Если на вашем сайте есть хотя бы одна форма — с полем «имя» или «телефон» — вы уже обрабатываете персональные данные и обязаны иметь политику конфиденциальности. Это требование 152-ФЗ, и оно распространяется на всех: ИП с лендингом, интернет-магазины, корпоративные сайты и блоги с формой подписки. Отсутствие документа или его формальное наличие без соответствия закону грозит штрафами до нескольких миллионов рублей — с 2025 года санкции существенно выросли.

Ключевые понятия: что нужно знать с первых строк

Прежде чем разбираться в требованиях — несколько определений, без которых остальной текст будет непонятен.

152-ФЗ — это Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Главный российский закон, который регулирует, как компании и предприниматели вправе собирать, хранить и использовать информацию о людях. Именно он обязывает вас иметь политику конфиденциальности.

Персональные данные — любая информация, которая позволяет прямо или косвенно идентифицировать человека. Имя, телефон, email, IP-адрес, данные о браузере — всё это персональные данные.

Оператор персональных данных — организация или физическое лицо, которое самостоятельно или совместно с другими решает, зачем и как обрабатывать персональные данные. Проще говоря: если у вас на сайте есть форма — вы оператор. Неважно, ИП вы или крупная компания.

Субъект персональных данных — человек, чьи данные вы обрабатываете. Ваш пользователь, клиент, подписчик.

Политика конфиденциальности — публичный документ, в котором оператор объясняет пользователям: какие данные он собирает, зачем, как хранит, кому передаёт и как их можно удалить. Публиковать этот документ обязывает ч. 2 ст. 18.1 152-ФЗ.

Содержание

  1. Что такое политика конфиденциальности и кому она нужна
  2. Требования 152-ФЗ в 2026 году — что изменилось
  3. Обязательные элементы политики по закону
  4. Образец политики конфиденциальности 2026
  5. Как разместить политику на сайте правильно
  6. Типичные ошибки и их последствия
  7. Штрафы за нарушения в 2025–2026 году
  8. Чек-лист проверки вашей политики
  9. Часто задаваемые вопросы

Что такое политика конфиденциальности и кому она нужна {#chto-takoe}

Требование публиковать этот документ закреплено в ч. 2 ст. 18.1 152-ФЗ. Формулировка закона охватывает практически любой сайт: если вы собираете данные пользователей любым способом — через форму заявки, подписку на рассылку, корзину интернет-магазина или даже счётчик Яндекс.Метрики — вы оператор персональных данных.

Важное уточнение: Использование счётчика Яндекс.Метрики само по себе может означать обработку персональных данных (в частности, IP-адресов и идентификаторов). Вопрос о признании конкретного субъекта идентифицированным решается в каждом случае отдельно — уточните актуальную позицию Роскомнадзора в первоисточнике.

Кому нужна политика конфиденциальности

  • Любой сайт с формой обратной связи или заявки
  • Интернет-магазин (всегда, без исключений)
  • Лендинг с формой захвата
  • Корпоративный сайт с разделом «Контакты» и формой
  • Блог с формой подписки или комментариями
  • Мобильное приложение
  • SaaS-сервис

Распространённое заблуждение: «у меня маленький сайт, закон не для меня». Закон не делает исключений по размеру бизнеса. ИП с одностраничным сайтом и «Яндекс» находятся под одними требованиями — разница только в размере штрафа.

Политика конфиденциальности vs пользовательское соглашение

Многие путают эти два документа или считают, что одного достаточно. Это разные документы с разными правовыми основаниями, и один не заменяет другой.

Параметр Политика конфиденциальности Пользовательское соглашение
Что регулирует Обработку персональных данных Правила использования сервиса
Основание 152-ФЗ ГК РФ (договорное право)
Обязательность Да, для любого сайта с формами Зависит от типа сервиса
Для кого Пользователи как субъекты данных Пользователи как стороны договора

Политика конфиденциальности отвечает на вопрос «что вы делаете с моими данными». Пользовательское соглашение — «на каких условиях вы предоставляете услугу».

Требования 152-ФЗ в 2026 году — что изменилось {#trebovaniya-152-fz}

За последние два года законодательство о персональных данных существенно ужесточилось. Большинство шаблонов в интернете по-прежнему основаны на редакции закона 2021–2022 годов — это прямой путь к штрафу при проверке.

