Политика обработки персональных данных: как составить в 2026 году — ПдПро
ПдПро
Документы
1 мин чтения·

Политика обработки персональных данных: как составить в 2026 году

Политика обработки персональных данных: как составить в 2026 году

Политика обработки персональных данных — обязательный публичный документ для каждого оператора ПД. Её отсутствие или непубликация грозят штрафом по ч. 3 ст. 13.11 КоАП РФ: ИП — от 10 000 до 20 000 ₽, юрлица — от 30 000 до 60 000 ₽. При этом Роскомнадзор проверяет наличие документа автоматически: у регулятора есть инструменты непрерывного мониторинга сайтов. То есть ждать плановой проверки не нужно — нарушение фиксируется без предупреждения.

Что такое политика обработки персональных данных

Политика объясняет субъектам ПД — клиентам, сотрудникам, пользователям сайта — какие данные вы собираете, зачем, как и сколько времени храните, и кому передаёте.

Это не просто формальность:

  • формирует доверие у клиентов;
  • защищает оператора при проверках Роскомнадзора;
  • служит доказательством добросовестности при рассмотрении жалоб.

Важно понимать разницу между политикой и Положением об обработке ПД: политика — публичный документ для субъектов данных, положение — внутренний регламент для сотрудников. Это два разных документа с разными требованиями.

Кому обязательно иметь политику

Согласно ч. 2 ст. 18.1 152-ФЗ, политику обязаны иметь все операторы персональных данных — практически любой бизнес, который:

  • ведёт сайт с формами обратной связи или регистрации;
  • принимает заказы онлайн или офлайн;
  • хранит данные клиентов (имена, телефоны, email);
  • имеет наёмных сотрудников;
  • работает с поставщиками и контрагентами-физлицами.

Исключений практически нет: ИП с одним сотрудником и интернет-магазин с миллионом клиентов обязаны иметь этот документ в равной мере.

Обязательные разделы политики по 152-ФЗ

Закон не устанавливает жёсткую структуру, но Роскомнадзор в правоприменительной практике выделяет следующие обязательные блоки.

1. Общие положения

  • полное наименование оператора и реквизиты;
  • цель разработки политики;
  • ссылка на законодательную базу (152-ФЗ, ПП № 1119, ПП № 687).

2. Основные понятия

Определения терминов: персональные данные, субъект ПД, оператор, обработка, обезличивание, уничтожение. Это помогает избежать разночтений при проверке.

3. Цели обработки персональных данных

Чётко перечислите каждую цель. Расплывчатые формулировки — частая причина замечаний. Примеры:

  • исполнение договора с клиентом;
  • кадровый учёт;
  • направление информационных рассылок (при наличии согласия);
  • бухгалтерский учёт.

4. Правовые основания обработки

Для каждой цели — своё основание:

  • договор (п. 5 ч. 1 ст. 6 152-ФЗ);
  • согласие субъекта (п. 1 ч. 1 ст. 6);
  • требование закона (п. 2 ч. 1 ст. 6).

5. Категории и перечень обрабатываемых данных

Перечислите все категории ПД: ФИО, дата рождения, контактные данные, платёжные реквизиты, cookie-идентификаторы и т.д. Если обрабатываете специальные категории (здоровье, биометрия) — укажите это отдельно.

6. Порядок сбора и хранения

  • способы сбора: форма на сайте, бумажные анкеты, телефонные звонки;
  • место хранения: укажите, что данные хранятся на серверах в России (требование ст. 18.1 ч. 5 152-ФЗ в ред. 23-ФЗ — с 01.07.2025 использование зарубежных баз данных для хранения ПД граждан РФ запрещено);
  • меры защиты: технические и организационные.

7. Сроки хранения и критерии их определения

Укажите конкретные сроки или критерии: «в течение срока действия договора + 5 лет» или «до отзыва согласия».

8. Передача данных третьим лицам

Перечислите категории получателей: курьерские службы, платёжные системы, облачные провайдеры. Если данные передаются за рубеж — укажите страны.

