Политика конфиденциальности 2026: 12 обязательных пунктов после поправок

Политика конфиденциальности в 2026 году: зачем она нужна и что изменилось

Политика конфиденциальности — это публичный документ, который оператор персональных данных обязан размещать на своем сайте или в приложении. Обязанность установлена частью 2 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ. Документ должен быть доступен неограниченному кругу лиц и описывать, как именно организация собирает, хранит, использует и защищает персональные данные своих пользователей и клиентов.

После волны поправок 2022-2024 годов требования к содержанию политики конфиденциальности значительно расширились. Федеральный закон от 14.07.2022 N 266-ФЗ добавил новые обязанности оператора, в том числе требования к раскрытию информации о трансграничной передаче данных и об ответственном за организацию обработки персональных данных. Изменения, вступившие в силу с 1 сентября 2022 года, сделали многие ранее достаточные политики конфиденциальности несоответствующими закону. Последующие поправки, внесенные Федеральным законом от 30.11.2024 N 420-ФЗ, существенно увеличили размеры административных штрафов с 30 мая 2025 года — теперь ценой ошибки в документах может стать взыскание на сотни тысяч рублей.

Роскомнадзор при плановых и внеплановых проверках анализирует политику конфиденциальности как один из первых документов. Отсутствие обязательных разделов или их формальное заполнение является основанием для предписания об устранении нарушений и может повлечь административную ответственность по статье 13.11 КоАП РФ. Ниже — полный разбор 12 пунктов, которые должны присутствовать в документе в 2026 году.

12 обязательных пунктов политики конфиденциальности

1. Сведения об операторе персональных данных

Первый и базовый раздел — полные данные об операторе. Политика должна содержать: полное наименование юридического лица или ФИО индивидуального предпринимателя, юридический адрес, ИНН, ОГРН, контактный адрес электронной почты и телефон для обращений по вопросам обработки персональных данных. Если в организации назначен ответственный за организацию обработки персональных данных (это требование статьи 22.1 ФЗ-152), его контактные данные также рекомендуется указать отдельно.

Физическое лицо, обрабатывающее данные в личных целях, не является оператором в смысле закона. Но как только обработка выходит за рамки личных и семейных нужд — возникает статус оператора со всеми вытекающими обязанностями. Для интернет-магазина, онлайн-сервиса или любого сайта с формой заявки наличие данных об операторе в политике обязательно.

2. Категории обрабатываемых персональных данных

Оператор обязан прямо перечислить, какие именно персональные данные он обрабатывает. Закон различает несколько категорий: общие персональные данные (ФИО, адрес, телефон, email), специальные категории (расовая принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, биометрия), а также данные о судимостях.

Специальные категории и биометрические данные требуют отдельного явного согласия субъекта и дополнительных мер защиты. Если оператор работает только с общими данными, он должен прямо указать это и перечислить конкретный состав: например, имя, email, IP-адрес, данные cookie, идентификатор пользователя. Практика проверок показывает, что пункт о категориях данных часто либо полностью отсутствует, либо содержит только общие формулировки без конкретики. Правильный подход — пройтись по каждой точке сбора данных на сайте (форма регистрации, форма заказа, форма обратной связи, аналитика) и составить исчерпывающий список реально собираемых данных.

3. Цели обработки для каждой категории данных

Статья 5 ФЗ-152 закрепляет принцип соответствия целям обработки: данные нельзя собирать про запас или использовать для целей, не указанных при сборе. Политика должна содержать исчерпывающий перечень целей — например: исполнение договора с пользователем, отправка рекламных рассылок (при наличии согласия), аналитика использования сервиса, выполнение требований законодательства (бухгалтерский учет, налоговая отчетность).

Формулировки целей должны быть конкретными. Размытые формулировки типа: улучшение качества услуг или маркетинговые цели — не отвечают требованию определенности и оставляют слишком широкие возможности для произвольной трактовки. Роскомнадзор при проверках обращает внимание именно на соответствие заявленных целей реальной деятельности оператора. Если компания проводит email-рассылки, это должно быть явно указано как цель с соответствующим правовым основанием.