Ключевые изменения 2024–2025 годов

Оборотные штрафы за утечки данных. С 30 мая 2025 года вступил в силу Федеральный закон от 30.11.2024 № 420-ФЗ, который ввёл оборотные штрафы за утечку персональных данных. Если произошла утечка данных 1 000 и более субъектов, штраф для юридического лица составляет от 5 до 15 млн рублей. При повторном нарушении — от 1 до 3% совокупной выручки за предшествующий год, но не менее 15 млн рублей и не более 500 млн рублей. Уточните актуальные пороговые значения в первоисточнике.

Обязательное уведомление Роскомнадзора об утечках. Оператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов с момента его обнаружения, а в течение 72 часов — направить результаты внутреннего расследования. Это требование закреплено в ч. 3.1 ст. 21 152-ФЗ. Уточните актуальные сроки в первоисточнике.

Требования к трансграничной передаче данных. Передача персональных данных за рубеж регулируется ст. 12 152-ФЗ. Оператор обязан до начала трансграничной передачи направить уведомление в Роскомнадзор. Если вы используете зарубежные сервисы (CRM, email-рассылки, облачные хранилища с серверами за пределами России) — это трансграничная передача, и её необходимо отразить в политике. Передача данных в страны, не обеспечивающие адекватной защиты, требует дополнительных гарантий — уточните актуальный перечень таких стран в ст. 12 152-ФЗ.

Ужесточение требований к согласию. Согласие на обработку данных должно быть конкретным, информированным и однозначным (ст. 9 152-ФЗ). Предварительно установленная галочка недопустима: пользователь должен сам поставить отметку. Если обработка осуществляется в нескольких разных целях — рекомендуется получать согласие отдельно по каждой из них.

Обязательные элементы политики по закону {#obyazatelnye-elementy}

Ч. 2 ст. 18.1 152-ФЗ обязывает оператора публиковать документ, определяющий его политику в отношении обработки персональных данных. Закон не содержит исчерпывающего перечня обязательных разделов, однако из совокупности требований ст. 14, 18, 18.1, 22 формируется список того, что должно быть отражено в документе.

1. Наименование и контакты оператора

Полное юридическое название организации или ФИО индивидуального предпринимателя, ИНН, юридический адрес, контактные данные для обращений по вопросам персональных данных. Анонимных операторов закон не предусматривает.

2. Цели обработки персональных данных

Цели должны быть конкретными. «Улучшение качества услуг» — не цель, а общая формула. Корректные примеры: «исполнение договора купли-продажи», «направление информационных рассылок с согласия пользователя», «техническая поддержка пользователей».

3. Правовые основания обработки

Для каждой цели — своё основание: согласие субъекта (ст. 6 ч. 1 п. 1 152-ФЗ), исполнение договора (п. 5), законный интерес оператора (п. 7) и так далее. Нельзя указать одно основание на все случаи.

Примечание: Понятие «законный интерес оператора» как самостоятельное основание обработки закреплено в п. 7 ч. 1 ст. 6 152-ФЗ. Однако объём и условия его применения в российской правоприменительной практике отличаются от аналогичного основания в GDPR — рекомендуется применять его осторожно и документировать обоснование.

4. Категории обрабатываемых данных

Перечислите конкретно: фамилия, имя, отчество, номер телефона, адрес электронной почты, IP-адрес, данные о браузере и устройстве, файлы cookie, адрес доставки. Избегайте формулировки «иные данные» без расшифровки.

5. Порядок и условия обработки

Как данные обрабатываются — автоматически, вручную или смешанным способом. Кому передаются (третьи лица, партнёры, платёжные системы, курьерские службы) — с указанием оснований передачи.

6. Права субъектов персональных данных

Согласно ст. 14, 20, 21 152-ФЗ, пользователь имеет право получить доступ к своим данным, потребовать их уточнения, удаления, прекращения обработки, а также отозвать согласие. Порядок реализации этих прав и контакты для обращений — обязательный раздел.

