Вопрос по закону

Политика конфиденциальности и согласие на обработку ПД 2026

Актуально на 16 мая 2026

Проверено редакцией PonytnoAI на соответствие законодательству РФ. Как мы работаем

Запускаете сайт / сервис / магазин — собираете контакты, заказы, регистрации? Без политики обработки ПД и согласия штраф до 18 млн ₽.

AI поможет:

  • соберёт политику обработки ПД с обязательными разделами по ст. 18.1 ФЗ-152
  • составит форму согласия на обработку ПД (ст. 9) под ваши процессы
  • напомнит про уведомление Роскомнадзора (ст. 22 ФЗ-152) — обязательно с 2022 года
  • разберёт штрафы ст. 13.11 КоАП и риски при утечке
Подготовить документыСпросить AI

Любой оператор персональных данных (сайт, магазин, сервис, ИП, ЮЛ) обязан опубликовать политику обработки персональных данных (ст. 18.1 ч. 2 ФЗ № 152-ФЗ) — это публичный документ с описанием целей, объёма, способов обработки и прав субъектов. Дополнительно для каждого случая сбора ПД нужно письменное согласие пользователя (ст. 9 ФЗ-152) — на сайтах оформляется через активную галочку с ссылкой на политику. С 2022 года все операторы (включая ИП) обязаны уведомлять Роскомнадзор о начале обработки ПД (ст. 22 ФЗ-152) — через pd.rkn.gov.ru. Штрафы за отсутствие политики, не уведомление РКН или нарушение принципов обработки — по ст. 13.11 КоАП РФ: от 5 000 до 18 000 000 ₽ для юрлиц при утечке.

Кто обязан публиковать политику

По статье 18.1 ч. 2 ФЗ № 152-ФЗ оператор обязан опубликовать политику обработки ПД в случае, когда обработка осуществляется с использованием средств автоматизации (любой сайт / CRM / база данных). На практике — это все, кто собирает контактные данные пользователей:

  • Интернет-магазины (форма заказа, регистрация, доставка).
  • Сайты с формой обратной связи или подпиской на email.
  • Сайты с регистрацией пользователей.
  • Лендинги с формой заявки.
  • Корпоративные сайты с контактной формой.
  • Образовательные платформы.
  • Мобильные приложения.
  • Облачные сервисы (SaaS).

Даже простая контактная форма «Имя + Email» — это обработка персональных данных. Освобождение от обязанностей оператора есть только для физлиц при использовании ПД для личных и семейных нужд (ст. 1 ч. 2 ФЗ-152) — но это к бизнесу не относится. Если у вас на сайте есть форма — политика обязательна.

Что обязательно в политике обработки ПД

По статье 18.1 ФЗ-152 + Постановлению Правительства РФ № 1119 от 01.11.2012, политика должна содержать:

  • Наименование и реквизиты оператора (полное название, ИНН/ОГРН, адрес, контакты).
  • Цели сбора и обработки ПД — конкретно: «оказание услуг», «доставка заказов», «информирование о новых предложениях».
  • Категории субъектов ПД: пользователи сайта, клиенты, контрагенты, сотрудники.
  • Перечень обрабатываемых ПД: ФИО, email, телефон, адрес, IP, cookies, история заказов. Без перечня — нарушение принципа определённости.
  • Правовые основания: согласие субъекта (ст. 6 ч. 1 п. 1 ФЗ-152), исполнение договора (п. 5), исполнение закона (п. 2-3).
  • Способы и сроки обработки: ручная / автоматизированная, хранение в БД, срок хранения по каждой категории.
  • Лица, которым передаются ПД: курьерская служба, платёжная система, рекламные сервисы (Yandex, Google), CRM-провайдер.
  • Меры защиты: технические (шифрование, контроль доступа, бэкапы) и организационные (приказ о назначении ответственного, инструкции).
  • Права субъектов: на доступ, изменение, удаление, отзыв согласия (ст. 14 ФЗ-152).
  • Контакты для обращений: email и телефон ответственного за обработку ПД.
  • Порядок изменения политики и уведомления пользователей.
  • Дата вступления в силу.

Согласие на обработку ПД — отдельный документ

Политика — это публичный документ о принципах обработки. Согласие — это персональное волеизъявление субъекта на обработку его конкретных данных (ст. 9 ФЗ-152). Это разные документы, и оба нужны.

  • Форма согласия: на сайте — активная галочка с надписью «Я даю согласие на обработку моих персональных данных в соответствии с [ссылка на политику]».
  • Содержание согласия по ст. 9 ч. 4 ФЗ-152: ФИО субъекта (или способ его идентификации); цель обработки; перечень ПД; перечень действий с ними; срок действия; способ отзыва согласия.
  • Сохранять в БД факт согласия: ID пользователя, IP, дата, время, версия политики на момент согласия.
  • Согласие на распространение (передача в открытом доступе) — отдельная категория, с 2021 года требует ОТДЕЛЬНОГО согласия по ст. 10.1 ФЗ-152. Для соцсетей и баз отзывов — критично.
  • Согласие можно отозвать в любой момент (ст. 9 ч. 2) — оператор обязан прекратить обработку и уничтожить ПД в течение 30 дней, если иное не предусмотрено законом.