4. Правовые основания обработки персональных данных

Статья 6 ФЗ-152 содержит исчерпывающий перечень оснований, при наличии хотя бы одного из которых обработка персональных данных является законной. Основные основания: согласие субъекта, необходимость для исполнения договора с субъектом, выполнение требований закона, защита жизни и здоровья, выполнение задач в общественных интересах, реализация законных интересов оператора. Для каждой цели обработки в политике должно быть указано соответствующее основание.

Распространенная ошибка — указывать только согласие как единственное основание, тогда как обработка данных сотрудников в рамках трудового договора или данных контрагентов в рамках гражданско-правового договора не требует отдельного согласия на обработку персональных данных. Правильное указание оснований снижает риск признания обработки незаконной при смене или утрате согласия. Кроме того, если оператор ссылается только на согласие, он лишается возможности продолжить обработку данных при отзыве согласия даже в тех случаях, когда закон это позволяет.

5. Категории субъектов персональных данных

Необходимо указать, данные каких лиц обрабатывает оператор: клиентов, пользователей сайта, работников, представителей контрагентов, участников программ лояльности, подписчиков рассылки и т.д. Это помогает субъекту понять, относится ли политика к нему лично, и воспользоваться своими правами. Кроме того, этот раздел напрямую корреспондирует с уведомлением, поданным в Роскомнадзор: перечень субъектов в обоих документах должен совпадать. Расхождение между уведомлением и политикой конфиденциальности — самостоятельное нарушение, которое фиксируется при сверке документов во время проверки.

6. Третьи лица, которым передаются персональные данные

Оператор обязан раскрыть информацию о том, кому и в каких целях передаются персональные данные. Это могут быть: облачные провайдеры (хостинг, резервное копирование), платежные системы (ЮKassa, Сбербанк Эквайринг), рекламные сети (Яндекс Директ, ВК Реклама), CRM-системы (AmoCRM, Битрикс24), сервисы email-рассылок, аналитические платформы.

Для каждой категории получателей нужно указать цель передачи и правовое основание. Если привлекаются сторонние обработчики (лица, действующие по поручению оператора), обработка должна осуществляться на основании договора с ними, включающего обязательные условия из части 3 статьи 6 ФЗ-152. Без такого договора передача данных третьему лицу может быть квалифицирована как незаконная. Особое внимание следует уделить сервисам, данные которых хранятся на зарубежных серверах — здесь возникает дополнительная обязанность по раскрытию трансграничной передачи.

7. Трансграничная передача персональных данных

Если данные передаются за рубеж (например, в облачные сервисы, серверы которых находятся вне России), это необходимо раскрыть в политике. С 1 марта 2023 года действует уведомительный порядок для трансграничной передачи в страны, не обеспечивающие адекватный уровень защиты данных: оператор обязан уведомить Роскомнадзор до начала такой передачи. Статья 12 ФЗ-152 устанавливает перечень стран с адекватным уровнем защиты — для передачи в эти страны предусмотрен упрощенный порядок.

Практически любой сайт, использующий Google Analytics, Google Fonts, CDN-сервисы с зарубежными серверами, осуществляет трансграничную передачу данных. Это часто упускается из виду при составлении политики, что создает серьезный правовой риск. При проверке Роскомнадзор запрашивает данные об используемых сервисах и соотносит их с заявленной в политике информацией о трансграничной передаче.

8. Сроки хранения персональных данных

Принцип ограничения хранения закреплен в статье 5 ФЗ-152: данные должны уничтожаться или обезличиваться по достижении целей обработки или при утрате необходимости в их достижении. Политика должна содержать конкретные сроки хранения для каждой категории данных. Например: данные из форм обратной связи — 1 год, данные по исполненным договорам — 5 лет (в соответствии с требованиями бухгалтерского и налогового законодательства), данные cookie — 1 год с момента последнего визита, данные подписчиков рассылки — до отзыва согласия.

Сроки хранения должны быть обоснованы: либо прямой ссылкой на норму закона, либо целью обработки. Произвольное установление длительных сроков без обоснования противоречит принципу минимизации данных. Сроки в политике конфиденциальности должны совпадать со сроками, указанными в уведомлении в Роскомнадзор и во внутренних локальных актах компании — расхождения являются нарушением.

