Главная / Блог / Политика обработки ПДн

Политика обработки персональных данных для сайта: как составить в 2026 году

20 февраля 2026 Актуально на: февраль 2026 14 мин чтения

Коротко:

Политика обработки ПДн — обязательный документ по ст. 18.1 ФЗ-152 для каждого оператора
Если сайт собирает данные (формы, метрика, cookies) — политику обязательно опубликовать на сайте
«Политика конфиденциальности» — западная калька, не равна политике по ФЗ-152
Штраф за отсутствие: до 60 000 ₽ для юрлиц (ч. 3 ст. 13.11 КоАП)

1. Что такое политика обработки ПДн и почему она обязательна

Политика обработки персональных данных — это документ, в котором оператор описывает, какие данные он собирает, зачем и как их обрабатывает, кому передаёт и как защищает. Обязанность принять такой документ установлена ч. 1 ст. 18.1 ФЗ-152.

Закон использует формулировку: «документ, определяющий политику оператора в отношении обработки персональных данных». Именно за его отсутствие предусмотрен штраф по ч. 3 ст. 13.11 КоАП.

Политика обработки ПДн ≠ Политика конфиденциальности

Термин «политика конфиденциальности» в российском законодательстве отсутствует. Это калька с английского Privacy Policy, которая прижилась на практике, но не имеет юридической силы в контексте ФЗ-152.

Характеристика	Политика обработки ПДн	Политика конфиденциальности
Основание	Ст. 18.1 ФЗ-152 — обязательна	Нет в законе — по усмотрению
Содержание	Строго: цели, категории, сроки, меры защиты	Шире: cookies, аналитика, нефиксированные данные
Штраф за отсутствие	До 60 000 ₽ (ч. 3 ст. 13.11)	Нет
Адресат	Регулятор (РКН) + субъекты ПДн	Пользователи сайта

Можно ли объединить? Да. Законодательство не запрещает объединять оба документа в один. Но он обязательно должен содержать все разделы, предусмотренные ст. 18.1 ФЗ-152 и рекомендациями Роскомнадзора.

2. Кому нужна политика

Короткий ответ: всем, кто собирает персональные данные. Если ваш сайт имеет хотя бы одну форму обратной связи, подключена Яндекс.Метрика или установлены cookies — вы оператор персональных данных.

Вы оператор, если на сайте есть:

Формы — заявка, обратный звонок, регистрация, подписка
Онлайн-оплата — корзина, чекаут с вводом данных
Аналитика — Яндекс.Метрика, любые счётчики (собирают IP, cookie-файлы)
Чат-виджеты — Jivo, Carrot Quest, Tawk.to и другие
CRM-интеграции — данные из форм попадают в AmoCRM, Bitrix24 и т.д.

Это касается и юрлиц, и ИП. Организационно-правовая форма не имеет значения — ФЗ-152 распространяется на всех операторов.

3. Что должно быть в политике: обязательные разделы

Часть 1 статьи 18.1 ФЗ-152 определяет, что должно быть в документах оператора. Рекомендации Роскомнадзора детализируют структуру. Ниже — сводная таблица обязательных разделов.

в„–	Раздел	Что включить
1	Общие положения	Цель документа, основные понятия (ПДн, обработка, оператор, субъект)
2	Сведения об операторе	Полное наименование (или ФИО для ИП), адрес, ИНН, контакты
3	Цели обработки	Конкретные цели для каждой категории: обработка заявок, исполнение договора, маркетинг, аналитика
4	Правовые основания	Ссылки на НПА, согласие субъекта, договор, законные интересы оператора
5	Категории субъектов	Клиенты, работники, соискатели, посетители сайта, представители контрагентов
6	Перечень ПДн	Для каждой цели: ФИО, телефон, email, адрес, IP, cookie, данные оплаты и т.д.
7	Способы обработки	Автоматизированная и неавтоматизированная; сбор, запись, хранение, использование, передача, уничтожение
8	Сроки хранения	Конкретный срок или событие для каждой цели обработки
9	Порядок уничтожения	Что происходит с данными при достижении цели или отзыве согласия
10	Передача третьим лицам	Кому передаются данные (хостинг, CRM, платёжные системы), на каком основании
11	Меры защиты	Правовые, организационные, технические меры (ст. 19 ФЗ-152): шифрование, разграничение доступа, резервное копирование
12	Права субъектов	Порядок обращения с запросами, отзыв согласия, жалоба в РКН. Контакты ответственного за обработку ПДн

Если ваш бизнес передаёт данные за рубеж, добавьте раздел «Трансграничная передача» (ст. 12 ФЗ-152) — с указанием стран, оснований и мер защиты.

4. Что изменилось в 2025 году

В 2025 году вступили в силу три закона, которые напрямую влияют на содержание политики.