9. Трансграничная передача персональных данных

Если вы используете зарубежные сервисы — Google Analytics, Mailchimp, Salesforce, зарубежные CRM или облака — вы осуществляете трансграничную передачу данных. Это касается большинства компаний, работающих с западными IT-инструментами. С 01.07.2025 (23-ФЗ) хранение ПД граждан РФ в зарубежных базах данных запрещено. Укажите в политике, какие данные и в какие страны передаются, и на каком основании.

10. Меры по защите персональных данных

Организационные и технические меры в соответствии с уровнем защищённости ИСПДн (ПП РФ № 1119, Приказ ФСТЭК № 21).

11. Права субъектов персональных данных

Субъект вправе:

  • получить доступ к своим данным (ст. 14 152-ФЗ);
  • потребовать исправления или удаления;
  • отозвать согласие;
  • обратиться в Роскомнадзор с жалобой.

Укажите контакты для обращений: email или почтовый адрес ответственного лица.

12. Ответственный за организацию обработки ПД

С 01.09.2022 (266-ФЗ) ст. 22.1 152-ФЗ требует назначить ответственного за организацию обработки персональных данных — это российский аналог европейского DPO, но с отдельным регулированием. Укажите его должность и контакты в политике.

13. Актуальность и пересмотр

Политика должна поддерживаться в актуальном состоянии. Укажите дату последнего обновления и порядок внесения изменений.

Где размещать политику

Тип бизнеса Где размещать
Сайт / интернет-магазин Отдельная страница, ссылка в подвале сайта
Мобильное приложение В настройках приложения + ссылка в App Store/Play
Только офлайн На информационном стенде + по запросу клиента
Оба канала На сайте + на стенде

Ссылка в подвале сайта должна быть кликабельной и видимой на каждой странице, особенно на страницах с формами сбора данных. Документ должен быть доступен без авторизации — это прямое требование закона.

Типичные ошибки в политике

Каждая из этих ошибок — потенциальный повод для штрафа или предписания при проверке.

Ошибка 1: Скопирована чужая политика Роскомнадзор сличает политику с реальными процессами. Если в документе написано «не передаём данные третьим лицам», а вы используете AmoCRM, Яндекс.Метрику или платёжный агрегатор — это нарушение. Сервис ПдПро формирует политику под ваш реальный профиль бизнеса на основе ответов на вопросы мастера — без шаблонных пустышек.

Ошибка 2: Нет конкретных сроков хранения «Данные хранятся до достижения целей» — не подходит. Нужны конкретные сроки или чёткие критерии. Сервис проверяет наличие сроков хранения для каждой цели обработки автоматически.

Ошибка 3: Не обновляется после изменений в бизнес-процессах Подключили новую CRM, добавили чат-бот, начали SMS-рассылки — политику нужно обновить. В ПдПро политика генерируется заново за несколько минут — дешевле и быстрее, чем вносить правки вручную.

Ошибка 4: Нет ссылки на ответственного за обработку ПД С 01.09.2022 назначение ответственного лица и указание его контактов — обязательное требование ст. 22.1 152-ФЗ. Отсутствие — повод для предписания. Сервис включает блок об ответственном лице в политику и формирует приказ о его назначении.

Ошибка 5: Документ недоступен без авторизации Политика должна быть общедоступной — до любой регистрации или входа в аккаунт.

Ошибка 6: Ссылка на GDPR вместо 152-ФЗ Часть шаблонов из интернета написана под европейское регулирование. Термин «DPO» из GDPR — не российский; в 152-ФЗ используется «ответственный за организацию обработки ПД» (ст. 22.1). Для российского бизнеса актуален 152-ФЗ, не GDPR.

Ошибка 7: Локализация — ссылка на устаревшую статью Многие политики ссылаются на «ст. 18 152-ФЗ» как основание требования хранить данные в России. Актуальная норма — ст. 18.1 ч. 5 в редакции 23-ФЗ от 28.02.2025: с 01.07.2025 использование зарубежных баз данных для хранения ПД граждан РФ прямо запрещено. Сервис автоматически использует актуальные ссылки на законодательство.