9. Права субъектов персональных данных

ФЗ-152 закрепляет за субъектом 8 основных прав, все они должны быть перечислены в политике:

  • Право на получение информации об обработке своих данных (статья 14)
  • Право на доступ к своим персональным данным (статья 14)
  • Право на уточнение, блокирование или уничтожение данных при наличии оснований (статья 21)
  • Право на отзыв согласия на обработку (статья 9)
  • Право на защиту прав и законных интересов (статья 17)
  • Право на обжалование действий оператора в Роскомнадзоре (статья 23)
  • Право на обжалование в судебном порядке (статья 17)
  • Право на возмещение убытков и компенсацию морального вреда (статья 17)

Недостаточно просто перечислить права — важно, чтобы следующий раздел раскрывал механизм их реализации. Права без механизма реализации носят декларативный характер и не обеспечивают реальной защиты субъекта. Именно наличие работающего механизма проверяется инспекторами при плановой проверке: они могут направить тестовый запрос и отслеживать скорость и полноту ответа.

10. Порядок реализации прав субъектов

Необходимо объяснить, как именно субъект может реализовать свои права. Укажите: контактный адрес для направления запросов (email и/или почтовый адрес), форму запроса или перечень обязательных сведений в обращении, срок ответа оператора. По общему правилу статьи 22 ФЗ-152 оператор обязан ответить на запрос в течение 30 дней. Для запросов об уничтожении или блокировании данных — в течение 7 рабочих дней (статья 21 ФЗ-152).

Рекомендуется также указать, какие документы должен приложить субъект для подтверждения своей личности при подаче запроса. Это снижает риск обработки запросов от третьих лиц, не имеющих права на получение информации о чужих персональных данных. Хорошей практикой является публикация образца заявления или интерактивной формы запроса прямо в политике конфиденциальности.

11. Политика в отношении файлов cookie

Использование cookie-файлов на сайте подпадает под действие ФЗ-152, если через них собираются данные, позволяющие идентифицировать пользователя (аналитические и рекламные cookie). В политике конфиденциальности необходимо описать: какие виды cookie используются на сайте, для каких целей, кому передаются собранные данные, как пользователь может отказаться от их использования или изменить свой выбор. Подробная классификация cookie с указанием конкретных технологий — это хорошая практика, а не просто формальное требование. Следует также указать срок действия каждого вида cookie и способ управления ими через настройки браузера.

12. Дата последнего обновления документа

Политика конфиденциальности — живой документ, который должен обновляться при изменении законодательства, изменении процессов обработки данных, подключении новых сервисов или прекращении работы со старыми. Дата последнего обновления позволяет пользователям и проверяющим органам понять, актуален ли документ. Рекомендуется также вести историю версий или хранить архивные версии политики — это помогает в спорных ситуациях подтвердить, какую именно версию видел пользователь в момент предоставления согласия. Минимальная периодичность проверки актуальности документа — раз в год, а при существенных изменениях законодательства — немедленно.

Типичные ошибки в политиках конфиденциальности

Ошибка Описание Последствие
Скопированный шаблон Чужая политика без адаптации под реальные процессы компании Несоответствие фактической обработке данных, нарушение ФЗ-152
Отсутствие правовых оснований Не указано, на каком основании обрабатываются данные Предписание РКН, штраф по ст. 13.11 КоАП РФ
Расплывчатые цели обработки Формулировки без конкретики: улучшение сервиса, маркетинговые цели Нарушение принципа определенности цели (ст. 5 ФЗ-152)
Нет раздела о третьих лицах Не указаны облачные провайдеры, рекламные сети, аналитика Скрытая передача данных третьим лицам, нарушение ст. 6 ФЗ-152
Трансграничная передача не раскрыта Сервис использует Google Analytics, но передача за рубеж не указана Нарушение ст. 12 ФЗ-152, риск крупного штрафа
Нет порядка реализации прав Права перечислены, но нет контактов и сроков Формальное несоблюдение требований ФЗ-152
Устаревшая дата обновления Политика не менялась с 2020 года при изменении законодательства Несоответствие актуальным требованиям закона
Нет раздела о cookies Сайт использует аналитику, но cookie не упомянуты Нарушение принципа прозрачности обработки данных

Технические требования к размещению политики

Где должна быть размещена политика

Политика конфиденциальности должна быть опубликована на сайте и находиться в постоянном открытом доступе. Стандартное расположение — ссылка в подвале (footer) каждой страницы сайта. Ссылка должна быть заметной и открываться без регистрации и авторизации. Дополнительно ссылка на политику должна присутствовать рядом с каждой формой, при заполнении которой собираются персональные данные.

