.

Готовый HTML-код для сайта

Вариант 1. Минимальный (обратная связь)

<form action="/submit" method="POST">
  <label>Ваше имя
    <input type="text" name="name" required>
  </label>
  
  <label>Email
    <input type="email" name="email" required>
  </label>
  
  <label>Телефон
    <input type="tel" name="phone" required>
  </label>
  
  <label>Сообщение
    <textarea name="message" required></textarea>
  </label>
  
  <label class="checkbox-label">
    <input type="checkbox" name="pdn_consent" value="1" required>
    Я согласен на <a href="/privacy" target="_blank">обработку 
    персональных данных</a> в соответствии с 152-ФЗ
  </label>
  
  <button type="submit">Отправить</button>
</form>

Вариант 2. Расширенный (регистрация + рассылка)

<form action="/register" method="POST">
  <!-- Поля формы -->
  <input type="text" name="name" required>
  <input type="email" name="email" required>
  <input type="password" name="password" required>
  
  <!-- Согласие на обработку ПДн — обязательное -->
  <label class="checkbox-label required">
    <input type="checkbox" name="pdn_consent" value="1" required>
    Я принимаю условия <a href="/terms" target="_blank">пользовательского 
    соглашения</a> и согласен на <a href="/privacy" target="_blank">
    обработку персональных данных</a>
  </label>
  
  <!-- Согласие на рассылку — опциональное -->
  <label class="checkbox-label">
    <input type="checkbox" name="marketing_consent" value="1">
    Я согласен получать информационные и рекламные рассылки
  </label>
  
  <!-- Согласие на cookies — опциональное -->
  <label class="checkbox-label">
    <input type="checkbox" name="analytics_consent" value="1">
    Я разрешаю использовать аналитические cookies для улучшения сайта
  </label>
  
  <button type="submit">Зарегистрироваться</button>
</form>

Вариант 3. С фиксацией в БД (JavaScript)

<form id="contactForm">
  <!-- Поля формы -->
  
  <label>
    <input type="checkbox" name="pdn_consent" required>
    <span>Я согласен на <a href="/privacy">обработку ПДн</a></span>
  </label>
  
  <button type="submit">Отправить</button>
</form>

<script>
document.getElementById('contactForm').addEventListener('submit', async (e) => {
  e.preventDefault();
  const form = e.target;
  const data = new FormData(form);
  
  // Добавляем метаданные согласия
  data.append('consent_timestamp', new Date().toISOString());
  data.append('consent_policy_version', 'v2026-04-21');
  data.append('consent_user_agent', navigator.userAgent);
  data.append('consent_form_url', window.location.href);
  // IP добавит сервер
  
  await fetch('/api/submit', { 
    method: 'POST', 
    body: data 
  });
});
</script>

Сервер дополнительно логирует:

  • IP-адрес из заголовков запроса
  • Timestamp получения (для сверки с клиентским)
  • Версию политики, которая была актуальна на момент согласия

Типичные ошибки чекбоксов

1. Предустановленный чекбокс

<!-- НЕЛЬЗЯ -->
<input type="checkbox" name="pdn_consent" checked required>

Нарушение ч. 1 ст. 9 152-ФЗ. Роскомнадзор при проверке отметит как нарушение.

2. Один чекбокс для всего

<!-- НЕЛЬЗЯ -->
<label>
  <input type="checkbox" required>
  Согласен на обработку ПДн и рекламные рассылки
</label>

Нужно два разных чекбокса — на обработку ПДн и на маркетинг.

3. Текст без ссылок

<!-- НЕЛЬЗЯ -->
<label>
  <input type="checkbox">
  Соглашаюсь на обработку ПДн
</label>

Пользователь не знает, на что конкретно соглашается. Нужна ссылка на политику.

4. Скрытый или очень мелкий шрифт

<!-- НЕЛЬЗЯ -->
<label style="font-size: 8px; color: #eeeeee;">
  <input type="checkbox">
  Согласие на обработку ПДн
</label>

Нарушение информированности согласия.

5. Форма без чекбокса вообще

<!-- НЕЛЬЗЯ -->
<form>
  <input name="email">
  <button>Подписаться</button>
</form>

Обработка ПДн без согласия = штраф до 500 000 ₽.

6. «Продолжая использовать сайт, вы соглашаетесь» без явного чекбокса

Скролл-wrapper или cookie banner без кнопки «Принять» — не заменяет согласие на обработку ПДн. Это позиция Роскомнадзора из письма № 07-113/3-11 от 04.07.2023. Молчаливое использование сайта не является согласием.

Как проверить свой сайт

Чтобы убедиться, что чекбоксы согласия на вашем сайте соответствуют 152-ФЗ:

  1. Откройте все формы сайта — контакты, регистрация, подписка, оформление заказа, запрос звонка.
  2. Проверьте каждую: есть ли чекбокс? Не предустановлен? Текст читаемый? Ссылка работает?
  3. Разделите цели: обработка ПДн и маркетинг — отдельные чекбоксы?
  4. Логи: фиксирует ли бэкенд согласие — дату, IP, версию?
  5. Политика: есть ли /privacy и актуальна ли она на дату согласия?

Или воспользуйтесь автоматическим сканером сайта на 152-ФЗ — за 15 секунд проверит все формы, наличие политики, трекеры, cookies и даст отчёт со штрафами и рекомендациями.

