Всплывающее окно с политикой ПДн
Роскомнадзор при плановых и внеплановых проверках контролирует наличие политики конфиденциальности на сайте оператора ПДн и факт ознакомления пользователей с ней. В 2025 году регулятор зафиксировал 118 случаев компрометации баз данных, а административные дела по ст. 13.11 КоАП всё активнее возбуждаются по индикаторам риска — в том числе по отсутствию публично размещённой политики. Эта инструкция охватывает шесть шагов: от проверки уведомления в реестре до тестирования готового окна.
Шаг 1. Проверьте уведомление оператора в реестре РКН
До любой технической реализации убедитесь, что компания включена в реестр операторов ПДн. Оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки — это требование ст. 22 ФЗ-152. Форма подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи, по форме Приказа РКН № 180 от 28.10.2022.
Если уведомление не подано — штраф по ч. 10 ст. 13.11 КоАП составит от 100 000 до 300 000 ₽. Всплывающее окно на сайте без записи в реестре создаёт видимость соответствия, которая не выдержит проверки.
Проверьте актуальность сведений в реестре: цели обработки, категории ПДн, перечень субъектов, страны передачи — всё должно соответствовать тому, что фактически происходит на сайте. Если сведения устарели, подайте уведомление об изменении по той же форме.
Шаг 2. Подготовьте текст политики обработки персональных данных
Всплывающее окно ссылается на политику — её нужно составить раньше, чем верстать само окно. Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна содержать: наименование и адрес оператора; цели обработки; правовые основания; категории и перечень ПДн; порядок и условия обработки; права субъектов и порядок их реализации; сведения о трансграничной передаче (если есть); описание применяемых мер защиты.
Шаблон политики из открытых источников — риск. РКН при проверке сравнивает декларируемые цели и категории ПДн с фактической обработкой. Если сайт собирает cookies аналитики, а политика их не упоминает — это нарушение ст. 5 ФЗ-152 (принцип соответствия объёма целям). Назначьте ответственного по ст. 22.1 ФЗ-152, который утвердит текст политики и будет отвечать за её актуальность.
Политика есть, но написана три года назад под старые требования?
С 01.09.2025 требования к согласиям изменились (ФЗ-156), с 01.07.2025 — к локализации. Политика, не отражающая эти изменения, создаёт основание для протокола по ч. 1 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Определите состав согласия по новым требованиям ст. 9 ФЗ-152
С 01.09.2025 согласие на обработку персональных данных нельзя включать в текст договора, оферты, политики или любого иного документа — оно оформляется отдельным документом (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152). Это ключевое изменение для всплывающих окон: галочка «я согласен с политикой» больше не является законным способом получить согласие на обработку ПДн.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: фамилия, имя, отчество субъекта; его контактные данные; наименование и адрес оператора; цель обработки; перечень ПДн; перечень действий с ПДн; срок действия согласия; способ отзыва. Если всплывающее окно предназначено для сбора согласия — оно должно содержать все эти реквизиты или ссылку на отдельную форму, где они заполняются.
Всплывающее окно теперь выполняет две функции одновременно: (1) уведомляет об обработке ПДн и ссылается на политику — это обязанность по ст. 18.1; (2) служит интерфейсом для оформления отдельного согласия по ст. 9 — через чекбокс, привязанный к самостоятельной форме согласия. Смешивать эти функции в одном тексте без разграничения нельзя.
Шаг 4. Как технически реализовать всплывающее окно?
Техническая реализация должна обеспечить три юридически значимых факта: пользователь ознакомился с политикой (или имел реальную возможность это сделать), выразил согласие в надлежащей форме, факт согласия зафиксирован с привязкой к дате, времени и идентификатору сессии.
Структура окна включает четыре обязательных элемента. Первый — текстовое уведомление: «Мы обрабатываем ваши персональные данные. Ознакомьтесь с политикой обработки.» Второй — ссылка на полный текст политики (открывается в новой вкладке или в том же окне с прокруткой). Третий — отдельный чекбокс для согласия с конкретно сформулированными целями и перечнем ПДн; по умолчанию не отмечен. Четвёртый — кнопка подтверждения, активируемая только после отметки чекбокса.