30.05.2025

Новые штрафы. ФЗ от 30.11.2024 № 420-ФЗ: штрафы по ст. 13.11 КоАП выросли в 10-20 раз. Отменена скидка 50% за быструю оплату. Добавлены оборотные штрафы за утечки (до 3% выручки).

01.07.2025

Ужесточение локализации. ФЗ от 28.02.2025 № 23-ФЗ: при сборе ПДн граждан РФ первичная запись и хранение — только на серверах в России. Политика должна отражать факт локализации.

01.09.2025

Согласие — отдельный документ. ФЗ от 24.06.2025 № 156-ФЗ: согласие на обработку ПДн оформляется отдельно от иных документов. Предзаполненные чекбоксы запрещены. Подробнее — в статье «Согласие на обработку персональных данных».

Что это значит для политики: проверьте, что документ отражает актуальные требования — локализацию данных на территории РФ, раздельные согласия по целям, новые размеры штрафов в разделе «Ответственность».

5. Образец структуры политики 2026

Ниже — структура политики, которая соответствует ст. 18.1 ФЗ-152 в редакции от 2025 года и рекомендациям Роскомнадзора.

ПОЛИТИКА
в отношении обработки персональных данных

1. Общие положения
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности, принимаемые ___________________ (далее — Оператор). Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Сведения об операторе
Наименование: ___________________
Адрес: ___________________
ИНН: ___________________
Email: ___________________
Ответственный за обработку ПДн: ___________________

3. Цели обработки
Оператор обрабатывает персональные данные для следующих целей:
• обработка входящих обращений (заявки, обратная связь);
• заключение и исполнение договоров;
• направление информационных и маркетинговых сообщений (при наличии согласия);
• ведение бухгалтерского и налогового учёта;
• обеспечение функционирования сайта (аналитика, безопасность).

4. Правовые основания
Согласие субъекта (ст. 9), исполнение договора (п. 5 ч. 1 ст. 6), обязанность по закону (п. 2 ч. 1 ст. 6), законные интересы оператора (п. 7 ч. 1 ст. 6).

5. Категории субъектов: клиенты, посетители сайта, работники.

6. Перечень ПДн: ФИО, телефон, email, адрес, IP-адрес, cookie-файлы, данные об устройстве и браузере.

7. Способы обработки: автоматизированная и неавтоматизированная; сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

8. Сроки хранения: до достижения цели обработки; данные клиентов — срок действия договора + 3 года; данные посетителей сайта — 1 год.

9. Порядок уничтожения: при достижении цели обработки, отзыве согласия или по требованию субъекта — уничтожение в течение 30 дней.

10. Передача третьим лицам: хостинг-провайдер (_______), CRM-система (_______), платёжная система (_______). Основание: договор поручения обработки.

11. Меры защиты: назначение ответственного, обучение сотрудников, шифрование каналов передачи (TLS), разграничение прав доступа, резервное копирование, антивирусная защита.

12. Права субъектов
Субъект ПДн вправе: получить информацию об обработке своих данных; потребовать уточнения, блокирования или уничтожения данных; отозвать согласие. Обращения направлять на email: ___________________ или по адресу: ___________________.

Дата вступления в силу: «___» ___________ 202__ г.

Составлять политику вручную — долго и легко упустить обязательные разделы. Автоматизируйте процесс:

Сгенерируйте политику за 5 минут

Заполните форму — получите политику обработки ПДн и ещё 7 обязательных документов по ФЗ‑152 в формате PDF.

Создать документы →

6. Типичные ошибки в политике

Публикация политики «для галочки» не защитит от штрафа, если документ не соответствует требованиям. Вот что чаще всего делают неправильно:

Копипаст чужой политики. Скопированная политика другой компании содержит чужие реквизиты, цели и категории данных — при проверке это выяснится мгновенно
«В любых целях» вместо конкретных. Закон требует указать конкретные цели обработки для каждой категории ПДн. Формулировка «для любых законных целей» делает политику ничтожной
Нет сроков хранения. Один из обязательных элементов по ст. 18.1 — срок обработки и хранения для каждой цели
Нет порядка уничтожения. Политика должна описывать, что происходит с данными после достижения цели обработки
Документ в PDF без прямой ссылки. Политика должна открываться на отдельной странице с прямым URL, а не скачиваться файлом
«Политика конфиденциальности» без обязательных разделов. Документ с красивым названием, но без конкретики: нет перечня ПДн, нет категорий субъектов, нет мер защиты

7. Где и как разместить на сайте

Часть 2 ст. 18.1 ФЗ-152 прямо обязывает: если оператор собирает ПДн через интернет, он обязан опубликовать политику на сайте и обеспечить к ней доступ.

