ФЗскан.РФ
Документы·10 мин чтения·обновлено 02.05.2026

Политика обработки персональных данных: что должна содержать в 2026 году

Политика обработки персональных данных — главный публичный документ оператора. Это не «галочка для Роскомнадзора», это договор с пользователем. И в случае проверки именно с него начинают.

В этой статье разбираем, что должно быть внутри документа, чем шаблоны из интернета часто плохи и где политику разместить.

Зачем вообще нужна политика

Статья 18.1 ч. 2 152‑ФЗ говорит коротко: оператор обязан обеспечить неограниченный доступ к документу, описывающему его политику в отношении обработки ПДн. То есть — выложить публично, чтобы любой посетитель сайта мог прочитать.

Зачем это нужно: пользователь должен иметь возможность узнать, кто собирает его данные, для чего, как долго хранит и каким образом защищает. Без этого согласие, которое он ставит галочкой в форме, считается «неинформированным» и автоматически недействительным — даже если чекбокс есть.

13 обязательных элементов

Минимальный состав политики выводится из ст. 18.1 ч. 2 и ст. 14 152‑ФЗ. На практике в нормально написанной политике должно быть:

  1. Полное наименование оператора. Не «ООО Ромашка» — а именно как в выписке из ЕГРЮЛ: «Общество с ограниченной ответственностью „Ромашка"». Плюс ИНН, ОГРН, юридический адрес.
  2. ФИО и контакты ответственного за организацию обработки ПДн.Это человек внутри компании — обычно директор, иногда специально назначенный приказом. Достаточно ФИО и e‑mail.
  3. Принципы обработки ПДн. Скучный, но обязательный раздел: законность, целенаправленность, ограничение объёма необходимым (ст. 5 152‑ФЗ).
  4. Правовые основания обработки. На что вы ссылаетесь. Для интернет‑магазина: согласие субъекта (ст. 6 ч. 1 п. 1), исполнение договора купли‑продажи (п. 5), обязанности по бухучёту (НК РФ).
  5. Цели обработки. Конкретно: оформление заказа, доставка, информирование о статусе, маркетинг (с отдельным согласием), аналитика. «Любые цели, связанные с деятельностью оператора» — неприемлемая формулировка, так писать нельзя.
  6. Категории субъектов ПДн. Кто это — посетители сайта, покупатели, контактные лица контрагентов‑организаций, сотрудники.
  7. Перечень обрабатываемых ПДн. ФИО, телефон, e‑mail, адрес доставки, IP, cookie‑идентификатор. Перечень должен быть закрытым — не «и иные сведения».
  8. Способы обработки. Автоматизированная (через программное обеспечение) и/или неавтоматизированная (на бумаге). Перечисляются действия: сбор, запись, систематизация, хранение, использование, передача, удаление.
  9. Сроки обработки и хранения. Привязывайте к разумным основаниям: для договорных отношений — срок действия договора плюс 3 года (исковая давность), для бухгалтерских документов — 5 лет, для маркетинга — до отзыва согласия.
  10. Передача третьим лицам. Здесь перечисляются все, кому уходят данные: курьерские службы, банки‑эквайеры, оператор телефонии (если делаете звонки), Яндекс (Метрика), Google (Analytics, GTM), сервис рассылок и т.д. Каждое лицо — отдельной строкой, с указанием цели.
  11. Трансграничная передача. Если данные уходят за пределы России — указываются страны и основания. Если передачи нет — «трансграничная передача персональных данных не осуществляется».
  12. Меры защиты. Организационные (приказы, регламенты, обучение сотрудников) и технические (HTTPS, разграничение доступа, журналирование, антивирус, резервное копирование).
  13. Права субъекта ПДн и порядок их реализации. Как подать запрос на доступ, исправление, удаление, отзыв согласия. С указанием конкретного e‑mail и срока ответа — 30 дней.

