Политика обработки персональных данных для сайта: что должно быть внутри
Политика обработки персональных данных - обязательный документ для любого сайта, который собирает данные через формы, cookie или счётчики (ст. 18.1 ч. 1 п. 2 ФЗ-152). Публиковать её нужно на самом сайте, в открытом доступе. Внутри должны быть: цели и состав ПДн, правовые основания, сроки хранения, права субъектов, меры защиты, сведения о cookie и контакты оператора. Скачанный шаблон из интернета формально создаёт видимость документа, но описывает чужую обработку - и это уже нарушение.
Зачем вообще нужна политика обработки персональных данных
Прямое требование - ст. 18.1 ч. 1 п. 2 ФЗ-152 «О персональных данных»: оператор обязан принять документ, определяющий его политику в отношении обработки ПДн. Если сайт собирает данные через интернет, эту политику нужно ещё и опубликовать - ч. 2 той же статьи.
Что считается «сбором через интернет»? Любая форма обратной связи, заявка, регистрация, подписка. Плюс - и тут многие удивляются - счётчики Яндекс.Метрики, IP-адреса посетителей, cookie аналитики. РКН и суды с 2025 года устойчиво квалифицируют IP и идентификаторы сессий как персональные данные по ст. 3 ФЗ-152 (данные, которые «прямо или косвенно» относятся к человеку).
Без политики штраф по ч. 3 ст. 13.11 КоАП - от 30 000 до 60 000 рублей для юрлица, от 10 000 до 20 000 для ИП. Это по одному протоколу. Если найдут несколько нарушений сразу - считают отдельно по каждому.
Что обязательно должно быть в политике - разбор по разделам
Закон не даёт жёсткого списка разделов, но из ст. 18.1, ст. 14 и ст. 22 ФЗ-152 складывается обязательный минимум содержания.
| Раздел | На что опирается | Что будет без него |
|---|---|---|
| Кто оператор, контакты | Ст. 14 ФЗ-152 | Нарушение права субъекта на обращение |
| Цели обработки | Ст. 18.1 | Штраф по ч. 1 ст. 13.11 (150-300 тыс. для юрлица) |
| Состав ПДн | Ст. 18.1 | То же |
| Правовые основания | Ст. 6, ФЗ-156 | Обработка без согласия - ч. 2 ст. 13.11 (300-700 тыс.) |
| Сроки хранения | Ст. 18.1 | То же |
| Права субъекта | Ст. 14 ФЗ-152 | Нарушение ч. 4 ст. 13.11 |
| Меры защиты | Ст. 19, ПП №1119, приказ ФСТЭК №21 | Штраф по ч. 3 ст. 13.11 |
| Cookie и аналитика | Практика РКН 2025-2026 | Штраф по ч. 3 ст. 13.11 (до 60 тыс. для юрлица) |
| Третьи лица / трансграница | Ст. 12, ч. 5 ст. 18 | Штраф по ч. 8 ст. 13.11 (до 6 млн.) |
Кто оператор и как с ним связаться
Наименование (для ИП - ФИО), ИНН, фактический адрес, email и телефон. Субъект данных имеет право обратиться с запросом - у него должна быть реальная возможность это сделать. Без контактов нарушена ст. 14.
Цели обработки
Конкретные, не «для обеспечения деятельности компании». Нормальный пример: «обработка заявок на сайте», «направление информационной рассылки», «аналитика посещаемости». Каждой цели - своё основание, свой состав данных.
Состав персональных данных
Что именно собираете: имя, email, телефон, IP-адрес, cookie-идентификаторы. Если через личный кабинет - может быть паспорт ИП, ИНН, ОГРН. Если через форму записи к врачу - категория «здоровье» (спецкатегория по ст. 10, требует отдельного письменного согласия). Состав должен совпадать с тем, что реально собирается.
Правовые основания обработки
Для каждой цели - своё основание из ст. 6 ФЗ-152. Чаще всего это согласие субъекта, договор, законный интерес. С 01.09.2025 (ФЗ-156) согласие нельзя вшивать в договор или оферту - оно оформляется отдельным документом или действием.
