Перейти к содержанию
инструкция 4 декабря 2026 По состоянию на 4 декабря 2026

Версионирование политики ПДн: дата обновления

Политика обработки персональных данных — это публичный документ, который оператор обязан актуализировать при каждом изменении состава или целей обработки ПДн. Дата обновления в документе фиксирует версию, которую проверяет Роскомнадзор.
Ст. 18.1 ФЗ-152 обязывает оператора обеспечивать доступность политики — без ограничений, бесплатно. Если дата в документе не совпадает с реальными изменениями в обработке ПДн, это самостоятельное основание для протокола по ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽ для юрлица). После 01.09.2025 требования к согласиям по ФЗ-156 от 24.06.2025 потребовали массового пересмотра политик.
Если вы юрист компании и проверяете пакет ОРД — читайте пошаговую инструкцию по версионированию политики и обязательным датам обновления.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. Несоответствие опубликованной политики фактической обработке ПДн — один из ключевых индикаторов риска при плановой проверке РКН. Юрист, ответственный за ОРД, должен выстроить систему версионирования документа: когда обновлять, что менять, как фиксировать дату и кто подписывает. Эта инструкция даёт пошаговый порядок.

Шаг 1. Определите, когда политика подлежит обязательному обновлению

Политика обработки ПДн не имеет нормативно установленного срока плановой переработки. Обязанность актуализации возникает при наступлении конкретных событий, которые меняют содержание обработки или правовые основания для неё.

Основания для обязательного обновления политики:

  • Изменился перечень обрабатываемых категорий ПДн — добавили биометрию, специальные категории по ст. 10 ФЗ-152 или, наоборот, прекратили их обработку.
  • Изменились цели обработки — запустили новый продукт, программу лояльности, рассылку, подключили CRM или аналитическую платформу.
  • Сменился состав третьих лиц, которым передаются ПДн, — новый подрядчик по поручению, зарубежный обработчик, агрегатор данных.
  • Появилась или изменилась трансграничная передача ПДн (ст. 12 ФЗ-152).
  • Изменились сроки хранения ПДн по категориям субъектов.
  • Вступили в силу новые нормы ФЗ-152 или подзаконных актов, меняющие обязательный состав политики. Так, с 01.09.2025 по ФЗ-156 от 24.06.2025 изменились требования к согласию по ст. 9 ФЗ-152 — политика должна это отражать.
  • Назначен новый ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Изменились контактные данные оператора или его реквизиты, используемые при обработке ПДн.
  • РКН вынес предписание, затрагивающее содержание политики.
«Ст. 18.1 ФЗ-152 — оператор обязан принимать меры для обеспечения выполнения обязанностей, установленных законом, в том числе публиковать политику обработки ПДн и обеспечивать неограниченный доступ к ней. Содержание политики должно соответствовать фактической обработке.»

Практическое правило: заведите реестр триггеров обновления политики. Каждый раз, когда внутренний процесс меняет обработку ПДн, юрист фиксирует событие и проверяет, требует ли оно правки политики. Если политика не обновлена после события — это расхождение между документом и реальностью.

Шаг 2. Проверьте обязательный состав разделов по ч. 2 ст. 18.1 ФЗ-152

Перед тем как проставить новую дату, убедитесь, что документ содержит все обязательные разделы. Отсутствие любого раздела при проверке РКН — самостоятельное нарушение.

Обязательные разделы политики по ч. 2 ст. 18.1 ФЗ-152:

  • Наименование и реквизиты оператора — полное юридическое название, ИНН, адрес, контакты ответственного за обработку ПДн.
  • Цели обработки ПДн — конкретные, не абстрактные: «ведение учёта договоров с клиентами», «направление рекламных сообщений с согласия субъекта», «исполнение трудовых обязанностей работников».
  • Правовые основания обработки — со ссылкой на конкретные пункты ст. 6 ФЗ-152 или иные нормы для каждой цели.
  • Перечень обрабатываемых ПДн и их категории.
  • Порядок и условия обработки — автоматизированная/неавтоматизированная, сроки хранения, порядок уничтожения.
  • Сведения о трансграничной передаче, если она осуществляется.
  • Права субъектов ПДн и порядок их реализации — со сроками и контактами для обращений.
  • Сведения об ответственном за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Дата утверждения политики и дата последнего обновления (версия).
«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Контактные данные этого лица должны быть указаны в политике — субъект вправе обратиться с запросом именно к нему.»