Для мобильных приложений политика должна быть доступна в магазине приложений (App Store, Google Play) до установки приложения и внутри самого приложения — как правило, в разделе настроек или профиля. Требование доступности без авторизации имеет принципиальное значение: часть 2 статьи 18.1 ФЗ-152 прямо говорит о неограниченном доступе к документу.

Требования к доступности документа

  • Документ должен открываться без авторизации — неавторизованный пользователь должен иметь к нему полный доступ
  • Текст должен быть читаем на мобильных устройствах — адаптивная верстка обязательна
  • Ссылка на политику должна присутствовать на всех формах сбора данных — регистрация, обратная связь, подписка
  • Политика должна быть доступна на том языке, на котором работает сервис
  • Документ не должен требовать специального программного обеспечения для просмотра
  • Сайт не должен требовать принятия политики как условия доступа к публичному контенту

Порядок обновления политики

При внесении изменений в политику рекомендуется уведомить пользователей — например, через email-рассылку, всплывающее уведомление на сайте или баннер о том, что политика была обновлена. Это не прямое требование ФЗ-152, но хорошая практика, которая снижает риски споров о том, знал ли пользователь о новых условиях обработки данных. Существенные изменения, касающиеся расширения целей обработки или добавления новых категорий данных, могут потребовать получения нового согласия от субъектов. В этом случае необходимо также обновить уведомление в Роскомнадзоре, если изменения затрагивают сведения, отраженные в реестре операторов.

Часть 2 статьи 18.1 ФЗ-152: Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано публиковать указанный документ.

Ответственность за отсутствие или ненадлежащее содержание политики

Статья 13.11 КоАП РФ в редакции, действующей с 30 мая 2025 года, предусматривает значительные штрафы за нарушения в области персональных данных. Отсутствие политики конфиденциальности или непредоставление субъекту информации об обработке его данных квалифицируется по части 1 статьи 13.11 КоАП РФ. Размеры штрафов для юридических лиц начинаются от 60 000 рублей и достигают 100 000 рублей за первичное нарушение, при повторном нарушении — до 300 000 рублей. Роскомнадзор ведет систематический мониторинг сайтов и целенаправленно выявляет операторов, не выполняющих требования об обязательной публикации политики конфиденциальности.

Проверка политики конфиденциальности: практический чек-лист

Перед публикацией или обновлением политики конфиденциальности проверьте следующие пункты:

  1. Указаны полные данные оператора, включая ИНН и адрес для обращений
  2. Перечислены все реально обрабатываемые категории данных — проверьте по каждой форме на сайте
  3. Для каждой цели обработки указано правовое основание из статьи 6 ФЗ-152
  4. Перечислены все третьи стороны, получающие данные, включая сервисы аналитики и CRM
  5. Указана информация о трансграничной передаче, если используются зарубежные сервисы
  6. Сроки хранения данных конкретны и обоснованы
  7. Перечислены все 8 прав субъектов ПДн с указанием порядка реализации
  8. Есть раздел о cookies с описанием используемых технологий
  9. Указана дата последнего обновления документа
  10. Политика доступна без авторизации по прямой ссылке из footer сайта
  11. Содержание политики соответствует уведомлению, поданному в Роскомнадзор
  12. Документ адаптирован под реальные, а не гипотетические процессы компании

Нужна готовая политика конфиденциальности для вашего сайта?

Специалисты 152fzpro.ru разработают политику конфиденциальности, соответствующую всем актуальным требованиям ФЗ-152 и Роскомнадзора. Документ будет адаптирован под реальные процессы обработки данных именно в вашей компании — без шаблонных формулировок и без пробелов, которые выявляются при проверке. Предварительно проводится анализ текущих процессов: какие данные собираются, какие сервисы используются, кому передаются данные. На основе этого анализа разрабатывается документ, который будет точно соответствовать вашей реальной деятельности. Оставьте заявку на сайте или свяжитесь с нами для предварительной консультации.