инструкция 22 декабря 2026 По состоянию на 22 декабря 2026

Политика для соцсетей и каналов

Q: Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблоны без адаптации создают риски: они не отражают фактические категории ПДн оператора, его реальные цели обработки и используемые сервисы. РКН при проверке оценивает соответствие политики фактической обработке. Несоответствие — основание для предписания. Шаблон можно использовать как структурную основу, но каждый раздел требует заполнения под конкретную деятельность оператора.

Политика обработки персональных данных — обязательный документ для любого оператора по ч. 2 ст. 18.1 ФЗ-152, включая тех, кто собирает ПДн через соцсети, мессенджер-каналы и иные цифровые платформы.

Отсутствие политики или её несоответствие требованиям влечёт штраф от 30 000 до 60 000 ₽ по ч. 3 ст. 13.11 КоАП. С 01.09.2025 любое согласие пользователя, встроенное в описание канала или текст поста, юридически недействительно — ФЗ-156 от 24.06.2025 требует отдельного документа.

→ Если вы юрист и сопровождаете оператора, который ведёт соцсети или Telegram-канал, — ниже пошаговый алгоритм приведения ОРД в соответствие.

Операторы персональных данных, взаимодействующие с аудиторией через ВКонтакте, Telegram, YouTube и иные платформы, часто не воспринимают такие каналы как точку сбора ПДн. Между тем подписка, форма обратной связи, комментарий с email или телефоном — это уже обработка. Роскомнадзор проверяет наличие политики через публичный поиск; её отсутствие выявляется в первые минуты проверки. Ниже — шесть шагов, которые позволяют юристу последовательно закрыть все требования ФЗ-152 применительно к соцсетям и каналам.

Шаг 1. Определите, какие ПДн собирает канал или аккаунт

Перечислите все точки сбора данных: форма заявки в описании канала, сбор через бота, ответы на опросы с контактной информацией, комментарии, переписка в личных сообщениях. Для каждой точки зафиксируйте категорию ПДн — общие (имя, email, телефон), специальные (ст. 10 ФЗ-152) или биометрические (ст. 11 ФЗ-152).

Если через канал собираются медицинские или иные специальные категории ПДн — условия обработки и требования к согласию жёстче: ст. 10 ФЗ-152 допускает её только в исключительных случаях. Для большинства маркетинговых и информационных каналов достаточно общих категорий.

«Ст. 3 ФЗ-152 относит к персональным данным любую информацию, позволяющую прямо или косвенно идентифицировать физическое лицо. Это означает, что email-адрес, никнейм в сочетании с номером телефона или IP-адрес в ряде случаев квалифицируются как ПДн.»

На выходе шага 1 должен быть реестр категорий ПДн с привязкой к конкретным каналам обработки. Этот реестр ляжет в основу политики и уведомления в РКН по ст. 22 ФЗ-152.

Шаг 2. Проверьте уведомление в реестре операторов РКН

По ст. 22 ФЗ-152 оператор обязан уведомить Роскомнадзор до начала обработки ПДн. Уведомление подаётся через pd.rkn.gov.ru с использованием ЕСИА или УКЭП по форме Приказа РКН №180 от 28.10.2022. Срок включения в реестр — 30 дней.

Канал уже работает, а уведомление не подавалось?

Если юрист обнаружил, что оператор собирает ПДн через соцсети без уведомления в реестре РКН — нарушение уже существует. Штраф по ч. 10 ст. 13.11 КоАП составляет от 100 000 до 300 000 ₽. Устранение нарушения до возбуждения дела существенно снижает риск. Специалисты DATUM подготовят уведомление по Приказу РКН №180 и сопроводят включение в реестр.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Если уведомление подавалось ранее, но канал добавился позже — проверьте, отражены ли новые категории ПДн и новые цели обработки в актуальной записи реестра. Несоответствие реальной обработки сведениям в реестре — самостоятельное основание для предписания РКН.

Как составить политику обработки ПДн для соцсетей и каналов?

Политика — это публичный документ. По ч. 2 ст. 18.1 ФЗ-152 оператор обязан обеспечить неограниченный доступ к нему. Для соцсетей и каналов это означает постоянную ссылку в описании аккаунта или канала.

Шаг 3. Структурируйте политику по обязательным разделам

Политика должна содержать следующие элементы согласно ч. 2 ст. 18.1 ФЗ-152 и сложившейся практике проверок РКН:

Обязательные разделы политики обработки ПДн

Наименование и реквизиты оператора, контактные данные ответственного по ст. 22.1 ФЗ-152
Цели и правовые основания обработки ПДн для каждого канала (ст. 6 ФЗ-152 — перечень оснований)
Перечень обрабатываемых категорий ПДн с указанием источников получения
Порядок, условия обработки и хранения ПДн, включая сроки хранения по каждой цели
Права субъектов ПДн и порядок их реализации (ст. 14–21 ФЗ-152), включая срок ответа — 10 рабочих дней

Если оператор передаёт ПДн третьим лицам — подрядчикам по таргетинговой рекламе, CRM-системам, платформам рассылок — в политике должны быть указаны категории получателей и основания передачи. Передача без надлежащего основания квалифицируется по ч. 1 ст. 13.11 КоАП.