7. Сроки обработки и хранения данных

«До достижения целей обработки» — допустимая формулировка, но лучше указывать конкретные сроки. Например: данные для исполнения договора хранятся в течение сроков, предусмотренных налоговым и бухгалтерским законодательством (как правило, 5 лет); данные для рассылки — до отзыва согласия. Уточните актуальные требования в Налоговом кодексе РФ и Федеральном законе от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте».

8. Трансграничная передача данных

Если вы используете зарубежные сервисы (Mailchimp, Salesforce и аналоги, зарубежные облачные хранилища) — укажите это. Перечислите страны, в которые передаются данные. Google Analytics в части передачи данных на серверы за пределами России также квалифицируется как трансграничная передача — уточните актуальную позицию Роскомнадзора.

9. Использование cookies

Яндекс.Метрика, аналитические инструменты, пиксели рекламных систем — всё это потенциально связано с обработкой данных через файлы cookie. Необходим отдельный раздел или самостоятельный документ (политика использования cookies) с описанием: какие файлы используются, для каких целей, как их отключить. Специального закона, регулирующего только cookie, в российском праве нет — требования вытекают из общих норм 152-ФЗ.

10. Порядок актуализации политики

Укажите, как вы уведомляете пользователей об изменениях, и проставьте дату последнего обновления документа.

Образец политики конфиденциальности 2026 {#obrazec}

Ниже — базовая структура документа, адаптированная под требования 152-ФЗ с учётом изменений 2024–2025 годов. Это не финальный текст для прямого копирования — вы обязаны подставить реальные данные своей организации, актуальные цели обработки и конкретные сервисы, которые используете.

5 обязательных правок шаблона под свой сайт

  1. Наименование оператора — полное юридическое название или ФИО ИП, ИНН, адрес
  2. Цели обработки — удалите лишние, добавьте свои реальные цели
  3. Перечень данных — оставьте только те, что вы реально собираете
  4. Третьи лица — укажите конкретные сервисы (платёжная система, служба доставки, email-платформа)
  5. Трансграничная передача — если используете зарубежные сервисы, добавьте соответствующий раздел с уведомлением Роскомнадзора

Варианты шаблонов по типам сайтов

Лендинг с одной формой. Минимальный вариант: сбор имени и телефона для перезвона. Цель одна — обработка заявки. Согласие — через чекбокс у формы. Объём документа — 1–2 страницы.

Интернет-магазин. Расширенный вариант: данные для оформления заказа, доставки, оплаты, программы лояльности, рассылок. Несколько целей обработки, третьи лица (платёжная система, служба доставки, CRM). Объём — 4–6 страниц.

Корпоративный сайт / B2B. Форма обратной связи, подписка на новости, данные контактных лиц. Специфика — обработка персональных данных сотрудников контрагентов. Объём — 2–3 страницы.

SaaS / личный кабинет. Наиболее сложный вариант: регистрационные данные, данные использования сервиса, платёжные данные, логи действий. В случае оказания услуг корпоративным клиентам рекомендуется рассмотреть заключение отдельного соглашения об обработке данных — проконсультируйтесь с юристом.

Как разместить политику на сайте правильно {#razmeshchenie}

Написать документ — половина дела. Его нужно правильно разместить и технически реализовать доступ к нему.

Где должна находиться ссылка

В подвале сайта (footer) — обязательно. Ссылка на политику конфиденциальности в футере — стандарт, который ожидают и пользователи, и проверяющие органы. Ссылка должна быть видимой и рабочей.

Рядом с каждой формой сбора данных — обязательно. Непосредственно у формы должна быть фраза: «Нажимая кнопку, вы соглашаетесь с [ссылка на политику конфиденциальности]». Это фиксирует момент выражения согласия субъектом.

На странице контактов — рекомендуется. Если пользователь пишет вам напрямую, он должен понимать, что его данные будут обработаны.

Как правильно оформить согласие пользователя

Нужен ли чекбокс? Зависит от цели и правового основания. Для обработки данных в целях исполнения заявки текста у кнопки может быть достаточно. Для рассылки, передачи данных третьим лицам в маркетинговых целях — требуется отдельный активный чекбокс, не отмеченный по умолчанию. Конкретное оформление рекомендуется согласовать с юристом.

Текст согласия должен быть конкретным.

