инструкция 25 декабря 2026 По состоянию на 25 декабря 2026

Где разместить политику обработки ПДн на сайте

Q: Нужно ли обновлять политику при изменении процессов обработки?

Да. Если компания подключила новый сервис, изменились цели обработки или состав ПДн — политику нужно актуализировать и опубликовать обновлённую версию. Дата последнего обновления должна быть указана в документе. Устаревшая политика, не отражающая реальной обработки, — нарушение ст. 5 ФЗ-152 и основание для протокола по ч. 1 ст. 13.11 КоАП.

Политика обработки персональных данных — обязательный публичный документ оператора по ч. 2 ст. 18.1 ФЗ-152. Её отсутствие или неправильное размещение — основание для штрафа по ч. 3 ст. 13.11 КоАП в размере 30 000–60 000 ₽.

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом — не в оферте, не в договоре, не в тексте политики. Это меняет логику размещения документов на сайте: политика и согласие теперь два разных элемента.

→ Если вы юрист и проверяете комплаенс компании по 152-ФЗ — эта инструкция даёт пошаговую схему размещения, перечень обязательных страниц и типовые ошибки, за которые РКН выписывает протоколы.

Требование публиковать политику обработки ПДн действует для любого оператора с момента начала обработки. Роскомнадзор проверяет сайт по трём точкам: доступность документа без регистрации, его полнота по ч. 2 ст. 18.1 ФЗ-152 и корректность согласий — особенно после 01.09.2025. Ниже — шесть шагов от проверки текущего состояния до финальной валидации.

Шаг 1. Проверьте, зарегистрированы ли вы в реестре операторов РКН

До размещения политики убедитесь, что уведомление о намерении обрабатывать ПДн подано в РКН по ст. 22 ФЗ-152. Подача — через портал pd.rkn.gov.ru с УКЭП или через ЕСИА. Форма уведомления — Приказ РКН №180 от 28.10.2022. Срок включения в реестр — 30 дней с момента подачи.

Если уведомление не подано, размещение политики не устраняет нарушение: ч. 10 ст. 13.11 КоАП предусматривает штраф 100 000–300 000 ₽ за неуведомление или несвоевременное уведомление. Проверить, есть ли компания в реестре, можно на pd.rkn.gov.ru в разделе поиска операторов.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН до начала обработки ПДн. Ч. 10 ст. 13.11 КоАП — штраф за неуведомление для юрлица 100 000–300 000 ₽ (в редакции с 30.05.2025).»

Шаг 2. Подготовьте текст политики по обязательным реквизитам ч. 2 ст. 18.1

Политика обработки ПДн — не свободный текст. Ч. 2 ст. 18.1 ФЗ-152 устанавливает обязательный состав: цели обработки, правовые основания, перечень обрабатываемых данных, категории субъектов, порядок уничтожения, описание мер защиты, сведения о трансграничной передаче (если есть), контакты оператора и ответственного по ст. 22.1.

Типичная ошибка — использовать шаблон из интернета без адаптации под фактическую обработку. РКН при проверке сопоставляет политику с реальными процессами: если компания использует CRM с иностранным хостингом, а трансграничная передача в политике не указана — это нарушение ч. 1 ст. 13.11. Отдельно проверяйте: согласия работников с 01.09.2025 по ФЗ-156 оформляются отдельным документом — не включайте их в текст политики.

«Ч. 2 ст. 18.1 ФЗ-152 — политика обработки ПДн должна содержать: цели, основания, перечень ПДн, категории субъектов, порядок уничтожения, меры защиты, сведения о трансгранике. Ч. 3 ст. 13.11 — штраф за непубликацию 30 000–60 000 ₽.»

Политика готова, но неясно, соответствует ли она ч. 2 ст. 18.1?

Если юрист проверяет комплаенс компании и сомневается в полноте документа — это типовая ситуация. Формальное наличие политики на сайте не защищает от штрафа: РКН оценивает содержание. Любой пропущенный обязательный раздел — основание для протокола по ч. 3 ст. 13.11. До публикации политики у вас есть возможность исправить документ без последствий.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Где именно разместить политику: обязательные точки на сайте

Ч. 2 ст. 18.1 ФЗ-152 требует, чтобы оператор обеспечил «неограниченный доступ» к политике. Роскомнадзор интерпретирует это как доступность без регистрации и входа в личный кабинет. На практике РКН проверяет три точки.

Точка 1 — подвал (footer) сайта. Ссылка на политику в подвале — стандарт, который РКН ожидает по умолчанию. Анкор: «Политика обработки персональных данных» или «Политика конфиденциальности». Допустимы оба названия — важна доступность документа, а не заголовок ссылки.

Точка 2 — страница с формой сбора ПДн. Каждая форма (регистрация, обратная связь, подписка, заявка на расчёт) должна содержать ссылку на политику рядом с чекбоксом согласия. Это требование логически вытекает из ст. 9 ФЗ-152: субъект даёт согласие, зная, как будут обрабатываться его данные.

