Политика конфиденциальности SaaS-сервиса
Юрист, который впервые берётся за ОРД SaaS-оператора, сталкивается с тремя слоями: требования ФЗ-152 к содержанию политики по ст. 18.1, обязательства по уведомлению РКН по ст. 22 и ст. 22.1, и специфика SaaS — трансграничная передача данных в облачную инфраструктуру, несколько ролей (оператор, обработчик, третьи стороны). В этой инструкции — последовательность разработки политики от аудита обработки до публикации и регистрации уведомления в реестре РКН.
Шаг 1. Составьте карту обработки персональных данных в сервисе
Прежде чем писать текст политики, зафиксируйте фактическую обработку. Без этого документ будет расходиться с реальностью — что само по себе нарушение принципа достоверности (ст. 5 ФЗ-152) и создаёт риск при проверке.
Для SaaS-сервиса карта обработки включает четыре раздела.
Категории субъектов и ПДн. Разграничьте: пользователи (физические лица с аккаунтом), их контрагенты или клиенты, которых пользователи загружают в сервис, сотрудники пользователя. Для каждой категории зафиксируйте перечень данных — минимально необходимый (принцип соответствия объёма целям, ст. 5 ФЗ-152).
Цели обработки. Типовые для SaaS: исполнение договора (оказание услуги), авторизация, выставление счётов, техподдержка, аналитика, маркетинговые рассылки, логирование для безопасности. Каждая цель — отдельное правовое основание по ст. 6 ФЗ-152. Смешивать основания нельзя.
Подрядчики и третьи стороны. Перечислите все сервисы, которым передаются ПДн: облачные платформы (хостинг, CDN), платёжные шлюзы, аналитические системы, службы поддержки, рассылочные платформы. Для каждого — роль: обработчик по поручению (ст. 6 ч. 3 ФЗ-152, нужно соглашение) или самостоятельный оператор (нужно правовое основание передачи).
Трансграничная передача. Если хостинг или SaaS-зависимости находятся за рубежом — проверьте, входит ли страна в перечень обеспечивающих адекватную защиту (Приказ РКН). Для остальных стран — уведомление РКН до начала передачи по ст. 12 ФЗ-152.
Что подготовить до написания политики
- Таблица: категория субъекта — перечень ПДн — цель — правовое основание — срок хранения
- Список всех подрядчиков, обрабатывающих ПДн по поручению, с указанием страны расположения серверов
- Информация о трансграничной передаче: страны, категории ПДн, наличие уведомления РКН
- Действующие форматы согласий (если есть) — для проверки соответствия ст. 9 ФЗ-152 в редакции с 01.09.2025
- Приказ о назначении ответственного по ст. 22.1 ФЗ-152 (или подготовьте его параллельно)
Шаг 2. Определите обязательные разделы политики по ст. 18.1 ФЗ-152
Часть 2 ст. 18.1 ФЗ-152 устанавливает минимальный состав политики обработки персональных данных. Это публичный документ: он размещается на сайте или в интерфейсе SaaS-сервиса в свободном доступе. Роскомнадзор проверяет наличие и содержание при плановых и внеплановых проверках.
Для SaaS-сервиса структура политики, как правило, включает следующие разделы.
1. Общие положения. Полное наименование юридического лица-оператора, ИНН/ОГРН, адрес, контактные данные ответственного лица. Если назначен ответственный по ст. 22.1 — его контакты или ссылка на способ обращения.
2. Категории субъектов и перечень ПДн. Структурированный список по категориям. Специальные категории (ст. 10 ФЗ-152) и биометрические данные (ст. 11 ФЗ-152) — в отдельных подразделах с указанием оснований обработки.
3. Цели и правовые основания. Каждая цель — со ссылкой на основание по ст. 6 ФЗ-152: исполнение договора (п. 5), законная обязанность (п. 2), согласие (п. 1) и т. д. Формулировки должны быть конкретными — «регистрация и идентификация пользователя в сервисе», а не «улучшение качества услуг».
