инструкция 21 декабря 2026 По состоянию на 21 декабря 2026

Ссылка на политику из футера

Ссылка на политику обработки персональных данных в футере сайта — обязательное требование ч. 2 ст. 18.1 ФЗ-152: оператор публикует политику в форме, обеспечивающей неограниченный доступ.

Отсутствие ссылки или ненадлежащее размещение документа фиксируется как самостоятельное нарушение по ч. 3 ст. 13.11 КоАП — штраф для юридического лица от 30 000 до 60 000 ₽. При повторном нарушении по смежным частям риск оборотного штрафа по ч. 15 возрастает.

Если вы юрист и проверяете комплаенс компании — проверьте три вещи: есть ли ссылка в футере, ведёт ли она на актуальный документ, соответствует ли документ требованиям ч. 2 ст. 18.1. → Пошаговый порядок ниже.

С 01.09.2025 вступили в силу поправки ФЗ-156 от 24.06.2025, изменившие требования к форме согласия на обработку персональных данных. Одновременно ужесточилась проверочная практика Роскомнадзора: инспекторы фиксируют наличие политики и ссылки на неё в ходе каждой плановой и внеплановой проверки. Настоящая инструкция охватывает полный цикл — от создания документа до технического размещения ссылки — и адресована юристу, отвечающему за комплаенс по 152-ФЗ.

Что обязан опубликовать оператор по ст. 18.1 ФЗ-152?

Статья 18.1 ФЗ-152 обязывает оператора принять меры, направленные на обеспечение выполнения закона, и опубликовать документ, определяющий политику в отношении обработки персональных данных. Ключевое условие — неограниченный доступ: документ должен быть открыт любому посетителю сайта без регистрации, авторизации и иных барьеров.

Часть 2 ст. 18.1 перечисляет обязательные разделы политики. Отсутствие хотя бы одного из них превращает документ в формально несоответствующий, даже если ссылка в футере технически присутствует. Обязательные элементы:

наименование и реквизиты оператора;
цели обработки персональных данных;
правовые основания обработки по ст. 6 ФЗ-152;
перечень категорий обрабатываемых данных;
перечень обрабатываемых категорий субъектов;
порядок и условия обработки, включая сроки хранения;
порядок реализации прав субъектов по ст. 14–21 ФЗ-152;
сведения о трансграничной передаче, если она осуществляется;
меры защиты по ст. 19 ФЗ-152 — общее описание без раскрытия конфигурации.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать документ, определяющий политику обработки ПДн, и обеспечить неограниченный доступ к нему. Отсутствие или недоступность документа образует состав правонарушения по ч. 3 ст. 13.11 КоАП — штраф 30 000–60 000 ₽ для юридического лица.»

Уведомление о намерении осуществлять обработку персональных данных по ст. 22 ФЗ-152 подаётся по форме Приказа РКН №180 от 28.10.2022. В уведомлении указывается URL документа политики — тот же, что размещён в футере. Расхождение между URL в реестре и фактическим адресом страницы фиксируется как недостоверность сведений.

Шаг 1. Проверьте содержание политики конфиденциальности

До размещения ссылки убедитесь, что сам документ соответствует требованиям ч. 2 ст. 18.1. Проверку удобно проводить по двум критериям: полнота разделов и актуальность содержания.

Полнота разделов. Сверьтесь с перечнем выше. Нередко в документах отсутствует раздел о правовых основаниях — операторы ограничиваются отсылкой к согласию, не упоминая иных оснований из ст. 6 (исполнение договора, законная обязанность и т. д.).

Актуальность. После 01.09.2025 политика должна отражать новый порядок оформления согласий по ФЗ-156 от 24.06.2025: согласие на обработку оформляется отдельным документом и не объединяется с договором, офертой или самой политикой. Если в политике написано, что согласие выражается путём акцепта договора или пользования сайтом, — документ устарел.

Что проверить в содержании политики

Все разделы ч. 2 ст. 18.1 ФЗ-152 присутствуют и заполнены конкретными сведениями об операторе.
Правовые основания обработки соответствуют фактическим целям: согласие, договор, законная обязанность.
Порядок оформления согласия приведён в соответствие с ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025).
Если есть трансграничная передача — указаны страны получателей и основания по ст. 12 ФЗ-152.
Дата последнего обновления документа указана и не ранее 01.09.2025.

Шаг 2. Разместите документ по постоянному URL

Политика должна находиться по стабильному URL, который не меняется при обновлении содержания документа. Типичные варианты: /privacy-policy/, /politika-konfidentsialnosti/, /privacy/. Важно: не используйте URL с параметрами запроса или временными токенами — такой адрес невозможно корректно указать в реестре РКН.