Итог

Чекбокс согласия — небольшой, но критически важный элемент сайта. Стоимость ошибки — до 500 000 ₽, при утечке — до 15 млн ₽. При правильной реализации:

  • Обрабатываете ПДн законно;
  • Защищены от штрафов Роскомнадзора;
  • Имеете доказательство согласия для суда.

Что сделать:

Котов Алексей

Котов Алексей

Эксперт Киберосновы

Специалист по информационной безопасности с 12-летним опытом. Сертифицированный аудитор по 152-ФЗ. Провёл более 200 аудитов обработки персональных данных для компаний различных отраслей.

152-ФЗаудит ПДнмодель угрозуровни защищённости

Часто задаваемые вопросы

Если сайт собирает персональные данные пользователей (имя, email, телефон) — чекбокс согласия обязателен по ст. 9 Федерального закона 152-ФЗ. Без него обработка ПДн незаконна, штраф по ч. 1 ст. 13.11 КоАП (ред. 420-ФЗ от 30.05.2025) — от 150 000 до 500 000 ₽ для юрлиц. Чекбокс не нужен только если единственное основание обработки — исполнение договора (например, оформление покупки без рассылки). Но даже тогда рекомендуется явное согласие для прозрачности.
Нет. Это нарушение ч. 1 ст. 9 152-ФЗ: согласие должно быть свободным, конкретным и информированным. Предустановленный чекбокс не отражает явного волеизъявления пользователя и трактуется Роскомнадзором как отсутствие согласия. Аналогичная позиция в Европейском суде (дело Planet49 C-673/17). Чекбокс должен быть пустым, пользователь ставит галочку сам. Предустановленный чекбокс — повод для предписания РКН при проверке.
Минимальный текст должен содержать: 1) явное указание на согласие с обработкой ПДн; 2) ссылку на полную политику обработки ПДн (обычно /privacy); 3) ссылку на текст согласия (опционально, если отличается от политики). Пример: «Я согласен на обработку персональных данных в соответствии с политикой конфиденциальности». Текст 100-200 символов. Нельзя прятать ссылку на политику — шрифт должен быть читаемым (минимум 12px), цвет с контрастом к фону.
Да. По 152-ФЗ согласия на разные цели обработки должны быть разделены (принцип конкретности целей, п. 4 ч. 4 ст. 9). Если в одном чекбоксе согласие на обработку ПДн для договора и на рекламные рассылки — это нарушение. Решение: основной чекбокс «Я согласен на обработку ПДн для оформления заказа» + отдельный (необязательный) «Согласен получать рекламные рассылки». Пользователь может согласиться только на договор и отказаться от рассылки.
Для доказательства факта согласия при проверке РКН оператор должен хранить: 1) дату и время установки чекбокса (ISO 8601 с таймзоной); 2) IP-адрес пользователя (для идентификации); 3) User-Agent браузера (для фиксации устройства); 4) ссылку на версию текста политики/согласия, действующую на момент установки; 5) значение всех галочек (основная + маркетинг отдельно); 6) идентификатор формы/страницы. Хранить в базе не менее срока действия согласия (обычно 3-5 лет после прекращения отношений).
Если пользователь авторизован и уже давал согласие ранее, новый чекбокс можно не показывать. Но если собираются новые категории ПДн или меняются цели обработки — нужен новый чекбокс с пояснением, что именно изменилось. В личном кабинете пользователя рекомендуется раздел «Мои согласия» со списком активных согласий и кнопкой «Отозвать». Это требование п. 3 ч. 2 ст. 10.1 при обработке с распространением и хорошая практика для всех операторов.
Скролл-wrapper (cookie banner без кнопки) — не эквивалентен чекбоксу согласия. По 152-ФЗ согласие должно быть явным волеизъявлением, а молчаливое «продолжение использования» — пассивное действие, не согласие. Роскомнадзор в письме № 07-113/3-11 от 04.07.2023 разъяснил: использование сайта не заменяет согласие на обработку ПДн. Для ПДн нужен явный чекбокс, для cookies — баннер с кнопкой «Принять» / «Отклонить» (по стандарту TCF IAB Europe).
Обработка ПДн без согласия — штраф по ч. 1 ст. 13.11 КоАП РФ (ред. 420-ФЗ от 30.05.2025): для юрлиц 150 000 – 300 000 ₽ за первое нарушение, до 500 000 ₽ повторно. За отсутствие политики обработки на сайте — по ч. 3 ст. 13.11: 30 000 – 60 000 ₽. Если сайт обрабатывает спецкатегории ПДн (например, данные о здоровье в медицинских клиниках) без согласия — до 700 000 ₽ / 1 500 000 ₽ повторно (ч. 2 ст. 13.11). Рассчитать точный штраф — [калькулятор штрафов](/shtrafy/calculator/).

Оформите документы по 152-ФЗ за 15 минут

Создайте пакет документов сами в конструкторе или закажите готовый комплект под ключ.

Создать документ

Связанные материалы

Согласие на обработку ПДн для сайта — текст и HTML-кодСогласие на обработку ПДн — образец 2026Политика конфиденциальности для сайтаВсе виды согласий на обработку ПДнКак отозвать согласие на обработку ПДнПроверка сайта на соответствие 152-ФЗКонструктор документов по 152-ФЗ