инструкция 28 ноября 2026 По состоянию на 28 ноября 2026

Политика обработки ПДн по ст. 18.1 ч. 2: 14 разделов

Q: Как составить политику обработки ПДн?

Политика составляется по структуре из 14 разделов: от общих положений и категорий ПДн до порядка обработки обращений субъектов и актуализации документа. Перед разработкой необходимо провести инвентаризацию всех потоков обработки и сопоставить их с уведомлением в реестре РКН. Политика должна соответствовать реальной практике оператора, а не быть типовым шаблоном — расхождение выявляется при первой проверке.

Политика обработки персональных данных — обязательный документ оператора по ч. 2 ст. 18.1 ФЗ-152. Отсутствие публикации влечёт штраф до 60 000 ₽ по ч. 3 ст. 13.11 КоАП.

С 01.09.2025 требования к документам оператора ужесточились: согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025), а политика должна соответствовать расширенному перечню сведений. Ошибки в структуре и содержании — основание для предписания РКН и административного дела.

→ Если вы юрист и сейчас проверяете комплаенс компании — эта инструкция даёт структуру всех 14 разделов политики, чего нельзя упустить и что именно смотрит инспектор РКН при проверке.

Политика обработки персональных данных — это не формальный документ для галочки, а основа всего комплаенса по ФЗ-152. Именно с неё начинается проверка Роскомнадзора: инспектор запрашивает политику первой. Для юриста, выстраивающего систему защиты ПДн в компании, разработка грамотной политики — точка входа в полноценный пакет ОРД из 38 документов.

Что требует ст. 18.1 ч. 2 ФЗ-152 от оператора?

Ст. 18.1 ФЗ-152 обязывает оператора принимать меры для обеспечения выполнения обязанностей, предусмотренных законом. Часть 2 этой статьи конкретизирует содержание политики: оператор обязан опубликовать документ, определяющий его подход к обработке персональных данных, и обеспечить к нему неограниченный доступ. Для организаций с сайтом это означает размещение на сайте — как правило, в нижнем колонтитуле страницы.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите. Перечень обязательных сведений определяется Роскомнадзором.»

Отсутствие опубликованной политики — самостоятельный состав правонарушения по ч. 3 ст. 13.11 КоАП. Штраф для юридического лица составляет 30 000–60 000 ₽. Это не самая крупная санкция, но ч. 3 фиксируется как отдельный эпизод — параллельно с другими нарушениями при той же проверке.

Каковы 14 обязательных разделов политики обработки ПДн?

Структура политики складывается из требований ч. 2 ст. 18.1, рекомендаций Роскомнадзора и правоприменительной практики проверок. Ниже — полный перечень разделов с пояснением содержания каждого.

14 разделов политики обработки ПДн

1. Общие положения. Наименование и реквизиты оператора, цели документа, нормативная база (ФЗ-152, подзаконные акты). Указать дату вступления в силу и порядок пересмотра.
2. Основные понятия. Определения «персональных данных», «оператора», «обработки», «субъекта», «обезличивания», «трансграничной передачи» — в соответствии со ст. 3 ФЗ-152.
3. Категории обрабатываемых ПДн. Общие, специальные (ст. 10 ФЗ-152), биометрические (ст. 11 ФЗ-152). Если компания обрабатывает специальные категории — основания по ч. 2 ст. 10.
4. Цели обработки ПДн. Конкретные цели по каждой категории субъектов: работники, клиенты, контрагенты. Соответствие принципу целевой обработки (ст. 5 ФЗ-152).
5. Правовые основания обработки. Перечень оснований из ст. 6 ФЗ-152: согласие (п. 1), договор (п. 5), закон (п. 2) и иные. Для каждой цели — отдельное основание.
6. Перечень действий с ПДн. Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
7. Сроки хранения ПДн. По каждой категории субъектов и цели — конкретный срок или критерий (до достижения цели, до отзыва согласия, 75 лет для личного дела работника).
8. Передача ПДн третьим лицам. Перечень категорий получателей (подрядчики, государственные органы), основания передачи, наличие договоров-поручений по п. 3 ст. 6 ФЗ-152.
9. Трансграничная передача. Если оператор передаёт ПДн за рубеж — страны назначения, адекватность защиты, уведомление РКН по ст. 12 ФЗ-152. Если передачи нет — прямо указать.
10. Меры защиты ПДн. Организационные (приказ о назначении ответственного, ст. 22.1 ФЗ-152; политика; инструктаж) и технические (уровень защищённости по ПП РФ №1119, меры по Приказу ФСТЭК №21).
11. Права субъектов ПДн. Право на доступ, уточнение, удаление, отзыв согласия, обжалование автоматизированных решений (ст. 14–17, ст. 15 ФЗ-152). Порядок подачи обращений и срок ответа — 10 рабочих дней по ст. 20 ФЗ-152.
12. Порядок обработки обращений субъектов. Реквизиты для подачи запроса (почтовый адрес, email), форма обращения, документы для подтверждения личности, сроки ответа по ст. 20 ФЗ-152.
13. Согласие на обработку ПДн. Порядок получения согласия с 01.09.2025 по ФЗ-156: отдельный документ, обязательные реквизиты по ст. 9 ФЗ-152 (ФИО, оператор, цель, перечень ПДн, срок, способ отзыва). Отдельный блок — согласие на распространение по ст. 10.1 ФЗ-152.
14. Актуализация документа. Периодичность пересмотра, порядок внесения изменений, хранение предыдущих версий. Рекомендуемая периодичность — не реже одного раза в год и при изменении законодательства.