Сроки хранения
Сколько хранится каждая категория данных. «До момента отзыва согласия» не всегда достаточно: для части данных есть минимальные сроки по специальным законам (бухучёт, трудовые отношения). Для обращений с сайта обычно пишут конкретный срок - например, 3 года.
Права субъекта
Право на доступ к своим данным, уточнение, блокировку, удаление, отзыв согласия, обжалование в Роскомнадзор или суд. Это прямое требование ст. 14 ФЗ-152. И срок ответа оператора - 30 дней.
Меры защиты
Подробная техническая документация здесь не нужна - достаточно перечня: шифрование при передаче, разграничение доступа, оценка вреда субъектам. Ссылка на ст. 19 ФЗ-152, ПП РФ №1119 и приказ ФСТЭК №21. Без этого раздела - снова ч. 3 ст. 13.11.
Cookie и аналитика
Отдельный обязательный блок: какие cookie используются, с какими целями, кому передаются данные (например, Яндексу при использовании Метрики), каков срок хранения cookie. Прямой нормы «установите баннер» в ФЗ-152 нет, но описание cookie в политике обязательно. Без него - ч. 3 ст. 13.11, до 60 000 рублей для юрлица.
Третьи лица и трансграничная передача
Если данные передаёте подрядчикам (CRM, email-сервис, платёжный агрегатор) - перечислите их. С 01.07.2025 (ФЗ-23) первичный сбор ПДн граждан РФ должен идти в базы на территории России. Использование Google Forms, Mailchimp, Salesforce без локальной копии - нарушение ч. 5 ст. 18, штраф по ч. 8 ст. 13.11 до 6 000 000 рублей.
Штрафы, которые реально применяют к сайтам
Вот пять составов, с которыми чаще всего сталкиваются владельцы сайтов:
| Нарушение | Статья | Штраф для ИП | Штраф для юрлица |
|---|---|---|---|
| Не опубликована политика / нет сведений о защите | Ч. 3 ст. 13.11 КоАП | 10-20 тыс. руб. | 30-60 тыс. руб. |
| Обработка без согласия или нарушение его состава | Ч. 2 ст. 13.11 КоАП | как должностное лицо (100-300 тыс.) | 300-700 тыс. руб. |
| Обработка без законных оснований / не для своих целей | Ч. 1 ст. 13.11 КоАП | как должностное лицо (50-100 тыс.) | 150-300 тыс. руб. |
| Нарушение локализации (БД граждан РФ не в России) | Ч. 8 ст. 13.11 КоАП | как юрлицо | 1-6 млн. руб. |
| Неподача уведомления в РКН | Ч. 10 ст. 13.11 КоАП | как юрлицо | 100-300 тыс. руб. |
При повторных нарушениях суммы удваиваются и более. Утечки данных - отдельная история с оборотными штрафами до 500 млн рублей.
Где публиковать и как должна выглядеть ссылка
Требование одно: документ должен быть в «неограниченном доступе». Это значит - без регистрации, без входа в личный кабинет, без прокрутки до конца страницы.
Практика, которая работает:
- Постоянная ссылка в подвале сайта на каждой странице, текст «Политика конфиденциальности» или «Политика обработки персональных данных».
- Рядом с каждой формой - ссылка на политику и чекбокс согласия (непредзаполненный).
- Отдельная страница с постоянным URL - лучше HTML, чем PDF: с телефона читается нормально, а роботы РКН сканируют страницы автоматически.
Если политика не находится с главной за 1-2 клика или спрятана в архиве - считайте, что её нет.
Дата публикации или последнего обновления формально не требуется, но при проверке или споре это важный аргумент в вашу пользу.
Почему скачать готовый образец - плохая идея
Главная проблема шаблона из интернета - он описывает чужую обработку, а не вашу.
Типичная картина: шаблон перечисляет «имя, email, телефон» - а у вас форма ещё спрашивает дату рождения и запрашивает паспорт ИП при заключении договора. Шаблон говорит «данные не передаются третьим лицам» - а у вас подключены Яндекс.Метрика, amoCRM и email-рассылка. Шаблон молчит про cookie - а у вас на сайте счётчики.
С точки зрения закона это не «небольшое несоответствие». Обработка, которая не описана в политике - это обработка без надлежащего правового оформления. По ч. 1 ст. 13.11 КоАП - от 150 000 до 300 000 рублей для юрлица.