Если после 01.09.2025 вы не актуализировали раздел о согласиях в связи с ФЗ-156 от 24.06.2025 — политика не соответствует действующей редакции ст. 9 ФЗ-152. Согласие с этой даты оформляется отдельным документом, не объединяется с договором, офертой или иным текстом. Политика обязана это зафиксировать.

Политика написана, но когда её последний раз обновляли?

Если в политике стоит дата двухлетней давности, а за это время вы подключили CRM, запустили рассылку или сменили ответственного — документ не соответствует фактической обработке. Это индикатор риска при проверке РКН. Юристы DATUM соберут пакет ОРД по актуальным требованиям ст. 18.1 ФЗ-152 и ФЗ-156 от 24.06.2025.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Определите формат версионирования и внесите изменения

ФЗ-152 не устанавливает обязательного формата версионирования политики. На практике РКН и суды ориентируются на наличие актуальной даты в документе и её соответствие реальному сроку последних изменений обработки.

Три рабочих подхода к версионированию:

  • Дата утверждения + дата изменения. В шапке документа указываются обе даты: «Утверждена приказом №__ от DD.MM.YYYY. Последнее изменение: DD.MM.YYYY». Это минимально необходимый формат для проверки РКН.
  • Номер версии + дата. В колонтитуле или шапке: «Версия 3.0 от DD.MM.YYYY». При каждом изменении номер версии инкрементируется. Ведётся отдельный лист изменений с кратким описанием правок по каждой версии.
  • История версий в приложении. Политика содержит приложение «История изменений»: версия, дата, краткое описание правок, ответственный. Это расширенный вариант, полезный при нескольких ежегодных обновлениях.

Что вносить при обновлении:

  • Новую дату в реквизитах документа.
  • Обновлённый текст изменившихся разделов — не просто дату поверх старого текста.
  • Ссылку на приказ об утверждении новой редакции (если принята отдельным приказом) или на то же основание с указанием «в редакции от DD.MM.YYYY».
«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (вступила в силу 01.09.2025) — согласие субъекта на обработку ПДн оформляется отдельным документом, который не объединяется с иными документами. Обязательные реквизиты согласия: ФИО субъекта, контактные данные, наименование оператора, цели обработки, перечень ПДн, срок и порядок отзыва.»

Распространённая ошибка: юрист меняет дату в шапке документа, не трогая текст. Если изменились цели обработки или состав третьих лиц, но разделы политики не обновлены — дата только усугубляет позицию: она свидетельствует, что оператор «просмотрел» реальные изменения.

Шаг 4. Утвердите новую редакцию и опубликуйте документ

После внесения изменений политика утверждается уполномоченным лицом — генеральным директором или иным должностным лицом по уставу. Порядок утверждения фиксируется в приказе.

Порядок утверждения и публикации:

  • Подготовьте проект обновлённой политики с новой датой и всеми правками по существу.
  • Издайте приказ об утверждении новой редакции политики обработки ПДн с указанием даты вступления в силу.
  • Опубликуйте документ на сайте — ч. 2 ст. 18.1 ФЗ-152 требует неограниченного доступа. Если у оператора нет сайта — политика размещается в доступном для субъектов месте (офис, стенд, иное).
  • Обновите файл на сайте: замените документ, проверьте, что ссылка ведёт на актуальную версию, а не на кешированный старый файл.
  • При наличии нескольких площадок (сайт, приложение, личный кабинет) — обновите документ на всех.
  • Если изменение политики связано с изменением уведомления в реестре РКН — подайте уведомление об изменении сведений в соответствии со ст. 22 ФЗ-152 и Приказом РКН №180 от 28.10.2022 через pd.rkn.gov.ru.
«Ст. 22 ФЗ-152 — оператор, ранее направивший уведомление о намерении обрабатывать ПДн, обязан сообщать в РКН об изменении сведений, указанных в уведомлении. Форма изменения сведений — Приказ РКН №180 от 28.10.2022. Срок — до начала обработки ПДн по новым параметрам.»

