Политика на иностранных языках: требования
Компании, привлекающие пользователей из разных стран, размещают политику конфиденциальности на нескольких языках. Российский закон не содержит прямого запрета на иноязычные тексты, но и не содержит специальных норм, которые регулировали бы их содержание, соотношение с русскоязычным документом или порядок обновления. Это порождает правовую неопределённость. Инструкция описывает шесть последовательных шагов: от определения состава обязательных сведений до порядка синхронизации версий при изменении законодательства.
Шаг 1. Определите, какой язык является основным для целей 152-ФЗ
Ст. 18.1 ФЗ-152 требует от оператора публиковать документ, определяющий политику в отношении обработки персональных данных. Закон не указывает язык документа прямо, однако взаимодействие с Роскомнадзором, уведомление по ст. 22 ФЗ-152 и ответы на запросы субъектов по ст. 20 ФЗ-152 ведутся на русском языке. Это означает: русскоязычный текст является основным и юридически значимым для целей российского законодательства.
Иноязычные версии — это сервисный инструмент для информирования иностранных субъектов. Правовая сила для РКН имеет только русский текст. Если вы принимаете иностранных пользователей через российский сайт или приложение, дополнительные языки обязательны для выполнения требований стран пребывания субъектов (GDPR, LGPD и т. д.), но не для выполнения требований ФЗ-152.
Шаг 2. Убедитесь, что русскоязычная политика содержит все обязательные реквизиты по ст. 18.1 ФЗ-152
Прежде чем приступать к переводу, необходимо проверить, что сам документ соответствует требованиям закона. Перевод неполной или некорректной политики не исправляет нарушение — он его тиражирует.
Обязательные реквизиты политики обработки ПДн
- Наименование оператора, ИНН, юридический адрес и контактные данные ответственного лица по ст. 22.1 ФЗ-152
- Цели обработки персональных данных с перечислением каждой цели отдельно
- Правовые основания обработки со ссылкой на конкретные пункты ст. 6 ФЗ-152
- Перечень обрабатываемых категорий ПДн и состав данных по каждой категории
- Условия передачи ПДн третьим лицам и трансграничной передачи при наличии
- Порядок реализации прав субъектов: обращения, сроки (10 рабочих дней по ст. 20), способы отзыва согласия
Требования к содержанию согласия с 01.09.2025 изменились в соответствии с ФЗ-156 от 24.06.2025: согласие оформляется отдельным документом и не может быть частью политики, договора или оферты. Поэтому политика в разделе о согласии должна содержать ссылку на отдельную форму, а не воспроизводить её текст.
Политика есть, но не обновлялась с 2024 года?
С 01.09.2025 требования к согласию изменились по ФЗ-156. Если политика содержит встроенное согласие или не разграничивает цели обработки — это основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Юристы DATUM соберут актуальный пакет ОРД: политика, согласия, регламенты по новым требованиям.
Собрать ОРД под ключОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Определите объём иноязычной версии и её соотношение с русским текстом
Российское законодательство не устанавливает требований к объёму и структуре иноязычной версии. На практике выделяют три подхода.
Полный перевод. Иноязычная версия воспроизводит русский документ полностью. Этот подход минимизирует риск расхождений, но создаёт операционную нагрузку: при любом изменении русского текста нужно обновлять все языковые версии синхронно.
Адаптированный документ. Иноязычная версия структурирована под требования юрисдикции субъекта (например, GDPR для резидентов ЕС) и содержит информацию сверх требований ФЗ-152 — сроки хранения, права на переносимость данных, данные DPO. Такой документ может быть длиннее русского. Юридически значимая русскоязычная версия при этом остаётся короткой и ориентированной на российские требования.
Краткая версия со ссылкой. Иноязычная страница содержит ключевую информацию и ссылку на полный русскоязычный документ. Этот подход допустим для небольших сайтов, но создаёт риск претензий со стороны иностранных регуляторов, если субъект утверждает, что не мог получить информацию на понятном языке.
Независимо от выбранного подхода ни одна иноязычная версия не должна содержать сведения, противоречащие русскоязычному документу: иные цели, иные категории данных, иные условия передачи третьим лицам. Расхождение — основание для претензий по ч. 1 ст. 13.11 КоАП (обработка, несовместимая с целями) с штрафом от 150 000 до 300 000 ₽ для юрлица.
Шаг 4. Укажите в иноязычном документе, что российское право является применимым
Иноязычная версия политики должна содержать явное указание на то, что обработка ПДн российских субъектов регулируется ФЗ-152, а оператор включён в реестр РКН по ст. 22 ФЗ-152. Это снижает риск ошибочного восприятия документа как GDPR-политики без российских обязательств.