Кроме того, правовые основания в шаблонах часто устаревшие. После ФЗ-156 (с 01.09.2025) согласие, вшитое в оферту или договор, стало недействительным. Большинство шаблонов в интернете этого не учитывают.
Формально документ есть. По сути - нарушение. Именно так и формулируют инспекторы РКН при проверках.
Как меняется ситуация с проверками в 2026
Два расхожих мифа, и оба вредные.
Первый: «РКН с 2026 штрафует автоматически за любое несоответствие». Это неправда. Реальный порядок такой: автоматический мониторинг, выявление нарушения, предписание об устранении, потом штраф. На практике при первом нарушении суды часто применяют предупреждение по ст. 4.1.1 КоАП.
Второй: «малый бизнес не проверяют». Это было верно до реформы. С 30.05.2025 (ФЗ-420) штрафы выросли кратно, и РКН расширил автоматизированный мониторинг сайтов. Маленький интернет-магазин и крупный ритейлер сканируются одинаково.
Что реально запускает проверки:
- Жалобы от субъектов данных. Один недовольный клиент, который знает свои права, может запустить проверку.
- Конкуренты. Жалобы в РКН как инструмент давления - встречается чаще, чем хотелось бы.
- Роботизированный мониторинг форм и страниц.
Срок устранения при предписании - обычно около 10 рабочих дней. Немного, если документов нет вообще.
Что не работает и о чём обычно забывают
Несколько частых ошибок, которые встречаются даже у тех, кто с документами формально разобрался.
Один чекбокс на всё. С 01.09.2025 нельзя одной галочкой закрыть и согласие на обработку ПДн, и согласие на рекламную рассылку. Это разные правовые основания - ФЗ-152 и ст. 18 ФЗ «О рекламе» №38-ФЗ. Нужно два отдельных чекбокса.
Предустановленные галочки. Чекбокс согласия не должен быть отмечен по умолчанию. Пользователь ставит его сам. Иначе согласие юридически недействительно.
Политика не обновляется. Поставили счётчик Метрики? Подключили новую CRM? Это изменение состава обработки - политику нужно обновить. Многие делают документ один раз и забывают про него.
Google Analytics на сайте. После ФЗ-23 (с 01.07.2025) GA отправляет идентификаторы на американские серверы до попадания в российскую базу - это нарушение локализации. Для аналитики безопаснее Яндекс.Метрика с серверами в России.
Уведомление в РКН не подано. Политика без уведомления - половина дела. Обязанность уведомить РКН до начала обработки закреплена в ст. 22 ФЗ-152. За неподачу - ч. 10 ст. 13.11, от 100 000 до 300 000 рублей для юрлица.
Как привести документ в порядок
По шагам - ниже. Если разбираться самому не хочется или времени нет, пройдите бесплатный экспресс-аудит на пдн152.рф: 2 минуты, покажет что именно нужно привести в порядок. Полный пакет документов под ваш сайт плюс технический аудит форм и чекбоксов - от 9 900 рублей, срок 2-4 рабочих дня.
Пошаговый порядок действий
- Проведите аудит точек сбора данных Пройдитесь по сайту и выпишите: где реально собираются данные (формы, чаты, аналитика, пиксели соцсетей), кто их получает, где хранятся. Занимает час-два, если делать внимательно. Без этого шага документ будет описывать не ваш сайт.
- Составьте политику под вашу обработку Политика должна отражать реальный состав данных, цели и правовые основания - не среднестатистический сайт. Проверьте, что каждая цель обработки покрыта основанием из ст. 6 ФЗ-152. Если есть рассылка - согласие на неё отдельным документом (ФЗ-156, с 01.09.2025).
- Оформите согласия у форм Два отдельных чекбокса: один на обработку ПДн, другой на рекламную рассылку (если она есть). Оба - непредзаполненные. Рядом с каждым - ссылка на соответствующий документ. Фиксируйте факт согласия технически (дата, время).
- Опубликуйте политику и расставьте ссылки Отдельная страница с постоянным URL, доступ без регистрации. Ссылка в подвале каждой страницы. Cookie-баннер с реальным выбором (принять/отклонить/настроить) - до сбора необязательных cookie.
