Как правильно архивировать согласия на обработку ПДн: срок хранения и формат

Если вы запускаете онлайн-курсы, у вас уже есть согласия на обработку персональных данных. Checkbox на форме регистрации, отметка при оплате, бумажное согласие родителей ребёнка-ученика — всё это юридически значимые документы. Вопрос не в том, получили ли вы их: вопрос в том, сможете ли вы доказать это через 3 года, когда придёт проверка или бывший ученик подаст жалобу.

На практике онлайн-школы делают одну из двух ошибок: либо хранят согласия как попало (в папке Downloads или в таблице без структуры), либо удаляют их «для безопасности» сразу после отзыва. Оба варианта ведут к штрафам. Разберём, как выстроить архив правильно — один раз и надолго.

1. Сколько лет хранить согласия: что говорит закон

Ст. 21 152-ФЗ (проверено: май 2026) обязывает оператора прекратить обработку данных и уничтожить их в течение 30 дней после отзыва согласия. Но это касается самих персональных данных — ФИО, email, телефона. Документ, подтверждающий факт получения согласия, уничтожать нельзя: именно он служит доказательством того, что вы действовали законно.

Практический смысл: бывший ученик может обратиться в Роскомнадзор с жалобой «школа обрабатывала мои данные без согласия» через год после окончания курса. Без архива согласия вы не докажете обратное — и получите штраф, даже если формально всё делали правильно.

Отдельные категории согласий имеют специальные сроки:

Тип согласия	Срок хранения	Основание
Согласие на обработку ПДн (общее)	Срок обработки + 3 года	Ст. 21 152-ФЗ (проверено: май 2026)
Согласие на рекламную рассылку	Не менее 1 года с момента получения / до отзыва	Ст. 18 ФЗ «О рекламе» (проверено: май 2026)
Согласие родителей на данные ребёнка	До совершеннолетия ребёнка + 3 года	Ст. 21 152-ФЗ + разъяснения Роскомнадзора
Согласие на биометрические данные	Срок обработки + 3 года	Ст. 11 152-ФЗ (проверено: май 2026)
Трудовые ПДн сотрудников	75 лет (по нормам архивного дела)	Приказ Росархива №236 (проверено: май 2026)

2. Бумага или электронный архив: что выбрать

Бумажные согласия актуальны только в двух случаях: когда учёба происходит офлайн (на очных мероприятиях) или когда вы работаете с детьми и берёте согласие родителей лично. В остальных ситуациях электронный архив — практичнее и надёжнее.

Ключевое требование к электронному архиву — возможность доказать, что данный человек действительно дал это согласие в данный момент времени. Просто сохранённый PDF без метаданных не подходит: Роскомнадзор может спросить, каким образом был идентифицирован субъект при подписании.

Параметр	Бумажный архив	Электронный архив
Стоимость хранения	Высокая (аренда, сканирование)	Низкая (облачное хранилище)
Скорость поиска	Медленно (ручной поиск)	Мгновенно (по email, дате)
Доказательная сила	Высокая (оригинал с подписью)	Высокая при правильной системе логов
Риск утраты	Пожар, потоп, кража	Минимален при резервировании
Масштабируемость	Линейный рост затрат	Почти нулевые предельные издержки
Работа с удалёнными субъектами	Неудобно	Нативно

Для электронных согласий достаточным доказательством считается: лог-запись с IP-адресом, timestamp, идентификатором пользователя и текстом согласия, которое он принял. Это можно реализовать на любой платформе — от самописной CRM до AmoCRM или GetCourse.

Подробнее о том, как правильно оформить checkbox-согласие на сайте, чтобы оно имело юридическую силу, читайте в нашем отдельном материале.

3. Реестр согласий: обязательные поля и структура

На практике у онлайн-школ со 100+ учениками ручной реестр в Excel перестаёт работать — его сложно поддерживать актуальным. Правильный подход: автоматическая запись в базу данных при каждом действии субъекта (регистрация, изменение настроек рассылок, отзыв). Реестр становится просто выгрузкой из этой базы.