  • ❌ Плохо: «Я согласен на обработку персональных данных»
  • ✅ Хорошо: «Я согласен на обработку моих персональных данных (имя, телефон, email) в целях обработки заявки и информирования об услугах компании в соответствии с Политикой конфиденциальности»

Заполненный чекбокс по умолчанию — нарушение. Пользователь должен выразить согласие активным действием (ст. 9 152-ФЗ).

Техническая реализация

URL страницы с политикой должен быть стабильным. Рекомендуемые варианты: /privacy-policy или /politika-konfidentsialnosti. Не размещайте документ только в PDF без HTML-версии. Проверяйте работоспособность ссылок после каждого обновления сайта.

Типичные ошибки и их последствия {#oshibki}

Ошибка Риск Как исправить
Скопирована с другого сайта без правок Несоответствие реальным данным, штраф Адаптировать: наименование, цели, перечень данных
Нет конкретных целей обработки Нарушение ч. 2 ст. 18.1 152-ФЗ Прописать каждую цель отдельно
Нет правовых оснований для каждой цели Нарушение ст. 6 152-ФЗ Указать основание (согласие, договор, закон)
Не упомянуты cookies и аналитика Риск нарушения при использовании счётчиков и трекеров Добавить раздел об использовании файлов cookie
Нет сроков хранения данных Нарушение 152-ФЗ Прописать конкретные или расчётные сроки
Ссылка в подвале не работает Нарушение при проверке Технически проверить после каждого обновления
Нет раздела о трансграничной передаче Нарушение ст. 12 152-ФЗ (если передача есть) Добавить, если используете зарубежные сервисы
Дата последнего обновления — 2019 год Недоверие пользователей, риск проверки Обновлять документ и дату при изменениях
Чекбокс заполнен по умолчанию Недействительное согласие (ст. 9 152-ФЗ) Убрать предзаполнение
Один документ для нескольких разных сайтов Несоответствие реальности Отдельный документ для каждого сайта

Штрафы за нарушения в 2025–2026 году {#shtrafy}

До 2024 года штрафы по ст. 13.11 КоАП воспринимались как несущественные — максимум 300 000 рублей для юридических лиц. Это изменилось.

Актуальные штрафы по ст. 13.11 КоАП РФ

Размеры санкций приведены по состоянию на 2025 год с учётом Федерального закона от 30.11.2024 № 420-ФЗ. Уточните актуальные значения в официальном тексте ст. 13.11 КоАП РФ.

Нарушение Физлица ИП Юрлица
Обработка данных без законного основания до 30 000 руб. до 100 000 руб. до 300 000 руб.
Обработка данных без согласия субъекта до 30 000 руб. до 100 000 руб. до 300 000 руб.
Нарушение требований к политике конфиденциальности до 15 000 руб. до 30 000 руб. до 60 000 руб.
Утечка данных (менее 1 000 субъектов) до 400 000 руб. до 3 000 000 руб.
Утечка данных (1 000 субъектов и более) до 800 000 руб. от 5 000 000 до 15 000 000 руб.
Повторная утечка данных (юрлица) от 1% до 3% годовой выручки, но не менее 15 млн и не более 500 млн руб.

Кто проверяет и как это происходит

Роскомнадзор проводит плановые проверки операторов, включённых в реестр обработчиков персональных данных, и внеплановые — по жалобам субъектов. Жалобу может подать любой пользователь вашего сайта. РКН также проводит автоматизированный мониторинг ряда параметров сайтов — уточните актуальные возможности контроля на официальном сайте РКН.

Коммерческие риски помимо штрафов

  • Яндекс.Директ и ВКонтакте могут отклонить рекламные объявления, если на сайте нет политики конфиденциальности или ссылка ведёт на несуществующую страницу.
  • Платёжные системы (СберБанк, ЮKassa, Т-Банк и другие) при подключении проверяют наличие политики конфиденциальности.
  • App Store и Google Play требуют ссылку на политику при публикации приложения.
  • Репутационные потери: пользователь, которому отказали в удалении его данных, вправе обратиться в Роскомнадзор с жалобой.

Чек-лист: проверьте свою политику конфиденциальности {#chek-list}

Пройдите по каждому пункту применительно к вашему сайту прямо сейчас.