Рекомендуемая конструкция на английском языке: «The processing of personal data of individuals in Russia is governed by Federal Law No. 152-FZ of 27 July 2006 (On Personal Data). The Company is registered as a personal data operator with Roskomnadzor.» После этого блока — ссылка на полный русскоязычный документ и контакты ответственного лица по ст. 22.1 ФЗ-152.
Данные ответственного лица по ст. 22.1 ФЗ-152 должны быть актуальны и совпадать со сведениями, поданными в уведомлении по Приказу РКН №180 от 28.10.2022. Если данные ответственного изменились — необходимо подать уведомление об изменении в РКН через pd.rkn.gov.ru до обновления политики.
Шаг 5. Настройте порядок синхронизации языковых версий при изменениях
Разрыв между датами обновления языковых версий — типичный операционный риск. Проверка РКН или жалоба субъекта в момент такого разрыва фиксирует расхождение в тексте как нарушение.
Введите внутренний регламент: изменение русскоязычной политики запускает обязательное обновление всех языковых версий в течение 5 рабочих дней. Ответственный по ст. 22.1 ФЗ-152 утверждает обновления всех версий единым приказом. В тексте каждой версии указывается дата последнего обновления — в одном формате для всех языков.
Если оператор использует DPO-аутсорсинг, ответственный по ст. 22.1 остаётся штатным сотрудником или должностным лицом компании — аутсорсер выполняет функцию, но юридически ответственным по закону является оператор.
Если у компании есть политика на двух языках, но нет регламента синхронизации и ответственного по ст. 22.1 — при проверке РКН это фиксируется как системный сбой в ОРД. Юристы DATUM проведут аудит и приведут документацию в соответствие.
Заказать аудит 152-ФЗШаг 6. Проверьте публикацию и доступность всех версий
Ст. 18.1 ФЗ-152 требует обеспечить неограниченный доступ к политике. На практике это означает: ссылка на политику размещается в подвале сайта, в форме регистрации и в мобильном приложении — на каждом языке интерфейса. Если пользователь видит сайт на английском, ссылка «Privacy Policy» должна вести на англоязычную версию, а не автоматически переключать его на русский текст.
Роскомнадзор при плановых и внеплановых проверках запрашивает URL политики. Если страница недоступна без авторизации, отдаёт код 404 или требует принятия cookies до её просмотра — это фиксируется как нарушение ч. 2 ст. 18.1 ФЗ-152 с последующим протоколом по ч. 3 ст. 13.11 КоАП.
Для иноязычных версий применяются те же технические требования: постоянный URL, доступность без авторизации, соответствие версии сайта языку документа. Рекомендуемая структура URL: /privacy/ — русская версия, /en/privacy/ или /privacy/en/ — английская. Язык документа должен совпадать с атрибутом lang страницы.
Как это применяется на практике
Кейс 1. IT-компания (Центральный ФО, начало 2026) разрабатывала SaaS-продукт для российских и европейских клиентов. На сайте публиковались две версии политики: русская — по ФЗ-152, английская — по GDPR. В ходе проверки РКН установил, что английская версия указывала более широкий перечень третьих лиц-получателей данных, чем русская. Было возбуждено дело по ч. 1 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. Компания устранила нарушение, синхронизировав перечень получателей в обеих версиях, и представила доказательства исправления в материалы дела.
Кейс 2. Маркетплейс (Приволжский ФО, осень 2025) имел политику только на русском языке, но принимал оплаты от пользователей из пяти стран. После жалобы иностранного субъекта на невозможность понять условия обработки данных РКН провёл внеплановую проверку. Политика соответствовала ФЗ-152, нарушений по российскому праву не выявлено. Однако компания получила предписание обеспечить доступность информации на языках, понятных субъектам, — в соответствии с позицией РКН по трансграничной обработке. Оператор разработал английскую версию в течение 30 дней.
Типовые ситуации: что может пойти не так
Ситуация 1. Иностранная версия обновлена, русская — нет. Компания актуализировала английскую политику под требования GDPR, добавив новые цели обработки. Русскоязычная версия осталась прежней. При этом фактическая обработка стала шире, чем указано в русском документе. Это нарушение ст. 5 ФЗ-152 (несоответствие объёма целям) и основание для штрафа по ч. 1 ст. 13.11 КоАП. Стратегия: регламент синхронизации с единой датой обновления для всех версий.