Точка 3 — отдельная страница /privacy-policy/ или /politika-konfidentsialnosti/. Политика должна быть доступна по постоянному URL — не в PDF-файле, не в модальном окне без собственного адреса, не в разделе «Документы» за несколькими кликами. Поисковая доступность страницы повышает её обнаруживаемость при проверке.

«Ч. 2 ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику обработки ПДн и обеспечить неограниченный доступ к ней. Ч. 3 ст. 13.11 КоАП — невыполнение этой обязанности влечёт штраф для юрлица 30 000–60 000 ₽.»

Как разместить согласие субъекта с 01.09.2025 по ФЗ-156?

С 01.09.2025 согласие на обработку ПДн — отдельный документ, не объединяемый с договором, офертой или политикой конфиденциальности (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Это изменение напрямую влияет на вёрстку форм на сайте.

До 01.09.2025 распространённая практика: чекбокс «Согласен с политикой конфиденциальности и условиями обработки персональных данных» — одним действием. После — согласие должно быть отдельным документом с обязательными реквизитами по ст. 9: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Чекбокс «Согласен с политикой» теперь не равен согласию по ст. 9.

На сайте это означает: форма содержит ссылку на политику (обязательно) и отдельный чекбокс с текстом согласия или ссылкой на отдельный документ согласия. Ранее полученные согласия переоформлять не требуется — ФЗ-156 обратной силы не имеет.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку ПДн оформляется отдельным документом, не объединяется с другими. Действует с 01.09.2025.»

Если юрист проверяет формы на сайте после 01.09.2025 — каждая устаревшая форма с совмещённым чекбоксом создаёт риск штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Специалисты DATUM соберут пакет согласий по требованиям ФЗ-156 и проверят формы на сайте.

Собрать ОРД под ключ

Шаг 5. Назначьте ответственного по ст. 22.1 и укажите его в политике

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Приказ о назначении — обязательный элемент ОРД. Контактные данные ответственного или контакты для обращений субъектов должны быть указаны в политике.

Распространённая ошибка: в политике указан общий email info@ без указания на ответственное лицо. РКН при проверке запрашивает приказ о назначении и сверяет его с содержанием политики. Отсутствие приказа или расхождение — основание для предписания.

DPO-аутсорсинг по ст. 22.1 допустим: внешняя организация может выполнять функцию ответственного. В этом случае в политике указываются контакты аутсорсера. Важно: договор поручения обработки ПДн по п. 3 ст. 6 ФЗ-152 и договор с DPO — разные документы с разным правовым содержанием.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо назначает лицо, ответственное за организацию обработки ПДн. Требования к квалификации — ч. 4 ст. 22.1. Контакты ответственного публикуются в составе политики по ч. 2 ст. 18.1.»

Шаг 6. Проверьте полноту ОРД и проведите валидацию размещения

Публикация политики — один элемент из комплекта ОРД. РКН при проверке запрашивает весь пакет документов одновременно. Наличие политики на сайте при отсутствии других обязательных документов не снижает риск — протоколы составляются по каждому нарушению отдельно.

Что подготовить для полного комплаенса по размещению ПДн

Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 — опубликована на постоянном URL без регистрации.
Уведомление о намерении обрабатывать ПДн подано в РКН по ст. 22 ФЗ-152, компания включена в реестр операторов.
Приказ о назначении ответственного по ст. 22.1 — издан, контакты указаны в политике.
Отдельные согласия субъектов по ст. 9 в редакции ФЗ-156 — форма согласия не объединена с офертой или политикой (обязательно для данных, полученных после 01.09.2025).
Ссылка на политику в подвале сайта и на каждой странице с формой сбора ПДн — проверена и работает без редиректов.

После размещения проверьте: откройте сайт в режиме инкогнито (без авторизации) и пройдите по ссылке в подвале. Политика должна открываться без входа в систему, без промежуточных шагов. Проверьте каждую форму: ссылка на политику рядом с чекбоксом согласия, чекбокс не заранее активирован.

Типовые ситуации: как РКН квалифицирует нарушения при размещении

Ситуация 1. Политика есть, но только в PDF за несколькими кликами. Юрист при проверке обнаружил, что политика размещена в разделе «Документы» третьего уровня вложенности и доступна только зарегистрированным пользователям. Роскомнадзор квалифицирует отсутствие «неограниченного доступа» как нарушение ч. 2 ст. 18.1 ФЗ-152 и составляет протокол по ч. 3 ст. 13.11 КоАП. Штраф для юрлица — 30 000–60 000 ₽. Стратегия: перенести документ на постоянную страницу с прямым URL и добавить ссылку в подвал до начала проверки.

Ситуация 2. Форма на сайте — согласие совмещено с политикой до 01.09.2025. Компания не обновила форму после вступления в силу ФЗ-156. Субъект ставит галочку «Согласен с политикой конфиденциальности» — это не соответствует требованиям ст. 9 в новой редакции. РКН квалифицирует как обработку без надлежащего согласия — ч. 2 ст. 13.11, штраф 300 000–700 000 ₽ для юрлица. При повторном нарушении — ч. 2.1, штраф 1 000 000–1 500 000 ₽. Стратегия: разделить согласие и политику, обновить форму, зафиксировать дату изменения в документации.