Уведомление Роскомнадзора — обязательно

С сентября 2022 года ВСЕ операторы ПД обязаны уведомить Роскомнадзор о начале обработки ПД (изменения в ст. 22 ФЗ-152, ФЗ № 266-ФЗ от 14.07.2022). Ранее были исключения для ряда категорий — теперь нет.

  • Подача уведомления — через сайт Роскомнадзора pd.rkn.gov.ru → форма электронного уведомления. С квалифицированной ЭЦП или через Госуслуги.
  • В уведомлении указываются: реквизиты оператора, цели обработки, категории субъектов, перечень ПД, перечень действий, дата начала обработки, наличие трансграничной передачи, меры защиты.
  • После рассмотрения вы попадаете в Реестр операторов ПД на сайте РКН. Сведения там публичные.
  • Уведомление подаётся ОДИН раз; при изменении данных нужно подать актуализацию.
  • За неподачу уведомления — штраф по ст. 19.7 КоАП РФ (для ИП 300–500 ₽, юрлиц 3 000–5 000 ₽). Само по себе небольшой штраф, но при проверке РКН выявляет это сразу.

С 01.09.2022 ФЗ № 266-ФЗ от 14.07.2022 резко сузил перечень исключений из обязанности уведомлять РКН. Ранее действовавшие исключения (включая обработку только в рамках трудовых отношений) фактически отменены — большинство операторов сейчас обязаны подавать уведомление. Сохранились лишь узкие частные случаи (например, обработка для целей государственной защищаемой информации). Интернет-бизнес и обычная коммерческая деятельность под действующие исключения НЕ попадают — уведомление обязательно.

Штрафы по ст. 13.11 КоАП РФ

НарушениеГражданеДолжностные / ИПЮрлица
Обработка ПД без согласия (ч. 2)6–10 тыс. ₽20–40 тыс. ₽30–150 тыс. ₽
Отсутствие политики (ч. 3)1–3 тыс. ₽3–10 тыс. ₽15–60 тыс. ₽
Невыполнение требования об уничтожении / уточнении (ч. 5)1–2 тыс. ₽4–10 тыс. ₽25–60 тыс. ₽
Утечка ПД до 10 тыс. субъектов (ч. 8)3–5 тыс. ₽10–30 тыс. ₽3–5 млн ₽
Утечка от 10 до 100 тыс. субъектов (ч. 9)5–10 тыс. ₽30–50 тыс. ₽5–10 млн ₽
Утечка свыше 100 тыс. субъектов (ч. 10)10–15 тыс. ₽50–100 тыс. ₽10–15 млн ₽
Повторное нарушение (ч. 11)оборотный штраф от 1% до 3% годовой выручки, но не более 500 млн ₽

Редакция ст. 13.11 от 30.11.2024 (ФЗ № 420-ФЗ, действует с 30.05.2025) ужесточила штрафы — за утечку свыше 100 тыс. субъектов юрлицу грозит до 15 млн ₽, а при повторе — оборотный штраф от 1% до 3% годовой выручки (но не более 500 млн ₽). Это не теоретические страшилки — РКН активно штрафует.

AI соберёт политику и согласие на ПДОпишите ваш сайт / сервис: какие данные собираете, для чего, кому передаёте. AI составит политику + согласие + памятку по уведомлению РКН.Собрать документы

Что делать — по шагам

Минимальный комплект для законной работы: политика на сайте + согласие при сборе + уведомление РКН + базовые технические меры защиты.

  1. 1

    Опишите процессы обработки ПД

    Что собираете (email, телефон, ФИО, адрес), для чего, где хранится (сервер, CRM), кому передаёте (платёжка, доставка). Это основа политики.

  2. 2

    Соберите политику обработки ПД

    Через AI-мастер. Все обязательные пункты по ст. 18.1 ФЗ-152. Опубликуйте на сайте по постоянному URL (например, /politika-pd).

  3. 3

    Настройте согласие на сайте

    На всех формах: галочка «Я даю согласие на обработку ПД» + ссылка на политику. Сохраняйте факт согласия в БД (IP, дата, версия).

  4. 4

    Подайте уведомление в Роскомнадзор

    Через pd.rkn.gov.ru. С КЭП или через Госуслуги. Обычно рассматривается 30 дней — после внесут в реестр операторов.

  5. 5

    Назначьте ответственного и пропишите меры

    Приказ о назначении ответственного за обработку ПД. Инструкции для сотрудников. Базовые технические меры: шифрование пароля, контроль доступа, бэкапы, журналы.

  6. 6

    Версионируйте и обновляйте политику

    При изменении процессов — новая версия с указанием даты. Уведомляйте пользователей через баннер / email. Сохраняйте предыдущие версии — для доказательства, что было принято.