Нужна политика обработки ПДн — где взять правильную структуру?

Шаблоны из открытых источников не учитывают специфику деятельности компании, изменения ФЗ-156 от 24.06.2025 и текущую практику проверок РКН. Политика, не соответствующая реальной обработке, — риск по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Юристы DATUM разрабатывают политику как часть полного пакета ОРД: 38 документов под конкретного оператора.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как составить политику обработки ПДн: пошаговый порядок

Шаг 1. Проведите инвентаризацию обработки ПДн

До написания политики необходимо понять, какие данные, для каких целей и на каких основаниях обрабатывает компания. Зафиксируйте все потоки: работники, клиенты, посетители сайта, контрагенты. Отдельно выделите специальные категории (медицинские данные, биометрия) — они требуют отдельных оснований по ст. 10 и ст. 11 ФЗ-152.

Шаг 2. Сопоставьте цели и правовые основания

Для каждой цели обработки определите основание из ст. 6 ФЗ-152. Распространённая ошибка — указывать «согласие» как единственное основание, когда обработка ПДн работников фактически ведётся во исполнение трудового договора. Несовпадение политики и реальной практики фиксируется при проверке РКН как нарушение ч. 1 ст. 13.11 КоАП.

Шаг 3. Проверьте уведомление в реестре РКН

Политика должна соответствовать сведениям, которые оператор направил в РКН по форме уведомления (Приказ РКН №180 от 28.10.2022). Расхождение между реестром и политикой — типовое нарушение. Проверить статус уведомления можно на pd.rkn.gov.ru. Если уведомление не подавалось — нарушение ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽). Направьте уведомление до публикации политики.

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152

Политика должна содержать ссылку на ответственного за организацию обработки ПДн. Оператор-юрлицо обязан назначить такого сотрудника по ст. 22.1 ФЗ-152. В разделе «Меры защиты» укажите должность и контактные данные ответственного. Отсутствие назначенного ответственного — самостоятельное основание для предписания РКН.

Шаг 5. Актуализируйте раздел о согласии после 01.09.2025

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие субъекта оформляется отдельным документом — не в составе договора, оферты или политики конфиденциальности. Политика обязана отражать этот порядок. Если компания получала согласия до 01.09.2025 в составе других документов — ранее данные согласия действуют, но все новые согласия после этой даты должны соответствовать обновлённому ст. 9 ФЗ-152.

Шаг 6. Разместите политику и обеспечьте доступ

Политику необходимо разместить на официальном сайте оператора — как правило, по ссылке в нижнем колонтитуле. Доступ должен быть неограниченным: без регистрации, без авторизации. На сайтах без «подвала» с политикой РКН фиксирует нарушение ч. 3 ст. 13.11 КоАП. Дополнительно — разместить в помещениях, где ведётся непосредственный сбор ПДн (офис продаж, ресепшн).

Если вы юрист и проверяете ОРД компании — разработка политики с нуля занимает 1–2 рабочих дня при наличии инвентаризации обработки. Без неё — до 5 дней. Каждый день без опубликованной политики — длящееся нарушение ч. 3 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Какие ошибки юристов при составлении политики фиксирует РКН?

По материалам проверок РКН и правоприменительной практики — три категории типовых нарушений в политиках операторов.

Несоответствие политики реальной обработке. Политика описывает три цели, уведомление в реестре содержит одну. Реальная обработка включает передачу ПДн в облачный сервис за рубежом, но раздел о трансграничной передаче политики гласит «передача не осуществляется». Это нарушение ч. 1 ст. 13.11 КоАП — обработка в объёме, не соответствующем заявленным целям (150 000–300 000 ₽).

Отсутствие раздела о правах субъектов с реальными реквизитами. Политика перечисляет права субъектов в общем виде, но не указывает способ обращения и контакты для направления запроса. Такой раздел не выполняет требования ч. 2 ст. 18.1 и не создаёт механизм реализации ст. 14–17 ФЗ-152. Итог — нарушение ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽) при первом же обращении субъекта.

Политика без актуализации под изменения 2024–2025 годов. Политика разработана до ФЗ-420 от 30.11.2024 и ФЗ-156 от 24.06.2025 и не содержит разделов об обезличивании, согласии как отдельном документе и ответственном по ст. 22.1. Формально документ есть, но его содержание не соответствует актуальным требованиям — предписание РКН об устранении.

Как выглядит проверка политики РКН на практике?