4. Сроки хранения. Срок по каждой цели или категории данных. Должен соответствовать принципу «не дольше необходимого» (ст. 5 ФЗ-152). Для SaaS: срок действия аккаунта + период после удаления (например, 30 дней на резервные копии), для финансовых данных — законодательно установленные сроки хранения.
5. Передача третьим лицам. Перечень категорий получателей, основания передачи, наличие поручения обработки по ст. 6 ч. 3 ФЗ-152. Если данные передаются за рубеж — раздел о трансграничной передаче с указанием стран и оснований.
6. Права субъектов и порядок их реализации. Перечень прав по ст. 14–21 ФЗ-152: доступ к данным, уточнение, блокирование, уничтожение, отзыв согласия. Способ обращения, адрес, срок ответа — 10 рабочих дней по ст. 20 ФЗ-152 с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта.
7. Меры защиты. Общее описание организационных и технических мер по ст. 19 ФЗ-152. Без раскрытия деталей инфраструктуры, но достаточно конкретно: шифрование, контроль доступа, логирование, обучение персонала.
8. Актуальность и изменения. Порядок уведомления пользователей об изменениях. Дата последнего обновления — обязательный реквизит.
Разрабатываете политику конфиденциальности для SaaS-сервиса?
Типовой шаблон из интернета не учитывает специфику вашей модели обработки: облачный хостинг, подрядчики в разных юрисдикциях, несколько ролей оператора и обработчика. Ошибка в правовых основаниях или пропуск обязательного раздела — штраф по ч. 3 ст. 13.11 КоАП, а неверно оформленное согласие — до 700 000 ₽ по ч. 2. Юристы DATUM составят политику и полный комплект ОРД с привязкой к фактической архитектуре вашего сервиса.
Собрать ОРД под ключ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Приведите согласия в соответствие с ФЗ-156 от 24.06.2025 — с 01.09.2025 это обязательно
С 01.09.2025 согласие на обработку персональных данных по ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025) оформляется отдельным документом. Оно не может быть частью пользовательского соглашения, договора-оферты или текста политики конфиденциальности. Это принципиальное изменение для большинства SaaS-сервисов, которые ранее включали согласие в «подвал» регистрационной формы или в оферту.
Что означает «отдельный документ» для SaaS. Пользователь должен совершить самостоятельное действие, выражающее согласие: отдельный чекбокс с явной пометкой «Согласие на обработку персональных данных», не предзаполненный и не объединённый с принятием условий использования. Форма согласия должна содержать все обязательные реквизиты по ст. 9 ФЗ-152: наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
Какие основания не требуют согласия. Для SaaS-сервиса значительная часть обработки основана не на согласии, а на исполнении договора (п. 5 ст. 6 ФЗ-152): регистрация, авторизация, выставление счётов, техподдержка. Согласие как основание остаётся обязательным для: маркетинговых рассылок, профилирования, обработки данных контрагентов пользователя (если пользователь загружает чужие данные в сервис), сбора cookie для аналитики.
Что проверить в текущей архитектуре. Пройдите по всем точкам сбора ПДн в сервисе: регистрационная форма, форма оплаты, форма обратной связи, настройки уведомлений, cookie-баннер. Для каждой точки — проверьте: есть ли отдельный чекбокс согласия (если основание — согласие), совпадает ли перечень ПДн в форме с перечнем в политике, зафиксировано ли согласие с меткой времени и идентификатором пользователя.
Шаг 4. Направьте уведомление в Роскомнадзор по ст. 22 ФЗ-152
Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала обработки (ст. 22 ФЗ-152). SaaS-сервис, обрабатывающий ПДн пользователей для оказания услуги, обязан состоять в реестре операторов. Необработанное уведомление — штраф по ч. 10 ст. 13.11 КоАП в размере 100 000–300 000 ₽ для юрлица.
Форма уведомления. Приказ РКН № 180 от 28.10.2022 устанавливает форму уведомления и порядок подачи. Уведомление направляется через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи.