Требования к размещению

Отдельная страница с прямым URL — например, /privacy.html или /policy.html
Ссылка в футере каждой страницы — пользователь должен иметь доступ с любой страницы сайта
Ссылка рядом с формами сбора данных — под формой заявки, рядом с чекбоксом согласия
Без регистрации и авторизации — доступ к документу должен быть свободным
Актуальная версия — если политика обновлялась, на сайте должна быть последняя редакция

Важно: закон требует опубликовать два блока информации: 1) документ, определяющий политику оператора, и 2) сведения о реализуемых требованиях к защите ПДн. Второй блок часто упускают — это информация о конкретных мерах защиты (шифрование, разграничение доступа).

8. Штрафы за отсутствие политики

Часть 3 ст. 13.11 КоАП наказывает за «невыполнение обязанности по опубликованию документа, определяющего политику оператора в отношении обработки ПДн».

Нарушение	Граждане	Должн. лица	ИП	Юрлица
Нет опубликованной политики (ч. 3 ст. 13.11)	1,5-3 тыс.	6-12 тыс.	10-20 тыс.	30-60 тыс.
Обработка без согласия (ч. 2)	10-15 тыс.	100-300 тыс.	100-300 тыс.	300-700 тыс.
Обработка несовместимая с целями (ч. 1)	3-5 тыс.	50-100 тыс.	50-100 тыс.	150-300 тыс.
Неуведомление РКН (ч. 10)	5-10 тыс.	30-50 тыс.	100-300 тыс.	100-300 тыс.
Нарушение сроков уничтожения (ч. 5)	5-10 тыс.	30-50 тыс.	50-100 тыс.	100-200 тыс.

Суммы в рублях. Штрафы по ч. 3 ст. 13.11 не были увеличены ФЗ от 30.11.2024 № 420-ФЗ — они остаются на прежнем уровне. Однако на практике проверка РКН обычно выявляет несколько нарушений одновременно, и штрафы суммируются. Источник: КонсультантПлюс, Data-Sec.

Подробный разбор всех штрафов, включая оборотные (до 3% выручки за утечки) — в статье «Штрафы за персональные данные с 30 мая 2025».

9. Чек-лист: проверьте свою политику

Документ опубликован на отдельной странице сайта с прямым URL
Ссылка на политику есть в футере каждой страницы
Указаны полные реквизиты оператора (наименование, ИНН, адрес)
Перечислены конкретные цели обработки (не «в любых целях»)
Для каждой цели указаны категории ПДн и категории субъектов
Описаны способы обработки (автоматизированная / неавтоматизированная)
Указаны сроки хранения для каждой цели
Описан порядок уничтожения данных
Перечислены третьи лица, которым передаются данные
Описаны меры защиты (правовые, организационные, технические)
Указаны права субъектов и порядок обращения
Указаны контакты ответственного за обработку ПДн

Если хотя бы один пункт не выполнен — документ может не пройти проверку РКН. Полный чек-лист соответствия сайта — в статье «Персональные данные на сайте: полный чек-лист ФЗ-152».

FAQ

Чем политика обработки ПДн отличается от политики конфиденциальности?

Политика обработки ПДн — документ, прямо предусмотренный ст. 18.1 ФЗ-152. За его отсутствие штраф до 60 тыс. ₽. «Политика конфиденциальности» — западная калька (Privacy Policy), которой нет в российском законодательстве. На практике можно объединить оба документа в один, но он обязан содержать все разделы, требуемые ст. 18.1.

Обязательна ли политика для ИП с сайтом?

Да. Любой оператор, собирающий персональные данные через интернет, обязан опубликовать политику на сайте (ч. 2 ст. 18.1 ФЗ-152). ИП — такой же оператор, как и юрлицо. Штраф для ИП за отсутствие политики — от 10 до 20 тыс. ₽.

Можно ли скачать готовый шаблон политики?

Универсального шаблона не существует, потому что политика должна отражать конкретные цели, категории данных и субъектов именно вашего бизнеса. Копипаст чужой политики — одна из самых частых ошибок. Генератор Reova создаёт политику по вашим данным: вы заполняете форму, а система подставляет ваши реквизиты, цели и категории.

Нужно ли обновлять политику при изменении законодательства?

Да. Политика должна соответствовать актуальной редакции ФЗ-152. Если изменились цели обработки, состав данных или законодательство — политику нужно обновить и опубликовать новую версию. Рекомендуется пересматривать документ не реже одного раза в год.

Что будет, если политика есть, но не соответствует требованиям?

Формально ч. 3 ст. 13.11 КоАП наказывает за «невыполнение обязанности по опубликованию документа, определяющего политику оператора». Если документ опубликован, но не содержит обязательных разделов (например, нет сроков хранения или порядка уничтожения), РКН может квалифицировать это как ненадлежащее исполнение обязанности — штраф тот же.

Политика — только один из документов. Убедитесь, что ваш сайт не нарушает другие требования ФЗ-152. Бесплатная проверка за 30 секунд →

Нужен полный пакет? Политика, согласие, положение, приказ, уведомление в РКН и ещё 3 документа — за 4 990 ₽. Создать документы →