инструкция 21 декабря 2026 По состоянию на 21 декабря 2026

Политика и оферта: разные документы или один

Политика обработки персональных данных и публичная оферта — два разных документа с разными правовыми основаниями, разными реквизитами и разными последствиями за их отсутствие.

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн запрещено включать в текст договора, оферты или политики — оно оформляется отдельным документом. Объединение политики и оферты создаёт минимум два основания для штрафа по ст. 13.11 КоАП: до 60 000 ₽ за ненадлежащую публикацию политики (ч. 3) и до 700 000 ₽ за нарушение требований к согласию (ч. 2).

Если вы юрист и сейчас разбираете, что именно должно быть в пакете ОРД клиента — эта инструкция даёт конкретный ответ по нормам и составу документов.

Смешение политики конфиденциальности и публичной оферты — одна из самых распространённых ошибок при формировании пакета ОРД. До 30.05.2025 она стоила компании символический штраф по ч. 1 ст. 13.11 КоАП в старой редакции. После вступления ФЗ-420 и ФЗ-156 нарушение тянет сразу несколько квалификаций. Инструкция разбирает, чем принципиально различаются документы, какие реквизиты обязательны для каждого и как выстроить корректный пакет ОРД с учётом требований, действующих с 01.09.2025.

Чем политика обработки ПДн отличается от публичной оферты?

Публичная оферта — инструмент гражданского права. Она регулируется ст. 435–437 ГК РФ, содержит существенные условия договора и обращена к неопределённому кругу лиц. Оферта порождает договорные обязательства в момент акцепта. К защите персональных данных она отношения не имеет.

Политика обработки персональных данных — обязательный публичный документ оператора по ч. 2 ст. 18.1 ФЗ-152. Её содержание определяет сам закон: цели обработки, правовые основания, перечень обрабатываемых ПДн, срок обработки и хранения, порядок уничтожения, права субъектов. Публикация политики — самостоятельная обязанность, не зависящая от наличия оферты.

«Ст. 18.1 ч. 2 ФЗ-152 обязывает оператора опубликовать политику обработки персональных данных в открытом доступе — на сайте или иным образом обеспечить неограниченный доступ. Отсутствие политики или её ненадлежащая публикация — состав по ч. 3 ст. 13.11 КоАП, штраф для юрлица 30 000–60 000 ₽.»

Между документами нет ни одной нормы, которая позволяла бы их объединить. Оферта — гражданско-правовой договор. Политика — административно-правовая обязанность. Разные законы, разные органы контроля, разные санкции за нарушение.

Шаг 1. Проверьте правовой статус каждого документа

Прежде чем формировать пакет ОРД, установите: какие документы уже есть у компании и как они квалифицированы. Практика показывает три типичных варианта неправомерного объединения.

Вариант А. Политика конфиденциальности включена в текст оферты как раздел или приложение. Это нарушает ч. 2 ст. 18.1 ФЗ-152: политика должна быть отдельным публично доступным документом, а не частью договора.

Вариант Б. Согласие на обработку ПДн встроено в текст оферты или политики. С 01.09.2025 это прямо запрещено ФЗ-156 от 24.06.2025: согласие — строго отдельный документ. Нарушение квалифицируется по ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽.

Вариант В. Пользователь «соглашается с политикой конфиденциальности», акцептуя оферту. После 01.09.2025 такой механизм не создаёт действительного согласия на обработку ПДн — отсутствует отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152.

Разбираете пакет ОРД клиента и нашли смешение документов?

Объединение политики и оферты — не формальная ошибка, а конкретный состав по ч. 2 и ч. 3 ст. 13.11 КоАП. После 01.09.2025 старые согласия в офертах не порождают правовых оснований для обработки ПДн. Юристы DATUM проведут аудит пакета ОРД по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Составьте политику обработки персональных данных по ст. 18.1

Политика — обязательный публичный документ. Ч. 2 ст. 18.1 ФЗ-152 определяет минимальный перечень сведений, которые должны в ней содержаться. Отсутствие любого из них — основание для предписания РКН.

Обязательные разделы политики:

наименование и контактные данные оператора;
цели обработки ПДн (каждая цель — отдельно);
правовые основания обработки по ст. 6 ФЗ-152 для каждой цели;
перечень категорий обрабатываемых ПДн;
перечень категорий субъектов;
порядок и условия обработки, включая сроки хранения;
порядок уничтожения при достижении целей или по требованию субъекта;
права субъектов и порядок их реализации;
сведения о трансграничной передаче (если осуществляется);
меры по обеспечению безопасности ПДн (общее описание).

«Ст. 18.1 ч. 1 ФЗ-152 обязывает оператора принимать меры для обеспечения соответствия обработки ПДн требованиям закона. Одна из мер — опубликование политики. Непубликация фиксируется РКН в ходе как плановой, так и документарной проверки.»

