РКН Аудит
Предустановленная галочка согласия на обработку персональных данных — одно из самых распространённых нарушений в малом бизнесе. По нашим сканированиям это нарушение встречается на значительной доле сайтов малого бизнеса в одной или нескольких формах. С 30 мая 2025 года штраф по части 2 статьи 13.11 КоАП РФ за обработку ПДн без согласия — до 700 000 ₽ для юридических лиц при первичном нарушении и до 1 500 000 ₽ при повторном. Предотмеченная галочка юридически не считается согласием по статье 9 части 1 152-ФЗ — закон требует, чтобы согласие было выражено через активное действие пользователя (явное волеизъявление). Эта позиция поддержана Роскомнадзором и судебной практикой. Автоматизированный мониторинг РКН (АС МПДн) и проверки по жалобам могут выявлять HTML-разметку с атрибутом checked на чекбоксах согласия. Эта статья — разбор юридической логики, размеров штрафа, способа выявления и готовый код правильного чекбокса для замены. Источники: 152-ФЗ, ст.13.11 КоАП РФ, КонсультантПлюс.
Проверьте, есть ли предустановленные галочки на вашем сайте — бесплатно ←
Почему это нарушение
Часть 4 статьи 9 Федерального закона №152-ФЗ устанавливает, что согласие на обработку персональных данных должно быть:
- Конкретным — относится к точно определённым целям обработки
- Предметным — указывает на конкретные категории ПДн
- Информированным — субъект понимает, на что соглашается
- Сознательным — выражено осознанно
- Однозначным — без двусмысленностей
Все пять характеристик подразумевают активное действие субъекта. Предотмеченная галочка не является активным действием по простой логической причине: пользователь не сделал ничего, чтобы выразить согласие. Юридическая квалификация: если форма с предотмеченным чекбоксом считается актом согласия, то любое отсутствие действия (включая бездействие пользователя при автозаполнении) приравнивается к выражению воли — что противоречит конституционному принципу свободы воли.
Это интерпретация прямо закреплена в практике Роскомнадзора и подтверждена постановлениями судов общей юрисдикции 2023–2025 годов. С 1 сентября 2025 года, после поправок 156-ФЗ от 24.06.2025 в ст.9 152-ФЗ, согласие должно быть оформлено отдельным документом (не частью договора оферты), что усиливает требование активного волеизъявления.
Размер штрафа
Нарушение квалифицируется по части 2 статьи 13.11 КоАП РФ (обработка ПДн без согласия субъекта):
| Категория | Первичное нарушение | Повторное |
|---|---|---|
| Граждане | 10 000 — 15 000 ₽ | 15 000 — 30 000 ₽ |
| Должностные лица | 100 000 — 300 000 ₽ | 300 000 — 500 000 ₽ |
| ИП | 100 000 — 300 000 ₽ | 300 000 — 500 000 ₽ |
| Юридические лица | 300 000 — 700 000 ₽ | 1 000 000 — 1 500 000 ₽ |
Размеры действуют с 30 мая 2025 года в редакции 420-ФЗ от 30.11.2024. Полная таблица всех штрафов — в статье «Штрафы РКН за персональные данные в 2026».
Дополнительный риск: если собранные таким образом данные утекут, применяется отдельная ответственность за утечку по частям 12–18 статьи 13.11 КоАП (для юрлиц при первой утечке — миллионы рублей, при повторной — оборотный штраф вплоть до 500 000 000 ₽), см. «420-ФЗ от 30.11.2024».
Как это выявляется при проверке
Автоматизированный мониторинг РКН (АС МПДн) и проверки по жалобам обычно используют два типа анализа формы:
Проверка №1. Парсинг HTML
Загружает страницу сайта, ищет все элементы <input type="checkbox"> внутри <form> или рядом с кнопкой отправки. Проверяет наличие атрибута checked:
<!-- ❌ Нарушение: атрибут checked в HTML -->
<input type="checkbox" name="consent" checked>
<!-- ✅ Правильно: без checked -->
<input type="checkbox" name="consent">
Проверка №2. Анализ после JavaScript
Страница загружается в браузере, и после выполнения JavaScript проверяется фактическое .checked === true для каждого чекбокса согласия. Это распознаёт случаи, когда галочка ставится программно:
// ❌ Нарушение: галочка ставится в JS
document.getElementById('consent').checked = true;
// ❌ Нарушение: реактивная инициализация в Vue/React
data: () => ({ consent: true })
// ❌ Нарушение: атрибут через :checked
<input type="checkbox" :checked="true">
Правовая основа требований к согласию — статьи 6, 9 и 18.1 152-ФЗ, ответственность — по статье 13.11 КоАП РФ.