Состав сведений в уведомлении. Наименование и адрес оператора, цели обработки, категории ПДн, категории субъектов, правовые основания, перечень действий, описание мер защиты, сведения о трансграничной передаче (при наличии), наименование страны назначения, сведения об уполномоченном лице по ст. 22.1. Сведения в уведомлении должны совпадать со сведениями в политике — расхождения при проверке трактуются как нарушение.
Изменения сведений. При изменении фактических условий обработки (новые цели, новые категории данных, смена подрядчиков) оператор обязан направить уведомление об изменении сведений. Форма — та же, через pd.rkn.gov.ru. Срок включения в реестр после первичного уведомления — 30 дней.
Назначение ответственного по ст. 22.1 ФЗ-152. Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. Ответственный — не обязательно штатный юрист: функция может быть передана на аутсорсинг. Сведения об ответственном указываются в уведомлении и в политике конфиденциальности.
Если вы юрист и обнаружили, что SaaS-сервис не состоит в реестре операторов РКН или уведомление устарело — неуведомление грозит штрафом 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП. Уведомление нужно направить до начала обработки. Срок включения в реестр — 30 дней.
Заказать аудит 152-ФЗШаг 5. Опубликуйте политику и проверьте технические требования к размещению
Политика обработки ПДн размещается оператором в месте, обеспечивающем свободный доступ субъектов (ч. 2 ст. 18.1 ФЗ-152). Для SaaS-сервиса это означает публикацию на сайте — как правило, в подвале на каждой странице — и в мобильном приложении, если оно есть.
Требования к доступности. Ссылка на политику должна быть доступна без авторизации, то есть до того, как пользователь создал аккаунт. Это важно: если политика размещена только в личном кабинете, Роскомнадзор трактует это как нарушение требований к публикации.
Требования к версионированию. Каждая редакция политики должна содержать дату последнего обновления. Рекомендуется хранить архив предыдущих версий — при проверке или споре с субъектом это позволяет подтвердить, какая редакция действовала в момент получения согласия.
Связь с формами согласий. В форме согласия на обработку ПДн должна быть активная ссылка на актуальную редакцию политики. Если политика изменилась — ссылка должна вести на новую редакцию, а не на архивную.
Cookie-политика. Для SaaS-сервисов, использующих аналитические и маркетинговые cookie, требуется отдельный раздел в политике или отдельный документ, а также cookie-баннер с запросом согласия. По позиции Роскомнадзора cookie могут квалифицироваться как ПДн при наличии возможности идентифицировать пользователя. Отсутствие баннера — потенциальное нарушение ч. 1 ст. 13.11 КоАП.
Как выглядят типовые ошибки в политиках SaaS-операторов
Разберём три сценария, с которыми сталкивается юрист при проверке или разработке ОРД SaaS-сервиса.
Сценарий 1. Политика есть, но согласие встроено в оферту. SaaS-компания (Центральный ФО, первая половина 2026) при проверке представила политику конфиденциальности — документ опубликован, разделы соответствуют ст. 18.1 ФЗ-152. Однако согласие пользователей на маркетинговые рассылки было встроено в пользовательское соглашение (акцепт оферты). С 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Риск: протокол по ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000–700 000 ₽. Стратегия: разработать отдельные формы согласий для каждой цели, требующей согласия; собрать новые согласия от активных пользователей для целей, которые не вытекают из исполнения договора.
Сценарий 2. Облачный хостинг за рубежом без уведомления РКН о трансграничной передаче. IT-компания (Северо-Западный ФО, осень 2025) использовала облачную платформу с серверами в Нидерландах для хранения данных российских пользователей. Уведомление о трансграничной передаче в РКН не направлялось. При внеплановой проверке РКН зафиксировал нарушение ст. 12 ФЗ-152. Риск: предписание об устранении, штраф по ч. 1 ст. 13.11. Стратегия: до начала трансграничной передачи направить уведомление в РКН, проверить страну в перечне адекватной защиты, при необходимости — переход на отечественный хостинг для соблюдения ч. 5 ст. 18 ФЗ-152 (локализация).
