инструкция 13 января 2027 По состоянию на 13 января 2027

Политика и пользовательское соглашение: разграничение

Политика обработки персональных данных и пользовательское соглашение — два разных документа с разными правовыми основаниями, адресатами и обязательными реквизитами.

Смешение этих документов в один или подмена одного другим создаёт нарушение ст. 18.1 ФЗ-152 и даёт РКН основание для штрафа по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽ для юрлица), а при нарушении требований к согласию — по ч. 2 (300–700 тыс. ₽).

Если вы юрист и разрабатываете ОРД для оператора ПДн — эта инструкция даст чёткую схему разграничения, актуальную с учётом ФЗ-156 от 24.06.2025. → Проверьте пакет документов до проверки РКН.

С 01.09.2025 вступили в силу поправки ФЗ-156 от 24.06.2025, изменившие ч. 1 ст. 9 ФЗ-152: согласие на обработку персональных данных должно оформляться отдельным документом и не может быть частью договора, оферты или пользовательского соглашения. Это окончательно закрыло вопрос о допустимости «совмещённых» документов. Юристу, который готовит ОРД для оператора, необходимо понимать, что именно должно быть в политике конфиденциальности, что — в пользовательском соглашении, а что — только в согласии субъекта. Ниже — пошаговая инструкция по разграничению и минимальному составу каждого документа.

Шаг 1. Определите правовую природу каждого документа

Политика обработки персональных данных — публичный документ оператора, обязательный по ч. 2 ст. 18.1 ФЗ-152. Его цель — раскрыть, как оператор обрабатывает ПДн: цели, правовые основания, категории субъектов и данных, меры защиты, порядок реализации прав субъектов. Политика адресована неограниченному кругу лиц и размещается в открытом доступе. Оператор обязан обеспечить доступ к ней на своём сайте или иным способом — это прямое требование ч. 2 ст. 18.1 ФЗ-152.

Пользовательское соглашение — договорный документ между оператором и пользователем. Оно регулирует условия использования сервиса, права и обязанности сторон, ответственность, порядок разрешения споров. ПДн в нём упоминаются как предмет отношений (например, пользователь предоставляет данные для регистрации), но само соглашение не является согласием на обработку и не заменяет политику.

«Ст. 18.1 ФЗ-152 обязывает оператора публиковать политику обработки персональных данных. Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (с 01.09.2025) требует оформлять согласие субъекта отдельным документом — не частью договора или иного соглашения.»

На практике юристы нередко объединяют все три документа или прячут согласие в пользовательское соглашение через условие «нажимая кнопку, вы соглашаетесь». После 01.09.2025 такая конструкция не отвечает требованиям ч. 1 ст. 9 ФЗ-152 в новой редакции.

Готовите ОРД и не уверены в актуальности документов?

С 01.09.2025 согласия, встроенные в пользовательское соглашение или договор, не соответствуют ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Каждое такое согласие — основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽). Юристы DATUM проведут аудит пакета ОРД по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Установите обязательные реквизиты политики обработки ПДн

Состав политики конфиденциальности задан ч. 2 ст. 18.1 ФЗ-152. Документ должен содержать: наименование и контактные данные оператора, цели обработки ПДн, правовые основания по каждой цели, перечень обрабатываемых категорий ПДн, категории субъектов, способы обработки (автоматизированная, неавтоматизированная, смешанная), срок обработки и хранения, порядок уничтожения ПДн при достижении целей или по требованию субъекта.

Дополнительно политика должна описывать: порядок реализации прав субъектов по ст. 14–21 ФЗ-152 (доступ, уточнение, удаление, блокирование), передачу ПДн третьим лицам с указанием категорий получателей, трансграничную передачу при наличии, меры защиты в общем виде. Если оператор передаёт обработку по поручению (ст. 6 ч. 3 ФЗ-152), это тоже отражается в политике.

«Ч. 2 ст. 18.1 ФЗ-152 устанавливает минимальный состав политики обработки персональных данных. Невыполнение обязанности по её публикации — состав ч. 3 ст. 13.11 КоАП: штраф 30–60 тыс. ₽ для юридического лица.»