- Проверьте локализацию Если используете Google Analytics, Mailchimp, Salesforce, Google Forms или другие зарубежные сервисы - данные граждан РФ могут уходить за рубеж до попадания в российскую базу. С 01.07.2025 (ФЗ-23) это нарушение. Замените на российские аналоги или настройте локальное хранение.
- Подайте уведомление в РКН Через pd.rkn.gov.ru - электронно. Можно через Госуслуги, отдельная ЭЦП не нужна (достаточно подтверждённой учётной записи). Подаётся до начала обработки. Уведомление - отдельная обязанность, политика её не заменяет.
- Обновляйте политику при изменениях Подключили новый сервис аналитики, добавили форму, сменили CRM - политику нужно обновить. Об изменениях РКН уведомляют не позднее 15-го числа месяца, следующего за месяцем изменений.
Коротко о главном
- Политика обработки ПДн обязательна по ст. 18.1 ФЗ-152 для любого сайта с формами, аналитикой или cookie. Без неё штраф по ч. 3 ст. 13.11 КоАП: до 60 000 рублей для юрлица, до 20 000 для ИП.
- Внутри должны быть: цели и состав ПДн, правовые основания, сроки хранения, права субъектов, меры защиты (ст. 19, ПП №1119, приказ ФСТЭК №21), описание cookie и контакты оператора.
- Публиковать нужно в открытом доступе: ссылка в подвале каждой страницы, без регистрации и скрытых условий.
- Скачанный шаблон описывает чужую обработку. Если реальный состав ПДн на сайте не совпадает с документом - это нарушение ч. 1 ст. 13.11 КоАП, от 150 000 до 300 000 рублей для юрлица.
- С 01.09.2025 (ФЗ-156) согласие на обработку ПДн и согласие на рассылку - два отдельных чекбокса. Одной галочкой больше не обойтись.
- Политика и уведомление в РКН - разные обязанности. Без уведомления штраф по ч. 10 ст. 13.11: до 300 000 рублей для юрлица.
Частые вопросы
Нужна ли политика обработки персональных данных для небольшого сайта-визитки?
Да, если на сайте есть хоть одна форма (обратная связь, заявка, подписка) или счётчик аналитики (Яндекс.Метрика, Google Analytics). IP-адреса и cookie РКН и суды с 2025 года квалифицируют как персональные данные по ст. 3 ФЗ-152.
Можно ли использовать готовый образец политики конфиденциальности?
Формально документ будет - но скорее всего он опишет не вашу обработку. Если реальный состав данных, цели или передача третьим лицам не совпадают с тем, что написано в политике, это нарушение ч. 1 ст. 13.11 КоАП - от 150 000 до 300 000 рублей для юрлица.
Где на сайте нужно разместить политику обработки персональных данных?
Постоянная ссылка в подвале на каждой странице - стандартная практика. Документ должен быть доступен без регистрации и входа в кабинет. Рядом с каждой формой - ссылка на политику и непредзаполненный чекбокс согласия.
Что изменилось в требованиях к политике ПДн в 2025-2026?
Три ключевых изменения. С 01.09.2025 (ФЗ-156) согласие на обработку ПДн нельзя вшивать в оферту или договор - нужно отдельное действие. С 01.07.2025 (ФЗ-23) первичный сбор данных граждан РФ только в российские базы. С 30.05.2025 (ФЗ-420) штрафы по ст. 13.11 КоАП выросли кратно.
Нужно ли уведомлять Роскомнадзор, если политика уже есть?
Политика и уведомление в РКН - разные обязанности. Политику публикуют на сайте, уведомление подают через pd.rkn.gov.ru до начала обработки данных. За неподачу уведомления штраф по ч. 10 ст. 13.11 - от 100 000 до 300 000 рублей для юрлица.
Нужен ли cookie-баннер по российскому законодательству?
Прямой нормы «установите баннер» в ФЗ-152 нет, но практика требует согласия на сбор cookie и IP для аналитики и маркетинга. Минимум - подробное описание cookie в политике с целями, получателями и сроками хранения. Без этого описания - ч. 3 ст. 13.11, до 60 000 рублей для юрлица. Баннер с реальным выбором закрывает вопрос надёжнее.
Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию по вашему конкретному случаю.