На основании чего

ФЗ-152ст. 9Согласие субъекта персональных данных на обработку его персональных данныхФЗ-152ст. 18.1Меры, направленные на обеспечение выполнения оператором обязанностейФЗ-152ст. 22Уведомление об обработке персональных данныхФЗ-152ст. 14Право субъекта персональных данных на доступ к его персональным даннымКоАП РФст. 13.11Нарушение законодательства РФ в области персональных данных

Частые вопросы

Нужна ли политика обработки ПД для небольшого сайта?

Да, если у вас есть любая форма для сбора контактов, регистрация или приём заказов. По ст. 18.1 ч. 2 ФЗ № 152-ФЗ обязательство публиковать политику не зависит от размера бизнеса — оно есть у любого оператора с автоматизированной обработкой (через сайт / CRM). Простая контактная форма «Имя + Email» — уже обработка ПД. Освобождения для малого бизнеса нет.

Чем политика отличается от согласия на обработку ПД?

Политика — это публичный документ о принципах обработки ПД (общие правила, цели, права субъектов). Согласие — это персональное волеизъявление каждого пользователя на обработку именно его данных. Политика публикуется на сайте по постоянному URL и обязательна для всех (ст. 18.1 ФЗ-152). Согласие оформляется при сборе данных через активную галочку и хранится в БД (ст. 9 ФЗ-152). Оба документа — обязательны.

Что значит «уведомить Роскомнадзор» о начале обработки ПД?

С 1 сентября 2022 года все операторы обязаны направить в Роскомнадзор уведомление о начале обработки ПД через сайт pd.rkn.gov.ru (ст. 22 ФЗ-152, изменения по ФЗ № 266-ФЗ). В уведомлении: реквизиты оператора, цели обработки, категории ПД, меры защиты. После рассмотрения попадаете в Реестр операторов ПД. За неуведомление — штраф ст. 19.7 КоАП до 5 тыс. ₽ для ИП, но при проверке РКН это автоматически фиксируется, и идут другие нарушения.

Какой штраф за отсутствие политики обработки ПД?

По ст. 13.11 ч. 3 КоАП РФ: для гражданина 1–3 тыс. ₽, должностного лица / ИП 3–10 тыс. ₽, юрлица 15–60 тыс. ₽. Сам по себе небольшой штраф, но РКН при проверке часто выявляет ещё и обработку без согласия (ч. 2 — до 150 тыс. ₽ юрлицу), не уведомление о начале обработки, отсутствие назначенного ответственного — штрафы суммируются.

Какие штрафы при утечке ПД?

По редакции ст. 13.11 КоАП от 30.11.2024 (ФЗ № 420-ФЗ, действует с 30.05.2025): утечка ПД до 10 тыс. субъектов — для юрлиц 3–5 млн ₽; от 10 до 100 тыс. — 5–10 млн ₽; свыше 100 тыс. — 10–15 млн ₽; при повторе крупных утечек — оборотный штраф от 1 до 3% годовой выручки оператора, но не более 500 млн ₽. Утечка фиксируется со слов пострадавших, обнаруженных в сети баз или жалоб субъектов. Меры защиты в политике и реально — критичны.

Кто такой «ответственный за обработку ПД» и нужно ли его назначать?

По ст. 22.1 ФЗ-152 оператор обязан назначить ответственного за организацию обработки ПД (приказом). Это может быть руководитель, бухгалтер, юрист, или внешний консультант (для малого бизнеса). Его задачи: контроль соблюдения законодательства о ПД, обработка обращений субъектов, взаимодействие с РКН при проверках. Сведения о нём указываются в уведомлении РКН.

Что писать про cookies и аналитику (Yandex Metrika, Google Analytics)?

Cookies — это персональные данные (по позиции РКН и судебной практике 2022-2024). В политике нужно: указать использование cookies, цели (аналитика, персонализация), перечень сервисов (Yandex Metrika, Google Analytics, Facebook Pixel) — каждый из них работает как ваш контрагент-обработчик. Дополнительно: cookie-баннер с возможностью отказа (для соответствия европейскому GDPR, если есть пользователи из ЕС, и общая хорошая практика). Сбор cookies без явного согласия — нарушение.

Можно ли передавать ПД зарубежным сервисам?

Да, но с соблюдением правил трансграничной передачи (ст. 12 ФЗ-152). Для стран, обеспечивающих адекватный уровень защиты ПД (список ведёт РКН — есть Европа, Канада, Япония и др.) — без дополнительных условий. Для остальных (США, большинство азиатских стран) — нужно отдельное согласие субъекта именно на трансграничную передачу + уведомление РКН до начала такой передачи. Любые SaaS-сервисы с серверами за рубежом (зарубежная CRM, email-рассылка, аналитика) — это трансграничная передача. Это самая частая проблема для интернет-бизнеса.

Не нашли ответа на свою ситуацию?

Опишите её своими словами — AI ответит со ссылками на конкретные статьи законов РФ.

Читайте также

ВопросОферта и пользовательское соглашениеВопросСогласие на обработку ПД ребёнкаВопросNDA — соглашение о конфиденциальностиПроверкаПроверить политику обработки ПД

Материал носит информационно-справочный характер, проверен на соответствие законодательству РФ по состоянию на 16 мая 2026 и не является юридической консультацией. Для значимых решений обратитесь к юристу.