Ситуация 2. Согласие встроено в иностранную версию политики. До 01.09.2025 часть операторов включала согласие в текст политики. С 01.09.2025 по ФЗ-156 это недействительно. Если согласие по-прежнему содержится в иноязычной версии — субъект формально не даёт самостоятельного согласия. Основание для претензий по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Стратегия: вынести согласие в отдельную форму, в иноязычной политике — ссылка на форму.
Ситуация 3. Политика на иностранном языке не упоминает российского законодательства. Субъект из ЕС видит документ, оформленный под GDPR. В нём нет ссылки на ФЗ-152, нет данных ответственного по ст. 22.1, нет указания на реестр РКН. При поступлении запроса от субъекта компания применяет российские сроки (10 рабочих дней по ст. 20 ФЗ-152), а субъект ожидает ответа в течение одного месяца по GDPR. Расхождение — репутационный и регуляторный риск. Стратегия: указать в иноязычном документе применимое право и сроки обработки запросов субъектов по российскому закону.
Услуги DATUM по теме
- Комплект ОРД под ключ — политика, согласия, приказы, регламенты по актуальным требованиям
- Аудит соответствия 152-ФЗ — проверка всего пакета документов по чек-листу из 38 пунктов
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: политику обработки ПДн (ст. 18.1 ФЗ-152), отдельные формы согласий по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156), приказ о назначении ответственного лица по ст. 22.1 ФЗ-152, уведомление в РКН по ст. 22 ФЗ-152, локальные акты по обработке ПДн работников. Полный перечень — 38 документов; состав зависит от вида деятельности и категорий обрабатываемых данных.
2. Как составить политику обработки ПДн?
Политика должна содержать: наименование оператора и ИНН, перечень целей обработки и правовые основания по ст. 6 ФЗ-152, категории ПДн, условия передачи третьим лицам, порядок реализации прав субъектов со сроками по ст. 20 ФЗ-152 (10 рабочих дней), данные ответственного по ст. 22.1. Использование типового шаблона без адаптации под реальные процессы компании — распространённая ошибка: РКН при проверке выявляет расхождение между декларируемыми и фактическими целями обработки.
3. Кого назначить ответственным по ст. 22.1?
Ответственным назначается работник организации — физическое лицо, состоящее в трудовых отношениях с оператором. По ч. 4 ст. 22.1 ФЗ-152 к нему предъявляются квалификационные требования: знание российского законодательства о ПДн. DPO-аутсорсер может выполнять функции ответственного фактически, но юридически ответственным лицом по закону остаётся назначенный работник. Сведения об ответственном указываются в политике и уведомлении РКН по Приказу РКН №180.
4. Можно ли использовать шаблон политики из интернета?
Шаблон — отправная точка, не готовый документ. Типовые политики не отражают реальные цели и состав ПДн конкретной компании, не учитывают изменения ФЗ-156 от 24.06.2025 и не содержат актуальных данных ответственного по ст. 22.1. При проверке РКН сравнивает декларируемые цели с фактической обработкой: расхождение фиксируется как нарушение ч. 1 ст. 13.11 КоАП с штрафом 150 000–300 000 ₽ для юрлица.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть частью политики, трудового договора, оферты или иного документа. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок и способ отзыва. Ранее полученные согласия, оформленные в составе другого документа, сохраняют силу — обратной силы закон не имеет. Новые согласия с 01.09.2025 должны соответствовать обновлённым требованиям.
6. Нужно ли уведомлять РКН, если в политику внесены изменения?
Само по себе изменение политики уведомления не требует. Однако если изменились сведения, которые оператор подавал при первичном уведомлении по ст. 22 ФЗ-152 — цели обработки, категории данных, перечень получателей, данные ответственного лица — необходимо подать уведомление об изменении через pd.rkn.gov.ru в соответствии с Приказом РКН №180. Несообщение об изменении сведений образует состав по ч. 10 ст. 13.11 КоАП с штрафом 100 000–300 000 ₽ для юрлица.
Итог
Российский закон не запрещает и не регулирует иноязычные версии политики обработки ПДн. Юридически значимой для РКН является русскоязычная версия с обязательными реквизитами по ст. 18.1 ФЗ-152. Иноязычная версия — сервисный документ для иностранных субъектов, который не должен противоречить основному тексту, должна быть доступна без авторизации и синхронно обновляться при изменении русскоязычного документа.
DATUM сопровождает операторов при подготовке полного пакета ОРД, включая разноязычные версии политики, актуализацию согласий по ФЗ-156 и назначение ответственного по ст. 22.1 ФЗ-152.
11 декабря 2026 года