Фиксация согласия: сохраняйте в базе данных метку времени (timestamp), IP-адрес, User-Agent, версию текста политики (можно хэш документа), идентификатор пользователя или сессии. Без этих данных вы не докажете факт согласия при проверке РКН или судебном споре с субъектом.
Что подготовить для запуска окна
- Выписка из реестра операторов ПДн с pd.rkn.gov.ru — подтверждает, что уведомление актуально и охватывает фактическую обработку
- Текст политики обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, утверждённый приказом руководителя
- Отдельная форма согласия с полным составом реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025
- Технический журнал фиксации согласий: timestamp, IP, версия политики, идентификатор сессии
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Шаг 5. Назначьте ответственного и закрепите порядок обновления
По ст. 22.1 ФЗ-152 оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Это не просто формальная должность: ответственный согласовывает текст политики, контролирует актуальность согласий, отвечает на запросы субъектов в срок 10 рабочих дней по ст. 20 ФЗ-152, взаимодействует с РКН.
Назначение оформляется приказом с указанием конкретного лица, его контактов и круга обязанностей. Контактные данные ответственного публикуются в политике обработки ПДн — это требование ст. 18.1. Если на сайте отсутствуют контакты для обращений субъектов, РКН расценивает это как нарушение обязанности по предоставлению информации (ч. 4 ст. 13.11 КоАП, штраф 40 000–80 000 ₽).
Порядок обновления политики: каждое изменение состава обрабатываемых ПДн, целей или правовых оснований влечёт обновление и политики, и уведомления в реестре РКН. Установите внутренний регламент: кто инициирует обновление, кто согласовывает, в какой срок. Версионирование документа — обязательно: при проверке РКН вы должны показать актуальную версию и историю изменений.
Шаг 6. Протестируйте окно перед запуском
Технический и юридический тест перед публикацией включает четыре проверки. Первая: кнопка подтверждения недоступна без отметки чекбокса — пользователь не может «случайно» согласиться. Вторая: ссылка на политику открывается корректно, документ доступен без авторизации и регистрации (требование ст. 18.1 — неограниченный доступ). Третья: в базе данных после тестового согласия сохраняется полная запись с timestamp и идентификатором версии политики. Четвёртая: окно отображается корректно на мобильных устройствах и не блокируется стандартными расширениями браузера.
После запуска проверьте, что окно показывается новым пользователям и тем, кто очистил cookies — повторный показ отсутствует только при наличии сохранённой метки согласия. Если cookies используются для хранения метки согласия, включите их описание в политику как техническую необходимость и укажите правовое основание обработки.
Какие типовые ошибки ведут к протоколу РКН?
Ситуация 1. Юрист интернет-магазина (Центральный ФО, осень 2025) обнаружил при подготовке к плановой проверке, что форма согласия на сайте включена в текст пользовательского соглашения единым чекбоксом. После 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Разделение заняло две недели разработки; до проверки успели обновить форму и журнал согласий. РКН нарушений по ст. 9 не зафиксировал.
Кейс 2. В деле регионального SaaS-сервиса (Сибирский ФО, начало 2026) инспектор РКН при внеплановой проверке запросил доказательства факта согласия пользователей. Оператор не вёл технический журнал фиксации согласий — только хранил галочку в профиле пользователя без timestamp и версии политики. По результатам проверки составлен протокол по ч. 3 ст. 13.11 КоАП (отсутствие надлежащей политики в публичном доступе) и ч. 2 ст. 13.11 КоАП (согласие без обязательных реквизитов). Штраф — в диапазоне, предусмотренном для юридических лиц: от 300 000 до 700 000 ₽ по ч. 2.