Распространённая ошибка — публикация «политики» объёмом один-два абзаца или заимствование шаблона без адаптации под реальные процессы оператора. РКН при проверке сверяет содержание политики с фактической обработкой: если оператор использует сервисы аналитики, но политика их не упоминает — это нарушение ст. 5 ФЗ-152 (принцип прозрачности).

Шаг 3. Определите, что должно быть в пользовательском соглашении

Пользовательское соглашение регулирует договорные отношения — условия доступа к сервису, права на использование контента, ограничение ответственности, порядок изменения условий. ПДн в нём упоминаются в объёме, необходимом для исполнения договора: например, что пользователь предоставляет e-mail для регистрации и что его данные обрабатываются в соответствии с политикой конфиденциальности (с гиперссылкой).

Ключевое правило после 01.09.2025: пользовательское соглашение не может содержать согласие на обработку ПДн. Ссылка на политику в тексте соглашения допустима, но она не заменяет отдельного согласия. Если для регистрации нужно получить согласие на рассылку, на обработку биометрии или на передачу данных третьим лицам — это отдельный документ с реквизитами, предусмотренными ч. 4 ст. 9 ФЗ-152.

Одновременно пользовательское соглашение может содержать ссылку на ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — фамилию, должность или контактный адрес, — что упрощает реализацию прав субъектами. Обязательного требования нет, но это снижает нагрузку на службу поддержки.

Шаг 4. Составьте согласие субъекта как отдельный документ

С 01.09.2025 ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 требует, чтобы согласие на обработку ПДн было оформлено отдельно от любых иных документов. Обязательные реквизиты согласия по ч. 4 ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с ПДн, на которые даётся согласие, общий срок согласия и срок его действия, способ отзыва.

«Ч. 4 ст. 9 ФЗ-152 — перечень обязательных реквизитов письменного согласия. ФЗ-156 от 24.06.2025 (действует с 01.09.2025) запрещает включать согласие в состав другого документа. Нарушение требований к согласию — ч. 2 ст. 13.11 КоАП: 300–700 тыс. ₽ для юрлица, при повторности — до 1,5 млн ₽.»

Ранее полученные согласия, встроенные в договор или пользовательское соглашение до 01.09.2025, переоформлять не требуется — ФЗ-156 не имеет обратной силы. Однако новые согласия, собираемые после 01.09.2025, должны соответствовать обновлённым требованиям. Это затрагивает регистрационные формы, чекбоксы, всплывающие окна на сайтах и мобильных приложениях.

Для согласия на распространение ПДн по ст. 10.1 ФЗ-152 действует дополнительное правило: оно должно быть выделено в отдельный блок с указанием запретов и ограничений на использование данных. Молчание субъекта по умолчанию означает, что данные не подлежат распространению.

Если вы юрист и собираете ОРД под ключ — учтите, что с 01.09.2025 все согласия требуют переработки. До истечения 30 дней с момента уведомления РКН о начале обработки пакет должен быть готов (ч. 4 ст. 22 ФЗ-152). Юристы DATUM собирают 38-документный пакет ОРД от 45 000 ₽.

Собрать ОРД под ключ

Шаг 5. Назначьте ответственного по ст. 22.1 и отразите это в документах

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1 ФЗ-152). Требования к квалификации закреплены в ч. 4 ст. 22.1. Назначение оформляется приказом руководителя. Ответственный — не обязательно штатный сотрудник: допускается аутсорсинг функции DPO.

В политике конфиденциальности контактные данные ответственного за обработку ПДн нужно указывать явно: ФИО или должность, e-mail или почтовый адрес. Это позволяет субъектам реализовывать права по ст. 14–21 ФЗ-152 — направлять запросы об уточнении, блокировании, удалении ПДн. Срок ответа оператора по ст. 20 ФЗ-152 — 10 рабочих дней с момента обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.

Если ответственный меняется, изменения отражаются в политике и в уведомлении РКН по форме Приказа РКН №180 от 28.10.2022. Подача уведомления об изменении сведений — через pd.rkn.gov.ru с УКЭП или через ЕСИА.

Шаг 6. Уведомите РКН о начале обработки

До начала обработки ПДн оператор обязан направить уведомление в РКН по ст. 22 ФЗ-152. Форма утверждена Приказом РКН №180 от 28.10.2022. Уведомление подаётся через pd.rkn.gov.ru. После проверки сведений РКН включает оператора в реестр операторов ПДн — в течение 30 дней.