Чего быть не должно

Типичные проблемы шаблонов, скачанных из интернета:

  • Незаполненные плейсхолдеры. Видели документы, где вместо ИНН оператора стоит _________? Это не редкость. Документ с такими пробелами юридически ничтожен — согласия по нему невалидны, в проверке такое скорее всего приведёт к штрафу.
  • Слишком общие цели. «Маркетинговые исследования и предложения услуг любого характера» — это не цель. Должно быть конкретно: «информирование клиента о статусе заказа», «отправка рекламной рассылки на указанный e‑mail».
  • Пропущенный пункт о cookies. Если на сайте есть Метрика или GA — это передача ПДн третьему лицу, и она должна быть явно описана. Шаблоны часто это упускают.
  • Старая редакция. 420‑ФЗ от 30 мая 2025 года ввёл новые штрафы, 266‑ФЗ от 14 июля 2022 поменял правила уведомления в РКН. Шаблон 2019 года не учитывает эти изменения.
  • Согласие, выданное за политику. Это совсем разные документы. Согласие — то, что подписывает (ставит галочкой) клиент. Политика — то, что лежит на сайте и описывает всю систему. Один не заменяет другого.

Где размещать на сайте

По практике Роскомнадзора политика должна быть доступна с любой страницы сайта. Это значит — постоянная ссылка в подвале (footer), видимая на каждой странице. Названия в ссылке — на ваше усмотрение, но самые понятные:

  • «Политика обработки персональных данных» — нейтрально и точно по закону;
  • «Политика конфиденциальности» — привычнее массовому пользователю;
  • «Privacy Policy» — допустимо, но только если у вас англоязычная аудитория.

URL обычно делают с предсказуемым ЧПУ: /privacy, /privacy-policy, /politika-konfidencialnosti. Робот, который читает сайт, и проверяющий Роскомнадзора будут искать именно по этим адресам.

Откуда взять текст

Три варианта по убыванию надёжности:

  1. Заказать у юриста. Стоит 5–15 тыс. ₽ за политику под конкретный бизнес. Самый правильный путь, особенно если на сайте есть нестандартные сценарии: подписка, биометрия, несовершеннолетние, специальные категории ПДн.
  2. Использовать конструктор. На рынке есть несколько сервисов, которые задают вопросы и собирают политику автоматически (CookiePro, Юрист24 и аналоги). Стоит около 1–3 тыс. ₽ — это компромисс между шаблоном и юристом.
  3. Взять шаблон Роскомнадзора. На pd.rkn.gov.ru есть типовая структура. Это минимум, который проходит формально, но не учитывает специфику бизнеса.

Чего не стоит делать — копировать политику с сайта конкурента. Во-первых, это нарушение авторских прав. Во-вторых, в чужой политике могут быть ошибки или пункты, которые не относятся к вашему бизнесу. Слепое копирование — это часто хуже, чем шаблон РКН.

Что делать после публикации

  • Поставить ссылку на политику в подвал каждой страницы сайта.
  • Сослаться на политику в чекбоксе согласия каждой формы. Без этой ссылки согласие не считается информированным — подробнее.
  • Один раз в год — проверять, что политика актуальна. Поменялся подрядчик, появился новый счётчик — обновите.
  • Прогнать сайт через автоматическую проверку — она увидит политику, прочитает её и скажет, всех ли элементов хватает.

Проверить свой сайт по этим пунктам

Запустите автоматическую проверку — она пройдёт по типовым нарушениям 152‑ФЗ и сразу покажет, чего у вас нет.

Запустить проверку →

Читать дальше

7 мин чтения

Согласие на обработку ПДн: чекбокс, который не оспорят в суде

Просто поставить галочку «Согласен» недостаточно. Разбираем, какой текст должен быть рядом с чекбоксом, почему его нельзя ставить отмеченным по умолчанию и что нужно сохранять у себя в базе на случай проверки.

Читать →