«Ч. 2 ст. 18.1 ФЗ-152 устанавливает перечень сведений, которые оператор обязан включить в политику: цели обработки, правовые основания, состав и категории ПДн, сроки хранения, порядок уничтожения при достижении целей.»

Шаг 4. Проверьте трансграничную составляющую

Большинство западных и части азиатских платформ обрабатывают данные за пределами России. Если ПДн российских граждан уходят на серверы в страны, не обеспечивающие адекватную защиту, — требуется уведомление РКН по ст. 12 ФЗ-152 до начала такой передачи.

Реальный кейс из практики: компания вела Telegram-канал с формой подписки на сторонний email-сервис с серверами в ЕС. РКН при плановой проверке квалифицировал это как трансграничную передачу без уведомления. Оператор получил предписание устранить нарушение; своевременное уведомление закрыло бы вопрос до проверки.

В политике для соцсетей необходимо прямо указать, передаются ли ПДн за рубеж, в какие страны и на каком основании. Отсутствие этого раздела — один из индикаторов риска по методологии плановых проверок РКН.

Если юрист выявил трансграничную передачу ПДн через платформы соцсетей — уведомление РКН подаётся до начала передачи. Просроченное уведомление не освобождает от ответственности, но снижает её при добровольном устранении. Специалисты DATUM подготовят уведомление и оценят перечень стран адекватной защиты по актуальной редакции перечня РКН.

Собрать ОРД под ключ

Какие согласия нужны после 01.09.2025 по ФЗ-156?

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется исключительно отдельным документом и не может быть встроено в договор, оферту, политику конфиденциальности или описание канала. Ранее полученные согласия, оформленные в составе других документов, обратной силы закон не имеет — их не нужно переоформлять принудительно, если они соответствовали требованиям на момент получения.

Шаг 5. Подготовьте отдельные согласия для каждого канала сбора

Для соцсетей и каналов типовая ситуация: форма сбора лидов («оставьте email для получения материалов»). С 01.09.2025 такая форма должна сопровождаться отдельным согласием с обязательными реквизитами по ст. 9 ФЗ-152:

ФИО субъекта и его контактные данные
наименование и реквизиты оператора
цель обработки ПДн
перечень персональных данных, на обработку которых даётся согласие
перечень действий с ПДн, общее описание используемых оператором способов обработки
срок действия согласия и способ его отзыва

Чекбокс «Я согласен с политикой конфиденциальности» без отдельного текста согласия — недостаточный механизм. РКН при проверке запрашивает форму согласия как самостоятельный документ. Нарушение требований к форме согласия квалифицируется по ч. 2 ст. 13.11 КоАП: штраф для юрлица составляет от 300 000 до 700 000 ₽.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (вступила в силу 01.09.2025): согласие субъекта на обработку его персональных данных должно быть оформлено в виде отдельного документа, не объединённого с иными соглашениями или документами оператора.»

Кого назначить ответственным за обработку ПДн по ст. 22.1?

Шаг 6. Назначьте ответственного и оформите внутренние акты

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Назначение оформляется приказом руководителя. В документе фиксируются: ФИО, должность, круг обязанностей (взаимодействие с РКН, ответы субъектам, ведение журналов, контроль за исполнением политики).

Для оператора, ведущего соцсети, функции ответственного часто совмещают с должностью SMM-менеджера или маркетолога — это допустимо, если лицо реально выполняет обязанности и ознакомлено с требованиями ФЗ-152. Формальное назначение без фактического исполнения не защищает от ответственности при проверке.

Помимо приказа, минимальный пакет ОРД для оператора с соцсетями включает: политику обработки ПДн (публичная), регламент реагирования на запросы субъектов, журнал учёта обращений, согласия для каждого канала сбора, договор-поручение с каждым подрядчиком, получающим ПДн (таргетолог, CRM, рассылочный сервис).

Типовые ситуации: как работает ст. 13.11 КоАП для операторов в соцсетях

Ситуация 1. Политика не опубликована или размещена в закрытом разделе сайта. Оператор вёл активный Telegram-канал с формой сбора email. Ссылка на политику в описании отсутствовала; сама политика находилась на сайте, но без прямого указания в описании канала. РКН по жалобе подписчика проверил канал, составил протокол по ч. 3 ст. 13.11 КоАП. Штраф — от 30 000 до 60 000 ₽. Требование: разместить постоянную ссылку в описании канала. Стратегия защиты: оперативное устранение + ходатайство о замене штрафа на предупреждение для микропредприятий по ст. 4.1.1 КоАП.