После публикации зафиксируйте дату в журнале версий политики. Это внутренний документ, который при проверке РКН позволяет доказать, что оператор системно отслеживает актуальность ОРД, а не просто хранит устаревшие файлы.

Если юрист компании готовит пакет ОРД к проверке РКН или после 01.09.2025 обнаружил, что политика не учитывает новые требования к согласиям по ФЗ-156 — 10 рабочих дней на ответ субъекту по запросу (ст. 20 ФЗ-152) и аналогичный срок на устранение нарушений по предписанию. Юристы DATUM проведут аудит ОРД и приведут документы в соответствие.

Заказать аудит 152-ФЗ

Шаг 5. Выстройте систему контроля актуальности политики

Версионирование — это не разовая задача, а процесс. Без системного контроля политика устаревает через 6–12 месяцев даже при относительно стабильной обработке ПДн.

Элементы системы контроля актуальности:

  • Плановый ревью раз в год. Независимо от событий — проверка соответствия политики фактической обработке. Дата ревью — фиксируется в приказе об ответственном по ст. 22.1 ФЗ-152 или в регламенте обработки ПДн.
  • Уведомление ответственного при запуске новых процессов. Отдел маркетинга запускает рассылку, IT подключает новый сервис — ответственный по ст. 22.1 получает уведомление и оценивает, нужно ли обновление политики.
  • Чек-лист при заключении договора с подрядчиком. Если подрядчик обрабатывает ПДн по поручению — проверка, отражён ли он в политике.
  • Мониторинг изменений законодательства. Ответственный отслеживает поправки к ФЗ-152 и подзаконным актам РКН; при вступлении в силу — оценивает необходимость обновления политики.
«Ст. 22.1 ФЗ-152 — ответственный за организацию обработки ПДн обязан организовывать приём и обработку обращений субъектов, контролировать соответствие обработки требованиям закона, доводить до сотрудников требования нормативных актов и локальных документов.»

Если функция ответственного по ст. 22.1 передана на DPO-аутсорсинг — мониторинг изменений и инициатива по обновлению политики входят в зону ответственности аутсорсера. Это снимает с юриста компании задачу постоянного отслеживания поправок.

Что подготовить для актуальной политики ПДн

  • Реестр целей и оснований обработки ПДн — сопоставить с текущим текстом политики.
  • Перечень третьих лиц, которым передаются ПДн, — проверить отражение в политике и уведомлении РКН.
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с актуальными данными должностного лица.
  • Образцы согласий, применяемых с 01.09.2025 по ФЗ-156 от 24.06.2025, — проверить соответствие реквизитам ст. 9 ФЗ-152.
  • Приказ об утверждении актуальной редакции политики с датой и подписью руководителя.

Какие типовые ошибки при версионировании политики выявляет РКН?

Анализ практики проверок РКН выявляет повторяющиеся нарушения, которые ведут к протоколам по ч. 3 ст. 13.11 КоАП.

Ситуация 1 — Дата не обновлена после изменений. Компания подключила новую CRM и начала собирать данные об истории покупок клиентов. Цель и перечень ПДн фактически изменились, но политика не обновлялась 2 года. При проверке РКН фиксирует расхождение: в уведомлении о намерении обрабатывать ПДн одни цели, в политике — те же старые, в реальной системе — другие. Итог: протокол по ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных документами оператора) и по ч. 3 ст. 13.11 КоАП (ненадлежащее выполнение обязанности по публикации политики). Суммарно — до 360 000 ₽ при первичном нарушении.

Ситуация 2 — Смена ответственного не отражена в документах. Юридический директор, бывший ответственным по ст. 22.1 ФЗ-152, покинул компанию. Новый назначен приказом, но политика, уведомление в реестре РКН и внутренний регламент по-прежнему содержат данные прежнего сотрудника. Субъект направил запрос на контактный адрес из политики — ответа не последовало. РКН получил жалобу субъекта. Стратегия: при каждой смене ответственного — три одновременных действия: приказ о новом назначении, обновление политики, подача уведомления об изменении сведений по форме Приказа РКН №180.