Обязательные поля реестра согласий:

Отдельно храните архив версий текста самого согласия. Если в апреле 2024 года вы обновили политику обработки персональных данных и изменили формулировку согласия — у вас должен быть доступ к тексту старой версии. Субъект давал согласие именно на неё, и именно этот текст является юридически значимым.

Хорошая практика: нумеровать версии документов (v1.0, v1.1, v2.0) и хранить все исторические версии в отдельной папке. В реестре согласий делать ссылку на версию, а не просто «согласие на обработку ПДн».

4. Как архивировать checkbox-согласие с сайта

Когда пользователь регистрируется на курс через форму с checkbox-согласием, правильная система должна зафиксировать не только факт регистрации, но и факт принятия согласия — как отдельное событие с полным набором метаданных.

Минимальный набор данных для сохранения при checkbox-согласии:

Поле	Пример значения	Зачем нужно
user_id	12345	Привязка к аккаунту
email	ivan@example.com	Идентификация при жалобе
consent_version	v2.3	Какой текст принял пользователь
timestamp	2024-04-15T14:32:07+03:00	Доказательство момента согласия
ip_address	95.x.x.x	Подтверждение активного действия
user_agent	Chrome/120 / iOS	Дополнительная идентификация
form_url	/registration/course-123	Контекст получения согласия
consent_type	pdn_processing + marketing	На что именно дано согласие

Если ваша платформа (GetCourse, Tilda, самописный сайт) не собирает эти данные автоматически — это задача для разработчика. На GetCourse можно использовать webhook при регистрации и сохранять лог во внешнюю базу. На Tilda — подключить сервис вроде Zapier или n8n для записи в Google Sheets или Airtable.

Важный момент: текст согласия, который видел пользователь в момент регистрации, тоже нужно заархивировать. Не ссылку на текущую политику (она может измениться), а именно снимок текста — либо как отдельный файл, либо как запись в базе данных с привязкой к версии.

Подробнее об ответственности за нарушения при хранении данных читайте в нашем материале об утечке ПДн и обязанности уведомить РКН за 24 часа. А если вы ещё не назначили ответственного за защиту данных — разберитесь с этим в первую очередь: кто должен быть ответственным за ПДн в онлайн-школе.

5. Особенности хранения согласий родителей

Для детских курсов (школьники, подготовка к ЕГЭ, детские кружки онлайн) согласие родителей — особый документ. Ст. 9 152-ФЗ (проверено: май 2026) прямо требует согласия законного представителя для детей до 14 лет. Для подростков 14-18 лет законодательство в данном вопросе неоднозначно, но практика Роскомнадзора такова: лучше брать согласие у родителей для всех несовершеннолетних.

Что должно быть в архиве для детских согласий:

На практике онлайн-школы часто берут согласие родителей через email: родитель регистрируется на платформе и ставит галочку за ребёнка. Это допустимо, но в архиве должно быть видно, что регистрировался именно взрослый (дата рождения в профиле совершеннолетняя) и что он указал данные ребёнка отдельно.

Если вы проводите офлайн-мероприятия или очные сборы — бумажная форма согласия предпочтительна: она надёжнее подтверждает личность подписанта. Электронный скан бумажного согласия с оригинальной подписью — тоже допустимое решение при условии, что оригинал хранится.

Консультацию по правовому статусу вашей школы и требованиям к документам можно получить через раздел FAQ или напрямую через сервис ЭдПрав.

6. Что делать с истёкшими и отозванными согласиями

Это ключевое разграничение, которое понимают не все: уничтожению подлежат данные субъекта (ФИО, email, история покупок), но не история событий согласия. Реестр согласий — это не персональные данные субъекта в смысле 152-ФЗ, это ваши внутренние документы учёта.