Как исправить — готовый код
Минимальная правильная реализация
<form id="contactForm">
<input name="name" type="text" required placeholder="Имя">
<input name="email" type="email" required placeholder="Email">
<label>
<input type="checkbox" name="consent" required>
Я согласен(на) с обработкой моих персональных данных в соответствии с
<a href="/privacy/" target="_blank">Политикой</a>
</label>
<button type="submit" disabled>Отправить</button>
</form>
<script>
const form = document.getElementById('contactForm');
const checkbox = form.querySelector('input[name="consent"]');
const button = form.querySelector('button[type="submit"]');
// Кнопка disabled пока не отмечен чекбокс
checkbox.addEventListener('change', () => {
button.disabled = !checkbox.checked;
});
// Серверная проверка тоже обязательна
form.addEventListener('submit', (e) => {
if (!checkbox.checked) {
e.preventDefault();
alert('Необходимо согласие на обработку персональных данных');
}
});
</script>
Ключевые требования к чекбоксу согласия
| Требование | Зачем |
|---|---|
Без атрибута checked |
Активное действие пользователя |
required атрибут |
Браузер блокирует submit без галочки |
| Текст содержит «согласен», «обработка», «персональные данные» | Информированное согласие (ст.9) |
Ссылка на политику (/privacy/) |
Доступ к условиям до согласия |
Ссылка в target="_blank" |
Не теряются данные формы |
| Кнопка disabled до отметки | UX + дополнительная защита |
| Серверная валидация | Защита от прямого POST в обход формы |
| Логирование факта согласия (IP, время) | Доказательства для РКН при споре |
Что делать с уже собранными данными
Если ваш сайт долгое время работал с предустановленной галочкой, ПДн от тех пользователей собраны без юридически валидного согласия. Опции:
- Безопасный путь: запросить повторное согласие у существующих пользователей — email-рассылка со ссылкой на форму с правильным чекбоксом.
- Прекращение обработки: удалить данные пользователей, не давших повторное согласие, в течение 30 дней.
- Документирование: зафиксировать факт исправления в локальном нормативном акте оператора (дата, ответственный).
Это снижает риск претензий при последующей проверке РКН.
Типичный сценарий
Как это обычно разворачивается на практике:
- Интернет-магазин на Tilda с предустановленной галочкой «Согласен с условиями» (объединяющей оферту и обработку ПДн).
- Нарушение выявляется при мониторинге или по жалобе субъекта.
- Инспектор оформляет предписание: устранить за отведённый срок.
- Компания заменяет галочку на правильную форму и направляет подтверждение в РКН.
- При своевременном устранении дело может закрыться без штрафа.
Если же предписание проигнорировать — добавляется штраф по ст.19.5 КоАП за неисполнение предписания.
Стоимость превентивных мер: 4 990 ₽ за готовый комплект документов с правильным HTML-сниппетом + JS cookie-баннер. Окупается одним предотвращённым предписанием.
Чек-лист исправления
- [ ] Откройте каждую форму на сайте (контактная, заявка, регистрация, подписка, доставка, чат-виджеты)
- [ ] Найдите чекбоксы согласия, удалите атрибут
checked - [ ] Проверьте JS — нет ли строк
.checked = trueили:checked="true" - [ ] Текст согласия: упомянуть «согласен», «обработка», «персональные данные»
- [ ] Ссылка на
/privacy/вtarget="_blank" - [ ] Кнопка submit
disabledдо отметки - [ ] Серверная валидация согласия
- [ ] Логирование IP + время + версия политики
- [ ] Прогнать сайт через сканер РКН Аудит для проверки
→ Проверить сайт на предустановленные галочки за 30 секунд (бесплатно)
Источники: часть 2 статьи 13.11 КоАП РФ, часть 4 статьи 9 152-ФЗ, 420-ФЗ от 30.11.2024.