Политика публикуется на сайте оператора в разделе, доступном без регистрации и авторизации. Типичная ошибка — размещение политики только в личном кабинете пользователя: такой доступ не является «неограниченным» по смыслу закона.

Шаг 3. Оформите согласие как отдельный документ после 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152. С 01.09.2025 согласие на обработку персональных данных не может быть частью договора, оферты, политики или любого иного документа. Оно оформляется как самостоятельный документ.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

фамилия, имя, отчество субъекта;
контактные данные субъекта;
наименование и реквизиты оператора;
цель обработки;
перечень персональных данных, на обработку которых даётся согласие;
перечень действий с ПДн, на которые даётся согласие;
срок действия согласия или условие его прекращения;
способ отзыва согласия.

«Ст. 9 ч. 2 ФЗ-152 устанавливает: обязанность доказать наличие согласия лежит на операторе. Согласие, включённое в оферту или политику после 01.09.2025, не является согласием по смыслу ст. 9 ФЗ-152 — реквизиты документа не соблюдены.»

Согласия, полученные до 01.09.2025 в составе договоров или оферт, переоформлять не требуется — поправки обратной силы не имеют. Это означает, что в пакете ОРД должны сосуществовать два формата: старые согласия для ранее привлечённых субъектов и новые — для всех, кто взаимодействует с оператором после 01.09.2025.

Шаг 4. Уведомьте РКН и назначьте ответственного по ст. 22.1

Уведомление о намерении обрабатывать ПДн — отдельная обязанность по ст. 22 ФЗ-152. Форма уведомления установлена Приказом РКН №180 от 28.10.2022. Подача — через pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Срок включения в реестр операторов — 30 дней с момента подачи уведомления.

Ст. 22.1 ФЗ-152 обязывает каждое юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Это не DPO в европейском смысле, но близкая по функции роль: отвечает за соответствие внутренних процессов закону, взаимодействие с РКН, ответы на запросы субъектов.

Ч. 4 ст. 22.1 устанавливает требования к квалификации: ответственный должен знать законодательство о персональных данных. На практике это или штатный юрист с профильной компетенцией, или внешний DPO-аутсорсер.

«Неуведомление РКН о намерении осуществлять обработку ПДн или несвоевременное уведомление — состав по ч. 10 ст. 13.11 КоАП, штраф для юрлица 100 000–300 000 ₽ (в редакции с 30.05.2025).»

Если у компании нет ответственного по ст. 22.1 ФЗ-152 или уведомление в реестре РКН устарело — каждый день без актуальных данных создаёт риск штрафа 100 000–300 000 ₽. Юристы DATUM возьмут функцию ответственного на абонентское обслуживание и актуализируют уведомление через pd.rkn.gov.ru.

Подключить DPO-аутсорсинг

Как разграничить документы на практике: три типовых ситуации

Ситуация 1. Интернет-магазин с единым документом «Пользовательское соглашение». Ситуация: в одном документе объединены условия использования сайта, политика обработки ПДн и согласие на маркетинговые рассылки. Доказательства нарушения: политика не опубликована отдельно (ч. 3 ст. 13.11), согласие на рассылки включено в договор, что с 01.09.2025 не создаёт правового основания для обработки. Вероятный исход: при проверке РКН — предписание об устранении, два протокола по ч. 2 и ч. 3 ст. 13.11, штраф суммарно до 760 000 ₽. Стратегия: разделить на три документа — оферта (ГК РФ), политика (ст. 18.1 ФЗ-152), согласие на рассылки (ст. 9 ФЗ-152 с обязательными реквизитами).

Ситуация 2. B2B-платформа с обработкой ПДн сотрудников клиентов. Ситуация: платформа обрабатывает ПДн сотрудников корпоративных клиентов по договору поручения (п. 3 ст. 6 ФЗ-152). Политика опубликована для конечных субъектов, но не отражает роль обработчика по поручению. Доказательства нарушения: несоответствие реальной деятельности и уведомления в реестре РКН — основание по ч. 10 ст. 13.11. Вероятный исход: предписание об актуализации уведомления и политики. Стратегия: внести изменения в уведомление по Приказу РКН №180, добавить в политику раздел об обработке по поручению, заключить типовые DPA с клиентами.

Ситуация 3. Компания получила запрос субъекта об уничтожении ПДн. Ситуация: пользователь потребовал уничтожения своих данных, ссылаясь на ст. 21 ФЗ-152. В политике прописан срок хранения «5 лет», но правовое основание — договор, действие которого прекращено. Доказательства нарушения: при прекращении договора основание по п. 5 ст. 6 ФЗ-152 отпадает; продолжение обработки — нарушение ст. 5 (принцип ограничения хранения). Вероятный исход: неисполнение требования субъекта в срок — штраф 50 000–90 000 ₽ по ч. 5 ст. 13.11. Стратегия: закрепить в политике порядок уничтожения ПДн по истечении срока обработки и механизм реагирования на запросы субъектов с контрольными сроками.