В уведомлении указывают: наименование и адрес оператора, цели обработки, категории ПДн, категории субъектов, правовые основания, способы обработки, меры защиты (в общем виде), данные ответственного лица по ст. 22.1, сведения о трансграничной передаче при наличии. Сведения в уведомлении должны совпадать с содержанием политики — расхождение фиксируется при проверке.

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН до начала обработки. Неуведомление или нарушение срока — ч. 10 ст. 13.11 КоАП: штраф 100–300 тыс. ₽ для юрлица.»

Если оператор уже обрабатывает ПДн, но не стоит в реестре — это самостоятельный состав нарушения. Проверить статус в реестре можно на pd.rkn.gov.ru в открытом поиске.

Как разграничить документы на практике: типовые ситуации

Ситуация 1. Интернет-магазин публикует единый документ «Политика конфиденциальности и пользовательское соглашение». Это нарушение ст. 18.1 ФЗ-152 (политика не выделена) и потенциальное нарушение ч. 1 ст. 9 ФЗ-152, если документ содержит блок согласия. РКН при плановой проверке квалифицирует это по ч. 3 ст. 13.11 (штраф 30–60 тыс. ₽). Если в объединённом документе нет обязательных реквизитов политики — нарушение может быть квалифицировано и по ч. 1 ст. 13.11 (150–300 тыс. ₽). Стратегия: разделить на два независимых документа, перенести блок согласия в отдельную форму.

Ситуация 2. SaaS-сервис получает согласие на обработку ПДн через чекбокс «Принимаю условия пользовательского соглашения». До 01.09.2025 такая конструкция была распространённой. После 01.09.2025 она не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156: согласие не оформлено отдельным документом. Основание для штрафа по ч. 2 ст. 13.11 КоАП — 300–700 тыс. ₽. Стратегия: внедрить отдельную форму согласия с обязательными реквизитами по ч. 4 ст. 9 ФЗ-152 и отдельный чекбокс только для согласия, не совмещённый с принятием условий.

Ситуация 3. Политика конфиденциальности на сайте не обновлялась два года, данные ответственного по ст. 22.1 отсутствуют, уведомление РКН подавалось, но сведения в нём не совпадают с фактической обработкой. Это комплексное нарушение: ч. 3 ст. 13.11 (политика не отвечает требованиям ч. 2 ст. 18.1) + возможная ч. 1 ст. 13.11 (обработка вне заявленных целей). Стратегия: обновить политику, актуализировать уведомление РКН через pd.rkn.gov.ru, назначить ответственного приказом.

Как это выглядит на практике

Кейс 1. Региональный e-commerce-оператор (Приволжский ФО, осень 2025) прошёл плановую проверку РКН. Политика конфиденциальности была опубликована на сайте, но включала встроенный блок согласия с формулировкой «принимая политику, вы даёте согласие на обработку». После 01.09.2025 РКН квалифицировал этот блок как нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 и возбудил дело по ч. 2 ст. 13.11 КоАП. Юрист оператора на стадии рассмотрения дела представил доказательства оперативного устранения нарушения и отсутствия умысла; итоговый штраф составил сумму в нижней части диапазона. До проверки компания не проводила аудит ОРД.

Кейс 2. SaaS-компания (Центральный ФО, начало 2026) обратилась в DATUM после получения запроса РКН в ходе внеплановой проверки. Проверка началась по жалобе субъекта: он не мог найти контакты ответственного за обработку ПДн по ст. 22.1. При аудите выяснилось, что ответственный был назначен, но его данные не были внесены ни в политику, ни в уведомление РКН. Юристы DATUM подготовили пакет документов: обновлённую политику, уточнённое уведомление РКН, приказ о назначении ответственного и ответ на запрос субъекта в течение 10 рабочих дней по ст. 20 ФЗ-152. Производство по делу прекратили в связи с устранением нарушения до вынесения постановления.

