Нигде явно не прописан ответ на этот вопрос. Общая формулировка в различных НПА - "гражданин должен дать явное согласие на обработку его персональных данных" (не цитата, просто общая суть).
При такой формулировке лучше делать так, чтобы без нажатия галочки в согласии нельзя было отправить данные. Тогда при любом споре вы сможете сказать "смотрите ваша честь, он не могу ничего отправить не ткнув здесь галочку". Естественно, у человека должна быть возможность прочитать вашу политику, иначе плохи ваши дела. Ну и ведите логи принятия этих данных, чтоб можно было показать, что за последний год\два\десять не было никаких сбоев в работе формы обратной связи.