Технические требования к странице:

HTTP-статус 200 при обращении без авторизации;
индексируемость поисковыми роботами (отсутствие noindex в meta robots и Disallow в robots.txt);
доступность без JavaScript — некоторые инспекторы используют консольные инструменты без рендеринга скриптов;
кодировка UTF-8, корректное отображение кириллицы.

Если документ размещается в виде PDF, убедитесь, что файл открывается напрямую по ссылке, без промежуточной страницы с кнопкой «Скачать». Роскомнадзор трактует недоступность в один клик как ненадлежащее обеспечение доступа.

Политика есть, но написана три года назад — что делать?

Если документ создавался до ФЗ-156 от 24.06.2025, он, скорее всего, не содержит актуального порядка оформления согласий и ссылок на новые основания обработки. Инспектор РКН при плановой проверке запросит политику первой — несоответствие содержания требованиям ч. 2 ст. 18.1 ФЗ-152 фиксируется протоколом по ч. 3 ст. 13.11 КоАП. Юристы DATUM соберут комплект ОРД под ключ: политику, приказы, согласия, регламенты — по чек-листу из 38 пунктов.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Добавьте ссылку в футер сайта

Ссылка размещается в футере (нижнем колонтитуле) каждой страницы сайта. Это обеспечивает доступность независимо от точки входа пользователя. Анкорный текст должен однозначно идентифицировать документ: «Политика обработки персональных данных» или «Политика конфиденциальности» — оба варианта приемлемы.

Распространённые ошибки при размещении ссылки:

Ссылка только на главной странице. Если футер с ссылкой выводится не на всех страницах, — нарушение присутствует на страницах без ссылки.
Ссылка ведёт на pop-up или модальное окно. Всплывающий блок с текстом политики не считается самостоятельной страницей с постоянным URL — при изменении JavaScript-кода доступ к документу может быть утрачен.
Ссылка скрыта стилями. Цвет текста, совпадающий с фоном, или display:none технически делают ссылку невидимой для пользователя — это квалифицируется как ненадлежащее размещение.
Анкор не описывает содержание. Ссылки с текстом «Документы», «Правовая информация» без указания на персональные данные не позволяют пользователю однозначно идентифицировать документ.

Дополнительно рекомендуется разместить ссылку в следующих точках сайта: в форме сбора данных (контактная форма, форма регистрации, форма подписки) рядом с полем согласия, а также на странице оформления заказа — до момента отправки данных.

Шаг 4. Актуализируйте уведомление в реестре РКН

Статья 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до её начала. В уведомлении указывается URL политики. Если URL изменился или документ был перемещён, оператор обязан подать уведомление об изменении сведений — по форме того же Приказа РКН №180 от 28.10.2022.

Подача осуществляется через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи. Срок включения изменений в реестр — до 30 дней с момента подачи уведомления (ч. 4 ст. 22 ФЗ-152).

«Ст. 22 ФЗ-152 — оператор уведомляет РКН о намерении осуществлять обработку ПДн. Неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽ для юридического лица.»

Ответственное лицо за организацию обработки персональных данных назначается по ст. 22.1 ФЗ-152. Именно это лицо контролирует актуальность сведений в реестре и своевременность подачи изменений. Требования к квалификации ответственного установлены ч. 4 ст. 22.1 — юридическое или техническое образование либо опыт работы в области защиты персональных данных.

Шаг 5. Проверьте связку: сайт — реестр — внутренние документы

Финальная проверка охватывает три уровня согласованности, которые инспектор РКН проверяет в первые 30 минут плановой проверки.

Уровень 1: сайт. Ссылка в футере ведёт на доступную страницу с актуальным документом. Документ содержит все разделы ч. 2 ст. 18.1. Формы сбора данных содержат ссылку на политику.

Уровень 2: реестр РКН. URL политики в реестре совпадает с фактическим URL на сайте. Цели и категории обработки в реестре совпадают с описанными в политике. Сведения об ответственном лице актуальны.

Уровень 3: внутренние документы. Приказ о назначении ответственного по ст. 22.1 подписан уполномоченным лицом. Согласия субъектов, собранные с 01.09.2025, оформлены как отдельные документы согласно ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Журнал учёта обращений субъектов ПДн ведётся и доступен для представления инспектору.

Если вы юрист и готовитесь к проверке РКН — несоответствие между реестром и фактической политикой на сайте является типовым основанием для протокола. На устранение у вас есть время до даты проверки, но не менее 10 рабочих дней на ответ по запросу субъекта по ст. 20 ФЗ-152. Юристы DATUM проведут аудит всех трёх уровней согласованности.