Алгоритм действий при отзыве согласия:

Шаг	Срок	Что делать
1. Получение заявления об отзыве	День 0	Зафиксировать в реестре дату и способ отзыва
2. Прекращение обработки данных	Немедленно	Остановить рассылки, снять с обработки в CRM
3. Уничтожение персональных данных	До 30 дней	Удалить данные из всех систем, составить акт об уничтожении
4. Уведомление субъекта	До 30 дней	Подтвердить факт уничтожения данных (по запросу субъекта)
5. Хранение архивной записи	3 года после шага 3	Запись в реестре с отметкой «согласие отозвано, данные уничтожены»

Акт об уничтожении персональных данных — обязательный документ. Он подтверждает, что данные действительно удалены, а не просто помечены как удалённые. В небольшой школе это может быть простой документ: дата, перечень удалённых данных, ответственный сотрудник, подпись. Для крупных школ — автоматический лог с timestamp.

Истёкшие согласия (когда срок, на который было выдано согласие, закончился) обрабатываются аналогично: данные уничтожаются, запись в реестре остаётся. Если вы хотите продолжить обработку — нужно получить новое согласие, нельзя просто «продлить» старое.

Подробнее о том, кто отвечает за эти процессы в структуре онлайн-школы, читайте в материале об ответственном за персональные данные. Если хотите разобраться с полным комплектом документов — начните с нашего глоссария по оператору ПДн и раздела FAQ.

---

Часто задаваемые вопросы

Нужно ли хранить согласие, если ученик сам написал заявление на возврат денег?

Да. Заявление на возврат — это отдельный документ, он не является отзывом согласия на обработку персональных данных, если только не содержит явного требования удалить данные. Факт возврата денег и факт обработки ПДн — разные правоотношения. Хранить согласие нужно по общим правилам: срок обработки плюс 3 года.

Можно ли хранить реестр согласий в Google Sheets, если школа небольшая?

Технически — можно, но есть нюансы. Google хранит данные на серверах за пределами России, что нарушает требования о локализации ПДн (ст. 18.1 152-ФЗ, проверено: май 2026). Для реестра, который содержит ФИО и email, это создаёт риски. Безопаснее использовать российские сервисы: Яндекс 360, российский хостинг с базой данных или отечественные CRM. Если используете Google Sheets — только для внутреннего учёта без личных данных субъектов (только ID записей).

Что считается надлежащим доказательством согласия при проверке Роскомнадзора?

Роскомнадзор при проверке запрашивает документы, подтверждающие законность обработки данных конкретного субъекта. Надлежащим доказательством считается: для бумажного согласия — оригинал с подписью; для электронного — серверный лог с timestamp, IP-адресом и текстом согласия, которое принял пользователь. Скриншоты, письма «он нам сам написал» и устные заверения не принимаются. Если у вас нет технической возможности сформировать такой лог — это приоритетная задача для разработчика.

Нужно ли перезапрашивать согласие, если поменялась политика обработки персональных данных?

Зависит от того, что изменилось. Если изменились цели обработки, перечень обрабатываемых данных или третьи лица, которым данные передаются — да, нужно новое согласие. Если изменились только технические детали или формулировки без изменения сути — достаточно уведомить субъектов об обновлении политики. При любом существенном изменении старые согласия фиксируются в архиве, новые получаются заново и добавляются в реестр как отдельные записи. Подробнее об этом в нашем материале о политике обработки персональных данных.

Что будет, если согласие было получено правильно, но архив утрачен при смене CRM?

Утрата архива — серьёзный риск. Если при проверке вы не можете подтвердить получение согласия, это юридически равнозначно его отсутствию. Штраф по ч. 2 ст. 13.11 КоАП — до 300 000 рублей за каждый выявленный случай. При смене CRM или платформы обязательно экспортируйте данные реестра согласий в независимый формат (CSV, JSON) и храните резервную копию отдельно от основной системы. Подробнее о персональных данных и обязанностях оператора — в нашем глоссарии.

Не хотите разбираться сами?

ЭдПрав проверит ваши документы по архивированию согласий на ПДн. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.

Попробовать бесплатно ->

Статья подготовлена на основе актуального законодательства РФ на май 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.