Сценарий 1. Плановая проверка. Оператор включён в план проверок. Инспектор запрашивает политику, уведомление из реестра РКН, согласия, приказ о назначении ответственного. Политика есть, но раздел о правовых основаниях содержит только «согласие», тогда как ТК РФ даёт отдельные основания для обработки ПДн работников. Итог: предписание об устранении + протокол по ч. 1 ст. 13.11 КоАП. Стратегия: устранить нарушение в срок предписания, документально зафиксировать исполнение — это снижает риск назначения максимального штрафа.

Сценарий 2. Внеплановая проверка по жалобе субъекта. Работник обратился с запросом о предоставлении информации о своих ПДн. Оператор не ответил в 10 рабочих дней по ст. 20 ФЗ-152 — субъект подал жалобу в РКН. Проверка выявила: политика не размещена на сайте, раздел о правах субъектов отсутствует. Составлены два протокола — по ч. 3 и ч. 4 ст. 13.11 КоАП (итого до 140 000 ₽). Стратегия: после жалобы — немедленно ответить субъекту и опубликовать политику, это снижает вероятность возбуждения дела.

Сценарий 3. Проверка после утечки ПДн. У оператора произошёл инцидент — данные клиентов оказались в открытом доступе. Оператор уведомил РКН в 24 часа по ч. 3.1 ст. 21 ФЗ-152. При расследовании инспектор запрашивает документы, включая политику обработки ПДн. Политика не содержит раздела о мерах защиты и порядке реагирования на инциденты. Это отягчает ответственность по ч. 12 ст. 13.11 (3 000 000–5 000 000 ₽ при утечке от 1 000 субъектов). Стратегия: политика с актуальным разделом о мерах защиты — смягчающее обстоятельство при назначении штрафа.

Кейс. Компания в сфере онлайн-торговли (Центральный ФО, осень 2025) прошла внеплановую проверку РКН по итогам анализа сайта. Юрист компании своевременно подготовил политику обработки ПДн по всем 14 разделам, актуализировал уведомление в реестре и разместил политику на сайте за две недели до проверки. Инспектор выдал предписание по одному техническому нарушению — отсутствие раздела об обезличивании. Штраф не назначался; предписание исполнено в срок. Разрыв между подготовленной и неподготовленной компанией в аналогичных случаях — от нескольких десятков тысяч до сотен тысяч рублей штрафов.

Услуги DATUM по теме

Услуги DATUM по теме

Комплект ОРД под ключ — разработка 38 документов, включая политику обработки ПДн, согласия, приказы, регламент реагирования.
Аудит соответствия 152-ФЗ — проверка существующей политики и всего пакета ОРД по чек-листу из 38 пунктов.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы субъектам и актуализацию политики.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет включает политику обработки ПДн (ст. 18.1 ч. 2 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152), приказ о назначении ответственного по ст. 22.1 ФЗ-152, согласия субъектов по ст. 9 ФЗ-152, документы об уровне защищённости (ПП РФ №1119) и договоры-поручения с обработчиками (п. 3 ст. 6 ФЗ-152). Полный пакет ОРД в зависимости от вида деятельности — 38 документов. Отсутствие любого из обязательных документов при проверке РКН фиксируется как отдельное нарушение.

2. Как составить политику обработки ПДн?

Политика составляется по структуре из 14 разделов, описанных в этой инструкции: от общих положений и категорий ПДн до порядка обработки обращений субъектов и актуализации документа. Перед разработкой необходимо провести инвентаризацию всех потоков обработки и сопоставить их с уведомлением в реестре РКН. Политика должна соответствовать реальной практике оператора, а не быть типовым шаблоном — расхождение выявляется при первой проверке.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Требования к квалификации — в ч. 4 ст. 22.1: достаточная компетентность в сфере защиты ПДн. Это может быть штатный юрист, сотрудник ИБ или привлечённый специалист на условиях DPO-аутсорсинга. Ответственный должен быть указан в политике обработки ПДн и внутренних приказах. Аутсорсинг функции ответственного по ст. 22.1 законодательно допустим.

4. Можно ли использовать шаблон политики из интернета?

Типовой шаблон из открытых источников не учитывает специфику деятельности конкретного оператора, текущую редакцию ФЗ-152 (в частности, изменения 2024–2025 годов), требования к согласию с 01.09.2025 (ФЗ-156) и актуальную практику проверок РКН. Политика, не соответствующая реальной обработке, — прямое нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Шаблон допустим как основа, но требует глубокой адаптации под конкретного оператора.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя включать в трудовой договор, оферту, пользовательское соглашение или саму политику. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Ранее полученные согласия, соответствующие ст. 9, переоформлять не требуется — обратной силы поправки не имеют.

Итог

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 — документ, который проверяется первым и создаёт правовую основу для всех остальных элементов комплаенса. Несоответствие политики реальной обработке, её отсутствие или устаревшее содержание — три самостоятельных основания для штрафов по ст. 13.11 КоАП, суммарно до 440 000 ₽ за один набор нарушений при плановой проверке.

Практика DATUM включает разработку и актуализацию политик обработки ПДн как часть полного пакета ОРД — с учётом изменений ФЗ-156 от 24.06.2025, требований к согласиям с 01.09.2025 и текущей практики проверок Роскомнадзора.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

28 ноября 2026 года