Ситуация 2. Согласие встроено в пользовательское соглашение после 01.09.2025. Компания-оператор обновила политику конфиденциальности, включив в её текст раздел «Нажимая кнопку подписки, вы соглашаетесь на обработку ПДн». С 01.09.2025 такой механизм не соответствует ФЗ-156 — согласие должно быть отдельным документом. Нарушение квалифицируется по ч. 2 ст. 13.11 КоАП: штраф для юрлица — от 300 000 до 700 000 ₽. Повторное нарушение по ч. 2.1 — от 1 000 000 до 1 500 000 ₽.

Ситуация 3. Отсутствует договор-поручение с таргетологом. Оператор передал базу email-адресов подписчиков внешнему специалисту по таргетированной рекламе без договора-поручения. Такая передача квалифицируется как обработка ПДн третьим лицом без надлежащего основания по ст. 6 ФЗ-152 — нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Оператор несёт ответственность за действия подрядчика, даже если тот действовал самостоятельно.

Услуги DATUM по теме

Комплект ОРД под ключ — политика, согласия, приказы, журналы для операторов любого типа
Аудит соответствия 152-ФЗ — проверка всего пакета ОРД по чек-листу из 38 пунктов
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн, ведущего соцсети?

Минимальный пакет включает: политику обработки ПДн (публичная, ссылка в описании каждой площадки), отдельные согласия для каждой формы сбора ПДн, приказ о назначении ответственного по ст. 22.1 ФЗ-152, уведомление в реестре РКН по ст. 22 ФЗ-152, договоры-поручения со всеми подрядчиками, получающими ПДн (таргетологи, CRM, рассылочные сервисы), журнал учёта обращений субъектов. Отсутствие любого из них — основание для штрафа по соответствующей части ст. 13.11 КоАП.

2. Как составить политику обработки ПДн для Telegram-канала или аккаунта ВКонтакте?

Политика составляется по требованиям ч. 2 ст. 18.1 ФЗ-152 и должна включать: реквизиты оператора, цели и правовые основания обработки (ст. 6 ФЗ-152), перечень категорий ПДн, сроки хранения, порядок реализации прав субъектов (срок ответа — 10 рабочих дней по ст. 20 ФЗ-152), сведения о передаче ПДн третьим лицам и за рубеж. Документ размещается по постоянной ссылке в описании канала или аккаунта. Использование шаблонов допустимо, но требует обязательной адаптации под фактическую обработку оператора.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным может быть любой сотрудник оператора-юрлица: штатный юрист, маркетолог, руководитель. Назначение оформляется приказом с указанием конкретных обязанностей: взаимодействие с РКН, ответы на обращения субъектов, контроль за соблюдением политики. Если в штате нет подходящего специалиста — функцию можно передать на аутсорсинг; договор с DPO-аутсорсером служит подтверждением исполнения требования ст. 22.1 ФЗ-152.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Шаблоны, взятые без адаптации, создают риски: они не отражают фактические категории ПДн оператора, его реальные цели обработки и используемые сервисы. РКН при проверке оценивает соответствие политики фактической обработке. Несоответствие — основание для предписания. Шаблон можно использовать как структурную основу, но каждый раздел требует заполнения под конкретную деятельность оператора.

5. Какие согласия нужно переделать после 01.09.2025 в связи с ФЗ-156?

Переделывать нужно согласия, которые встроены в текст договора, оферты, политики конфиденциальности или иных документов и получены после 01.09.2025. Согласия, полученные до 01.09.2025 в составе других документов, обратной силы поправки не имеют — если они соответствовали требованиям на момент получения, переоформление не обязательно. Все новые согласия с 01.09.2025 должны быть оформлены отдельным документом с полным перечнем реквизитов ст. 9 ФЗ-152.

Итог

Политика обработки ПДн для соцсетей и каналов — это не формальность, а работающий инструмент защиты оператора при проверке РКН. Шесть шагов: инвентаризация точек сбора, проверка реестра, структурирование политики, анализ трансграничной составляющей, актуализация согласий по ФЗ-156 и назначение ответственного — закрывают основные основания для штрафов по ст. 13.11 КоАП.

Практика DATUM по сопровождению операторов в части ОРД охватывает все типы цифровых площадок — от корпоративных сайтов до Telegram-каналов с многотысячной аудиторией. Мы подготовили полный пакет ОРД для более чем 300 операторов различных отраслей.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

22 декабря 2026 года