Ситуация 3 — Политика актуальна, но согласия не приведены к требованиям 01.09.2025. Компания обновила политику в апреле 2025 года — до вступления в силу ФЗ-156 от 24.06.2025. После 01.09.2025 согласие продолжает выдаваться в составе договора оферты, а не отдельным документом. Политика декларирует одно, реальная форма согласия — другое. Основание для протокола по ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия). Штраф для юрлица — 300 000–700 000 ₽.

Как применяется версионирование на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025): юрист обнаружил при подготовке к плановой проверке РКН, что политика не менялась с 2022 года, тогда как за три года были подключены два подрядчика по обработке данных и запущена программа лояльности с новыми целями. После обращения в DATUM юристы составили реестр всех изменений обработки ПДн, подготовили новую редакцию политики версии 4.0, обновили уведомление в реестре РКН и обеспечили синхронизацию всех дат. Проверка РКН прошла без протоколов.

Кейс 2. Торговая сеть (Сибирский ФО, начало 2026): после вступления в силу ФЗ-156 от 24.06.2025 компания получила жалобу субъекта о том, что согласие на обработку ПДн включено в договор купли-продажи, а не оформлено отдельно. РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Юристы DATUM помогли оперативно привести согласия к новым требованиям ст. 9 ФЗ-152, обновить политику с актуальной датой и подготовить позицию для РКН с указанием на принятые меры. Штраф был снижен ниже минимума в рамках производства по делу.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД по ст. 18.1 ФЗ-152 включает: политику обработки ПДн (публичная), приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025, инструкцию по обработке ПДн, соглашения с обработчиками, действующими по поручению (ст. 6 ч. 3 ФЗ-152), журнал учёта обращений субъектов. Если оператор направил уведомление в РКН по ст. 22 ФЗ-152 — актуальное уведомление и подтверждение регистрации в реестре.

2. Как составить политику обработки ПДн?

Политика должна содержать все разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: реквизиты оператора, цели обработки, правовые основания, перечень ПДн, сроки хранения, сведения о третьих лицах и трансграничной передаче, права субъектов и контакты для обращений, данные ответственного по ст. 22.1. Документ утверждается приказом руководителя, публикуется на сайте в открытом доступе. Шаблон из интернета — только отправная точка: его необходимо адаптировать под реальную обработку ПДн конкретной компании.

3. Кого назначить ответственным по ст. 22.1?

По ст. 22.1 ФЗ-152 оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Это может быть штатный юрист, специалист по ИБ, HR-директор или иное должностное лицо с достаточными полномочиями. Закон не требует специальной лицензии — нужны практические знания законодательства и доступ к внутренним процессам обработки ПДн. Альтернатива — DPO-аутсорсинг, при котором функция передаётся специализированной организации.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников не соответствует требованиям ст. 18.1 ФЗ-152 без адаптации под конкретную компанию: у каждого оператора свои цели обработки, категории ПДн, третьи лица и сроки хранения. РКН при проверке оценивает соответствие политики фактической обработке, а не наличие красиво оформленного документа. Использование универсального шаблона без правок — это гарантированное расхождение политики с реальностью и основание для протокола.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 оформляется исключительно отдельным документом. Включать его в договор, оферту, политику конфиденциальности или любой иной текст нельзя. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок согласия и порядок отзыва. Ранее полученные согласия, оформленные по старым правилам, переоформлять не требуется — обратной силы у ФЗ-156 нет.

Итог

Версионирование политики ПДн — это не формальность, а рабочий инструмент доказательства соответствия требованиям ФЗ-152. Актуальная дата в документе, соответствующая реальным изменениям обработки ПДн, снимает один из ключевых рисков при проверке РКН и при жалобах субъектов. После 01.09.2025 большинство операторов обязаны обновить политику минимум в части, касающейся согласий по ФЗ-156.

DATUM сопровождает операторов ПДн в части актуализации ОРД: от проверки действующей политики и реестра триггеров обновления до подготовки новой редакции и уведомления РКН об изменении сведений.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156 от 24.06.2025, КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

4 декабря 2026 года