Подготовиться к проверке РКН

Типовые ситуации: как нарушения фиксируются на практике

Ситуация 1. Ссылка в футере есть, но ведёт на 404. После редизайна сайта URL политики изменился, уведомление в РКН не обновлялось. Инспектор при плановой проверке фиксирует два нарушения: отсутствие доступа к политике (ч. 3 ст. 13.11) и недостоверность сведений в реестре. Для устранения потребовалось восстановить доступ к документу и подать уведомление об изменении сведений по форме Приказа №180. Штраф в десятки тысяч рублей по ч. 3 ст. 13.11 был назначен за период недоступности.

Ситуация 2. Политика есть, но согласие вшито в текст документа. Юридическая компания (Центральный ФО, начало 2026) использовала практику «согласие путём ознакомления с политикой». После 01.09.2025 такой способ не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156: согласие должно быть оформлено отдельным документом. РКН при проверке указал на несоответствие и предписал переоформить форму сбора данных. Нарушение квалифицировано по ч. 2 ст. 13.11 КоАП — диапазон для юридического лица 300 000–700 000 ₽.

Ситуация 3. Оператор не в реестре, но сайт работает и собирает данные. Небольшой интернет-магазин (Сибирский ФО, осень 2025) обрабатывал данные покупателей без уведомления РКН. Политика конфиденциальности на сайте имелась. При жалобе субъекта РКН возбудил дело по ч. 10 ст. 13.11 — неуведомление о намерении обрабатывать. Штраф составил сотни тысяч рублей. Наличие политики на сайте не освобождает от обязанности уведомить регулятора по ст. 22 ФЗ-152.

Услуги DATUM по теме

Комплект ОРД под ключ — политика, согласия, приказы, регламенты по чек-листу 38 пунктов
Аудит соответствия 152-ФЗ — проверка сайта, реестра, внутренних документов с отчётом
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет включает: политику обработки персональных данных (ч. 2 ст. 18.1 ФЗ-152), уведомление в реестре РКН (ст. 22), приказ о назначении ответственного лица (ст. 22.1), согласия субъектов в соответствии со ст. 9 ФЗ-152, журнал учёта обращений субъектов и регламент реагирования на инциденты. С 01.09.2025 к этому добавляется требование оформлять согласие отдельным документом по ФЗ-156 от 24.06.2025. Полный пакет ОРД насчитывает около 38 документов в зависимости от специфики обработки.

2. Как составить политику обработки ПДн?

Структуру политики определяет ч. 2 ст. 18.1 ФЗ-152: документ должен содержать разделы о целях и правовых основаниях обработки, категориях субъектов и данных, сроках хранения, правах субъектов и порядке их реализации, мерах защиты. Недостаточно взять шаблон из интернета — разделы должны отражать фактическую обработку конкретного оператора. Политика с перечнем целей, не совпадающим с реальными, или с устаревшим порядком согласий создаёт дополнительный риск при проверке.

3. Кого назначить ответственным по ст. 22.1?

Статья 22.1 ФЗ-152 обязывает юридическое лицо — оператора назначить лицо, ответственное за организацию обработки персональных данных. Требования к квалификации — ч. 4 ст. 22.1: юридическое или техническое образование в области защиты информации либо соответствующий опыт работы. Назначение оформляется приказом. Допускается привлечение внешнего специалиста на условиях аутсорсинга — это соответствует требованиям закона при наличии договора с описанием функций ответственного.

4. Можно ли использовать шаблон политики из интернета?

Готовый шаблон можно использовать как основу, но он требует обязательной адаптации под конкретного оператора: наименование и реквизиты, перечень фактически обрабатываемых категорий данных, реальные цели и правовые основания, актуальные сроки хранения. Шаблон, созданный до 01.09.2025, не учитывает требований ФЗ-156 от 24.06.2025 к оформлению согласий. Роскомнадзор при проверке сопоставляет содержание политики с реальной практикой — расхождения фиксируются как нарушения ст. 5 ФЗ-152 (принцип соответствия целей).

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку персональных данных по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом. Оно не может быть включено в текст договора, политики, оферты или любого другого документа. Обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование оператора, цель, перечень данных и действий с ними, срок, способ отзыва. Ранее полученные согласия, оформленные в составе договора до 01.09.2025, обратной силы не имеют — переоформлять их не требуется, если обработка не изменилась.

Итог

Ссылка на политику из футера — это технический элемент, за которым стоит системное требование: документ должен быть доступен, актуален и согласован с реестром РКН и внутренними документами оператора. Несоответствие хотя бы одного из трёх уровней создаёт основание для протокола при плановой или внеплановой проверке.

Практика DATUM по сопровождению операторов в рамках 152-ФЗ показывает, что большинство нарушений по ч. 3 ст. 13.11 КоАП выявляется при первичном аудите — политика либо устарела, либо не согласована с реестром. Устранение занимает от одной рабочей недели при наличии готовых данных об операторе.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН.

21 декабря 2026 года