Если вы юрист и уже получили запрос от РКН или обнаружили несоответствие в форме согласия — 10 рабочих дней на ответ субъекту и 30 дней на включение актуальных сведений в реестр не восстанавливаются. Юристы DATUM соберут пакет ОРД под ключ: политика, согласия, приказы, регламент реагирования, журналы.
Собрать ОРД под ключСлужебные вопросы:
Комплект ОРД под ключ — политика, согласия, приказы, журналы: готовый пакет по требованиям ФЗ-152.
Аудит соответствия 152-ФЗ — проверка фактической обработки ПДн по чек-листу 38 пунктов.
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании.
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный комплект ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), уведомление в реестре РКН (ст. 22 ФЗ-152), отдельные согласия субъектов по новым требованиям (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025), журнал учёта обращений субъектов, регламент реагирования на инциденты с ПДн. Полный комплект насчитывает около 38 документов в зависимости от масштаба и характера обработки.
2. Как составить политику обработки ПДн?
Политика должна отражать фактическую обработку — цели, категории ПДн, правовые основания, перечень действий, сведения о передаче третьим лицам и за рубеж. Структуру определяет ч. 2 ст. 18.1 ФЗ-152. Политику утверждает руководитель приказом, публикует на сайте в открытом доступе. Шаблоны из интернета создают риск: содержат устаревшие нормы и не соответствуют конкретной деятельности компании.
3. Кого назначить ответственным по ст. 22.1?
Ответственный по ст. 22.1 ФЗ-152 — это штатный сотрудник или лицо на аутсорсинге, назначенное приказом руководителя. Закон не устанавливает обязательной юридической квалификации, но требует знания норм ФЗ-152 и возможности реально исполнять обязанности: отвечать на запросы субъектов в 10 рабочих дней (ст. 20 ФЗ-152), взаимодействовать с РКН, актуализировать документы. Контактные данные ответственного публикуются в политике.
4. Можно ли использовать шаблон политики из интернета?
Использование готового шаблона — распространённая ошибка. РКН при проверке сверяет декларируемые цели и категории ПДн с фактическими: собирает ли сайт cookies аналитики, передаёт ли данные зарубежным сервисам (GA4, рекламные пиксели), обрабатывает ли специальные категории ПДн. Несоответствие политики реальной обработке квалифицируется как нарушение принципа законности и соответствия целям по ст. 5 и ст. 18.1 ФЗ-152. Безопаснее заказать документ под конкретную деятельность.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 согласие на обработку ПДн оформляется только отдельным документом (ФЗ-156 от 24.06.2025, ст. 9 ФЗ-152). Его нельзя включить в договор, оферту, пользовательское соглашение или политику. Реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Согласия, полученные до 01.09.2025 по прежним правилам, переоформлять не нужно — обратной силы норма не имеет.
6. Что делать, если пользователь отозвал согласие через всплывающее окно?
Оператор обязан прекратить обработку ПДн, для которой требовалось согласие, в срок, установленный законом или договором, — а при его отсутствии в разумный срок. По ст. 21 ФЗ-152 при отзыве согласия данные уничтожаются или обезличиваются, если иное основание обработки отсутствует. Факт отзыва фиксируйте в журнале: дата, идентификатор субъекта, способ отзыва. Невыполнение требования субъекта об уничтожении ПДн влечёт штраф по ч. 5 ст. 13.11 КоАП от 50 000 до 90 000 ₽.
Итог
Всплывающее окно с политикой ПДн — не технический виджет, а юридически значимый элемент системы согласий. После 01.09.2025 оно должно обеспечивать: доступность политики по ст. 18.1 ФЗ-152 и оформление отдельного согласия по ст. 9 ФЗ-152. Без технического журнала фиксации согласий и актуального уведомления в реестре РКН окно не защищает от протокола по ст. 13.11 КоАП.
Юристы DATUM сопровождают операторов ПДн при подготовке полного комплекта ОРД, включая политику, форму согласия, приказ по ст. 22.1 и технические регламенты. При необходимости — представляем интересы в РКН и арбитраже.
19 января 2027 года