Какие документы нужно подготовить: чек-лист для юриста

Минимальный пакет ОРД оператора ПДн

Политика обработки персональных данных — отдельный публичный документ по ст. 18.1 ФЗ-152 с обязательными разделами.
Уведомление о намерении обрабатывать ПДн — актуальное, в реестре РКН по форме Приказа №180; проверить через pd.rkn.gov.ru.
Согласия субъектов — отдельные документы по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) для всех оснований, где требуется согласие.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с описанием его функций.
Публичная оферта (договор) — отдельный документ без включения в него норм об обработке ПДн или механизмов получения согласия.

Кейс 1. Юридическая служба компании Центрального ФО (осень 2025) при подготовке к плановой проверке РКН обнаружила, что согласие на рассылки вшито в оферту ещё в 2022 году и не переоформлялось. После 01.09.2025 у компании фактически не было правового основания для продолжения маркетинговых рассылок базе в 80 000 адресов. Юристы разработали отдельный документ согласия с формой двойного подтверждения, актуализировали политику и направили уведомление об изменении сведений в реестре. Проверка прошла без предписаний.

Кейс 2. IT-платформа Северо-Западного ФО (начало 2026) получила жалобу субъекта в РКН: пользователь указал, что политика конфиденциальности недоступна без авторизации. Компания разместила политику в личном кабинете, считая это достаточным. РКН провёл документарную проверку, зафиксировал нарушение ч. 2 ст. 18.1 ФЗ-152. Штраф по ч. 3 ст. 13.11 составил сумму в нижней части диапазона. Политика перенесена в публичный раздел сайта до вынесения постановления, что учтено судом как смягчающее обстоятельство. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты, журналы.
Аудит соответствия 152-ФЗ — проверка пакета ОРД по чек-листу, отчёт с планом устранения нарушений.
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая взаимодействие с РКН.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет — политика обработки ПДн (ст. 18.1 ФЗ-152), уведомление в реестре РКН (ст. 22), приказ о назначении ответственного (ст. 22.1), согласия субъектов в случаях, когда иное правовое основание по ст. 6 ФЗ-152 отсутствует. Помимо этого — внутренние регламенты, журналы учёта запросов субъектов, инструкции для сотрудников. Полный пакет ОРД включает 38 документов; конкретный состав зависит от вида деятельности и категорий обрабатываемых ПДн.

2. Как составить политику обработки ПДн?

Политика составляется под конкретный бизнес-процесс оператора, а не копируется из шаблона. Обязательные разделы определены ч. 2 ст. 18.1 ФЗ-152: цели, основания, перечень ПДн, категории субъектов, сроки хранения, порядок уничтожения, права субъектов. Если оператор осуществляет трансграничную передачу — она тоже должна быть отражена. Политику нужно обновлять при каждом изменении состава обработки или правовых оснований.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть штатный сотрудник — как правило, юрист или специалист по информационной безопасности с подтверждённой компетенцией в области законодательства о ПДн. Ч. 4 ст. 22.1 ФЗ-152 не устанавливает обязательных квалификационных документов, но РКН на проверках запрашивает подтверждение знаний (обучение, сертификаты). Альтернатива — внешний DPO-аутсорсинг: в этом случае функция передаётся по договору, а оператор сохраняет ответственность перед РКН.

4. Можно ли использовать шаблон политики из интернета?

Использовать шаблон как основу — допустимо, но без адаптации под реальную деятельность компании он создаёт риски. РКН при проверке оценивает соответствие политики фактическим процессам обработки: если в политике указана только «обработка данных клиентов», а компания также обрабатывает ПДн сотрудников и передаёт данные подрядчикам — это нарушение ст. 18.1. Типовой шаблон без кастомизации почти никогда не отражает реальную деятельность.

5. Какие согласия нужны после 01.09.2025?

После 01.09.2025 согласие на обработку ПДн должно быть отдельным документом — его нельзя встраивать в оферту, договор, политику или пользовательское соглашение (ФЗ-156 от 24.06.2025, изменения в ст. 9 ФЗ-152). Обязательные реквизиты: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Согласия, полученные до 01.09.2025 в составе иных документов, переоформлять не нужно — поправки обратной силы не имеют.

Итог

Политика обработки ПДн и публичная оферта — документы разных правовых режимов, с разными реквизитами и разными последствиями за нарушение. Объединение или взаимное включение этих документов создаёт как минимум два состава по ст. 13.11 КоАП. С 01.09.2025 добавилось третье требование: согласие — строго отдельный документ, не входящий ни в оферту, ни в политику.

Юристы DATUM формируют пакет ОРД с учётом реальных бизнес-процессов оператора, актуализируют уведомление в реестре РКН и берут функцию ответственного по ст. 22.1 на абонентское обслуживание.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

21 декабря 2026 года