Ошибка 8: Согласие включено в текст политики С 01.09.2025 (156-ФЗ от 24.06.2025) согласие на обработку ПД должно оформляться как отдельный документ — его нельзя встраивать в политику, договор или иной документ. Сервис формирует согласие как самостоятельный документ, отдельно от политики.

Штрафы по ч. 3 ст. 13.11 КоАП действуют с 30.05.2025. Роскомнадзор мониторит сайты автоматически. Пока вы читаете эту статью — проверка вашего сайта могла уже произойти. Сформировать политику за 10 минут →

Шаблон структуры политики

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
[Полное наименование организации]
Редакция: [дата]

1. Общие положения
2. Понятия и определения
3. Принципы обработки персональных данных
4. Цели и правовые основания обработки
5. Категории субъектов и перечень обрабатываемых данных
6. Порядок и условия обработки
7. Сроки хранения персональных данных
8. Передача персональных данных
9. Трансграничная передача персональных данных
10. Меры по защите персональных данных
11. Права субъектов персональных данных
12. Ответственный за организацию обработки ПД
13. Заключительные положения

Раздел о трансграничной передаче — не факультативный. Если вы используете любые зарубежные сервисы (аналитика, рассылки, платёжные шлюзы, CRM), этот раздел обязателен.

Как часто обновлять политику

Политику нужно актуализировать при:

  • изменении бизнес-процессов (новые системы, новые виды данных);
  • изменении законодательства;
  • смене ответственного лица;
  • новых случаях передачи данных третьим лицам;
  • плановом ежегодном аудите.

Минимум — один раз в год проверяйте актуальность документа. В 2025–2026 гг. изменения были особенно значительными: вступили в силу 266-ФЗ, 23-ФЗ и 156-ФЗ. Политики, написанные до 2024 года, почти наверняка требуют обновления.

Ответственность за отсутствие политики

По ч. 3 ст. 13.11 КоАП РФ (в ред. 420-ФЗ от 30.11.2024, вступила в силу 30.05.2025):

Субъект Штраф
Граждане 1 500 — 3 000 ₽
Должностные лица 6 000 — 12 000 ₽
ИП 10 000 — 20 000 ₽
Юридические лица 30 000 — 60 000 ₽

Состав ч. 3 — непубликация или необеспечение открытого доступа к политике. Подсостава «повторное нарушение» в этой части нет: повторность предусмотрена только для ч. 1, 2, 5, 8 ст. 13.11. Скидка 50% на оплату штрафов по ст. 13.11 не применяется (прямая норма 420-ФЗ).

Роскомнадзор проверяет наличие политики автоматически — сканирует сайты без предупреждения.

Чек-лист по политике обработки ПД

  • Документ создан и размещён в открытом доступе (без авторизации)
  • Содержит все обязательные разделы, включая трансграничную передачу
  • Соответствует реальным процессам в компании
  • Указан ответственный за организацию обработки ПД и его контакты (ст. 22.1)
  • Основание локализации — ст. 18.1 ч. 5 + 23-ФЗ (с 01.07.2025)
  • Согласие оформлено как отдельный документ, не часть политики (156-ФЗ, с 01.09.2025)
  • Конкретные сроки хранения для каждой цели обработки
  • На сайте есть ссылка в подвале каждой страницы
  • Дата последнего обновления актуальна

ПдПро формирует до 38 документов 152-ФЗ, включая политику обработки ПД, согласия, приказы и уведомления, — за 10 минут в мастере. Стоимость: 2 990 ₽ на 6 месяцев или 4 990 ₽ навсегда. Без юриста. Без копипаста.

Юрист за разовую разработку пакета документов берёт от 30 000 ₽. Один штраф для юрлица — до 60 000 ₽. Стоимость ПдПро окупается с первой проверки.

Сформировать пакет документов →

Нужны документы по 152-ФЗ?

Проверьте свой бизнес бесплатно — узнайте какие документы нужны

Мы используем cookie для работы сервиса и аналитики. Подробнее