Ситуация 3. Ответственный по ст. 22.1 не назначен или не указан в политике. При плановой проверке РКН запрашивает приказ о назначении ответственного. Документа нет, в политике контакты не указаны. Это нарушение ст. 22.1 ФЗ-152 — основание для предписания и штрафа. Стратегия: издать приказ до проверки, обновить политику, разместить обновлённую версию с датой изменения.

Как это выглядит на практике

Кейс 1. Юридический департамент торговой сети (Сибирский ФО, весна 2026) проводил внутренний аудит перед плановой проверкой РКН. Обнаружено: политика конфиденциальности размещена в подвале, но ссылка ведёт на PDF, который открывается только после авторизации в личном кабинете. Дополнительно — на 14 посадочных страницах с формами заявок ссылка на политику отсутствовала. Штраф по ч. 3 ст. 13.11 КоАП составил десятки тысяч рублей. После аудита и устранения нарушений — политика перенесена на отдельную страницу, ссылки добавлены на все формы, РКН закрыл дело без повторного протокола.

Кейс 2. IT-компания (Центральный ФО, осень 2025) не обновила формы согласия после 01.09.2025. Субъект подал жалобу в РКН на то, что его ПДн обрабатываются без надлежащего согласия по новым требованиям. РКН инициировал внеплановую проверку. Юрист компании привлёк специалистов для подготовки позиции: нарушение устранено до вынесения постановления, применена ст. 4.1.1 КоАП — штраф заменён предупреждением как для компании без предшествующих нарушений. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Комплект ОРД под ключ — политика, согласия, приказы, журналы по 152-ФЗ.
Аудит соответствия 152-ФЗ — проверка сайта, форм и документов по чек-листу из 38 пунктов.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД включает: политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, уведомление в реестре РКН по ст. 22, согласия субъектов в соответствии со ст. 9, локальные акты о мерах защиты по ст. 19 ФЗ-152. Дополнительно — журнал учёта обращений субъектов и регламент реагирования на инциденты. Полный комплект — около 38 документов в зависимости от масштаба обработки и отраслевой специфики.

2. Как составить политику обработки ПДн?

Политика составляется под фактическую обработку, а не по типовому шаблону. Необходимо описать все реальные цели (продажи, поддержка, HR, маркетинг), правовые основания по ст. 6 ФЗ-152, перечень обрабатываемых ПДн, категории субъектов, сроки хранения, меры защиты, сведения о трансграничной передаче при наличии. Документ должен соответствовать ч. 2 ст. 18.1 ФЗ-152. Использование шаблона из интернета без адаптации создаёт риск: политика будет противоречить реальным процессам и не защитит при проверке РКН.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть штатный сотрудник с достаточной квалификацией по ч. 4 ст. 22.1 ФЗ-152 или внешняя организация (DPO-аутсорсинг). Назначение оформляется приказом. Контакты ответственного указываются в политике обработки ПДн. Нельзя назначить номинальное лицо — при проверке РКН будет оценивать, реально ли это лицо выполняет функции: отвечает на запросы субъектов в течение 10 рабочих дней по ст. 20 ФЗ-152, ведёт журнал обращений, участвует в инцидентном реагировании.

4. Можно ли использовать шаблон политики из интернета?

Шаблон — это отправная точка, не готовый документ. Политика из интернета, не адаптированная под конкретного оператора, нарушает требования ч. 2 ст. 18.1 ФЗ-152: в ней указаны цели и перечни ПДн, не соответствующие реальной обработке. РКН при проверке сопоставляет политику с фактическими системами и сервисами: несоответствие — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽ для юрлица. Шаблон допустим как структурная основа при обязательной доработке под конкретную организацию.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий оператора, срок действия согласия, способ отзыва. Согласие не может быть совмещено с договором, офертой или политикой конфиденциальности. Ранее полученные согласия переоформлять не нужно — поправки не имеют обратной силы.

6. Нужно ли обновлять политику при изменении процессов обработки?

Да. Если компания подключила новый сервис (CRM, рассылочный инструмент, облачное хранилище за рубежом), изменились цели обработки или состав ПДн — политику нужно актуализировать и опубликовать обновлённую версию. Дата последнего обновления должна быть указана в документе. Устаревшая политика, не отражающая реальной обработки, — нарушение ст. 5 ФЗ-152 (принцип достаточности и соответствия целям) и основание для протокола по ч. 1 ст. 13.11 КоАП.

Итог

Требования к размещению политики обработки ПДн складываются из трёх элементов: постоянный URL без ограничений доступа, полный состав по ч. 2 ст. 18.1 ФЗ-152 и корректные согласия по ст. 9 в редакции ФЗ-156 с 01.09.2025. Каждый элемент проверяется РКН самостоятельно, нарушение любого — основание для протокола.

DATUM сопровождает операторов на всех стадиях: от составления политики и комплекта ОРД до подготовки к проверке РКН и защиты в производстве по ст. 13.11 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Уведомления и проверки РКН, обжалование по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов, подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

25 декабря 2026 года