  • Указано полное наименование организации или ФИО ИП с ИНН
  • Есть контактные данные для обращений по вопросам персональных данных
  • Прописаны все реальные цели обработки (конкретно, не обобщённо)
  • Для каждой цели указано правовое основание из ст. 6 152-ФЗ
  • Перечислены все категории обрабатываемых данных
  • Указаны третьи лица, которым передаются данные
  • Прописаны сроки хранения данных
  • Есть раздел о файлах cookie и аналитических инструментах
  • Есть раздел о трансграничной передаче (если используете зарубежные сервисы) и отражено направление уведомления в Роскомнадзор
  • Прописан порядок реализации прав субъектов (доступ, уточнение, удаление, прекращение обработки)
  • Указан порядок отзыва согласия
  • Проставлена дата последнего обновления
  • Ссылка на политику работает в подвале сайта
  • Ссылка на политику есть рядом с каждой формой сбора данных
  • Чекбокс согласия не заполнен по умолчанию

Главный вывод: Политика конфиденциальности — это не формальность и не документ «для галочки». Это юридическая защита вашего бизнеса. Шаблон 2019–2022 годов, скачанный из интернета, уже не соответствует закону. Штрафы за нарушения с 2025 года выросли до десятков миллионов рублей. Минимум, который спасает от санкций: актуальный документ с вашими реальными данными, рабочая ссылка в подвале сайта и правильно оформленное согласие у каждой формы.

Как проверить свою политику прямо сейчас

Откройте ваш сайт и выполните три действия:

  1. Найдите ссылку на политику конфиденциальности в подвале. Если её нет или она ведёт в 404 — это нарушение, которое нужно устранить немедленно.
  2. Откройте любую форму на сайте. Есть ли рядом текст с согласием на обработку данных и ссылкой на политику? Стоит ли по умолчанию галочка?
  3. Откройте сам документ и найдите дату последнего обновления. Если документ датирован ранее 2024 года — он с высокой вероятностью не учитывает актуальные требования.

Если хотя бы один из этих пунктов вызвал вопросы — самое время привести документацию в порядок.

Часто задаваемые вопросы {#faq}

Нужна ли политика конфиденциальности для лендинга с одной формой?

Да. Форма с полем «телефон» или «email» — это уже сбор персональных данных. Вы становитесь оператором с момента первой полученной заявки. Лендинг не освобождает от требований 152-ФЗ. Даже одностраничный сайт ИП обязан иметь политику конфиденциальности, если на нём есть хоть одна форма.

Можно ли скопировать политику с другого сайта?

Технически — можно, юридически — нет. Политика конфиденциальности должна соответствовать реальной деятельности оператора: вашим целям обработки, вашим третьим лицам, вашим срокам хранения. Документ с чужими данными, не соответствующий вашей деятельности, является нарушением и не защитит вас при проверке.

Нужно ли уведомлять Роскомнадзор об обработке персональных данных?

По ст. 22 152-ФЗ большинство операторов обязаны подать уведомление до начала обработки персональных данных. Исключения перечислены в ч. 2 ст. 22 152-ФЗ — они применяются в ограниченном числе случаев. Уведомление подаётся через портал РКН. Проверьте, подпадает ли ваша деятельность под исключения — в первоисточнике или у юриста.

Что делать, если пользователь потребовал удалить свои данные?

По ст. 21 152-ФЗ оператор обязан прекратить обработку и уничтожить данные в течение 30 дней с момента получения обращения. Если данные необходимы для исполнения договора или их хранение предусмотрено законом — обработка может быть продолжена только в этих рамках с уведомлением субъекта. Уточните актуальные сроки в тексте ст. 21 152-ФЗ.

Как часто нужно обновлять политику конфиденциальности?

Обновляйте при: изменении закона, появлении новых целей обработки, подключении новых сервисов (особенно зарубежных), изменении порядка передачи данных третьим лицам. Минимум — проверяйте актуальность раз в год. Документ с датой обновления 2022–2023 года не учитывает изменения 2024–2025 годов и уже несёт риски при проверке.

Связанные материалы:

Проверьте свой сайт бесплатно — соответствует ли он требованиям 152-ФЗ, есть ли политика конфиденциальности, правильно ли оформлено согласие у форм. Автоматическая проверка займёт меньше минуты: ЧистыйСайт — бесплатная проверка сайта