Сценарий 3. Ответственный по ст. 22.1 не назначен, в уведомлении РКН — пустое поле. Юрист проверяет ОРД SaaS-стартапа перед раундом инвестиций (Приволжский ФО, начало 2026). Уведомление в реестре есть, но поле «ответственный за обработку ПДн» не заполнено, приказа о назначении нет. Это нарушение ч. 1 ст. 22.1 ФЗ-152. Риск: при проверке — предписание и штраф по ч. 1 ст. 13.11 КоАП, плюс репутационный риск для сделки. Стратегия: издать приказ о назначении ответственного, обновить уведомление в РКН через pd.rkn.gov.ru, разместить контакты ответственного в политике конфиденциальности.
Услуги DATUM по теме
- Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования
- Аудит соответствия 152-ФЗ — проверка фактической обработки и документации по 38 пунктам
- DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Какие документы должны быть у оператора ПДн-SaaS?
Обязательный минимум: политика обработки персональных данных (ч. 2 ст. 18.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), формы согласий пользователей по ст. 9 ФЗ-152 в редакции с 01.09.2025, договоры-поручения с подрядчиками, обрабатывающими ПДн (ст. 6 ч. 3 ФЗ-152), регламент реагирования на утечки. Полный пакет включает также перечень обрабатываемых ПДн, журнал учёта обращений субъектов и оценку вреда субъектам.
2. Как составить политику обработки ПДн для SaaS?
Последовательность: сначала зафиксируйте фактическую обработку — карта субъектов, данных, целей, оснований, подрядчиков. Затем структурируйте политику по разделам ч. 2 ст. 18.1 ФЗ-152: наименование оператора, цели и основания, категории данных, сроки хранения, права субъектов, меры защиты, трансграничная передача. Политика должна описывать реальную обработку, а не желаемую — расхождение между политикой и фактом является самостоятельным нарушением.
3. Кого назначить ответственным по ст. 22.1 ФЗ-152?
Ответственным может быть штатный сотрудник или внешний специалист (аутсорсинг). Статья 22.1 ФЗ-152 устанавливает требования к квалификации: знание законодательства о ПДн и организации их обработки. Функция ответственного — организация обработки, контроль соответствия, взаимодействие с РКН и субъектами. Контакты ответственного указываются в уведомлении РКН и в политике конфиденциальности.
4. Можно ли использовать шаблон политики конфиденциальности из интернета?
Шаблон — только отправная точка. Проблема в том, что политика должна описывать фактическую обработку конкретного оператора: перечень ПДн, цели, основания, подрядчиков, трансграничную передачу. Использование чужого шаблона без адаптации означает, что большинство разделов не будут соответствовать реальности. При проверке РКН расхождение между политикой и фактической обработкой — это нарушение ст. 5 и ст. 18.1 ФЗ-152 одновременно.
5. Какие согласия нужны пользователям SaaS после 01.09.2025?
После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152: наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Согласие требуется только там, где это единственное правомерное основание: маркетинговые рассылки, профилирование, cookie-аналитика. Для обработки, вытекающей из исполнения договора (регистрация, оплата, техподдержка), согласие как основание не нужно — достаточно п. 5 ст. 6 ФЗ-152.
Итог
Политика конфиденциальности SaaS-сервиса — не формальный документ, а отражение фактической архитектуры обработки ПДн. Разработку следует начинать с карты обработки, затем структурировать разделы по ст. 18.1 ФЗ-152, привести согласия в соответствие с требованиями с 01.09.2025 (ФЗ-156), направить уведомление в РКН по Приказу № 180 и назначить ответственного по ст. 22.1. Расхождение между документом и реальностью при проверке — самостоятельное основание для штрафа.
Юристы DATUM сопровождают SaaS-операторов в разработке ОРД: от карты обработки до регистрации уведомления в реестре РКН и аутсорсинга функции ответственного по ст. 22.1 ФЗ-152.
22 ноября 2026 года