Что подготовить оператору ПДн

Политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованную на сайте в открытом доступе
Пользовательское соглашение без блока согласия на обработку ПДн (после 01.09.2025 — строго отдельно)
Отдельные формы согласий с реквизитами по ч. 4 ст. 9 ФЗ-152 для каждой цели обработки
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Актуальное уведомление в реестре РКН (pd.rkn.gov.ru), соответствующее фактической обработке

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет из 38 документов, включая политику, согласия, приказы и регламенты
Аудит соответствия 152-ФЗ — проверка текущего пакета ОРД по чек-листу с отчётом и планом устранения
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный комплект: политика обработки ПДн (ч. 2 ст. 18.1 ФЗ-152), опубликованная в открытом доступе; приказ о назначении ответственного (ст. 22.1 ФЗ-152); формы согласий субъектов (ч. 4 ст. 9 ФЗ-152) — отдельными документами с 01.09.2025; уведомление в реестре РКН (ст. 22 ФЗ-152); регламент реагирования на запросы субъектов и инциденты; журналы учёта обращений. Полный пакет ОРД включает 38 документов.

2. Как составить политику обработки ПДн?

Структура политики определяется ч. 2 ст. 18.1 ФЗ-152. Обязательны: данные оператора, цели и правовые основания обработки, категории ПДн и субъектов, способы и сроки обработки, порядок реализации прав субъектов, контакты ответственного по ст. 22.1. Политику нельзя брать из интернета без адаптации под конкретные процессы оператора: РКН сверяет содержание с фактической обработкой. Документ должен отражать все цели, включая использование аналитических сервисов.

3. Кого назначить ответственным по ст. 22.1?

Закон не требует специальной должности — ответственным может быть действующий сотрудник (юрист, HR, ИБ-специалист) при наличии у него достаточной квалификации по ч. 4 ст. 22.1 ФЗ-152. Назначение оформляется приказом руководителя. Функцию можно передать на аутсорсинг: в этом случае оформляется договор поручения обработки по ст. 6 ч. 3 ФЗ-152 и соответствующий приказ. Контакты ответственного указываются в политике конфиденциальности и в уведомлении РКН.

4. Можно ли использовать шаблон политики из интернета?

Шаблон допустим как основа, но требует обязательной адаптации. РКН при проверке анализирует соответствие содержания политики реальным процессам обработки. Если оператор использует, например, сервисы аналитики (передача данных третьим лицам) или мессенджеры для общения с клиентами, но в политике этого нет — нарушение ст. 5 ФЗ-152 (принцип прозрачности) и потенциально ч. 1 ст. 13.11 КоАП. Стандартный шаблон без адаптации создаёт риск штрафа 150–300 тыс. ₽.

5. Какие согласия нужны после 01.09.2025?

После 01.09.2025 (ФЗ-156 от 24.06.2025) каждое согласие на обработку ПДн должно быть отдельным документом с реквизитами по ч. 4 ст. 9 ФЗ-152. Под новые требования попадают: согласие на рассылки, на передачу данных партнёрам, на обработку биометрии, на распространение ПДн по ст. 10.1 ФЗ-152. Согласия, встроенные в договор или пользовательское соглашение до 01.09.2025, переоформлять не требуется. Новые регистрационные формы после этой даты должны собирать согласие через отдельный документ или отдельный чекбокс с полным текстом согласия.

6. Чем отличается политика от пользовательского соглашения по структуре?

Политика конфиденциальности — публичный документ оператора, обязательный по ст. 18.1 ФЗ-152, описывает порядок обработки ПДн и права субъектов. Пользовательское соглашение — договорный документ, регулирующий условия использования сервиса. Политика не устанавливает коммерческих условий; соглашение не является согласием на обработку ПДн. После 01.09.2025 согласие — исключительно отдельный документ. Все три документа должны существовать независимо друг от друга.

Итог

Политика обработки ПДн, пользовательское соглашение и согласие субъекта — три документа с различными правовыми основаниями и требованиями. После 01.09.2025 их смешение в любой форме создаёт нарушения ч. 1 ст. 9 и ч. 2 ст. 18.1 ФЗ-152, которые квалифицируются по ч. 2 и ч. 3 ст. 13.11 КоАП с совокупным штрафом до 760 тыс. ₽ для юрлица. Актуализация уведомления РКН и назначение ответственного по ст. 22.1 завершают минимальный комплаенс.

DATUM сопровождает операторов ПДн в разработке полного пакета ОРД и при взаимодействии с РКН — от первичного аудита до защиты в арбитраже.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.

13 января 2027 года