Политика конфиденциальности
по 152-ФЗ — за 5 минут

Обновлено: 23.04.2026 · Учтены ФЗ-420 от 30.11.2024 и вступившие в силу 30.05.2025 и 01.09.2025 нормы

Что такое политика конфиденциальности и зачем она нужна

Политика конфиденциальности — это публичный документ, в котором оператор персональных данных раскрывает, какие данные он собирает, на каком правовом основании, с какими целями и как долго хранит. В российском праве требование к этому документу установлено частью 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: оператор обязан опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных.

Отсутствие политики или её несоответствие 152-ФЗ квалифицируется по статье 13.11 КоАП РФ — это от 6 000 до 60 000 ₽ для юридических лиц за каждое нарушение. После вступления в силу ФЗ-420 штрафы за утечки выросли до 15 млн ₽, а повторная утечка карается оборотным штрафом 1–3% годовой выручки в диапазоне 20–500 млн ₽.

Политика нужна не только формально. Она фиксирует ваши юридические позиции в спорах с пользователями, позволяет подключать аналитику и платёжные системы с соблюдением закона, а также даёт возможность корректно уведомить Роскомнадзор об обработке ПДн.

Что изменилось с 2025 года: ФЗ-420, штрафы и обязательное уведомление РКН

Федеральный закон от 30.11.2024 № 420-ФЗ внёс изменения в КоАП РФ и Федеральный закон № 152-ФЗ. Часть норм вступила в силу 30 мая 2025 года, часть — 1 сентября 2025 года. Это самая жёсткая реформа защиты персональных данных в России за последние десять лет.

Ключевые изменения для владельцев сайтов и приложений:

• Уведомление Роскомнадзора стало обязательным для всех операторов — независимо от того, ИП это или крупная компания. Исключений для малого бизнеса и самозанятых больше нет.
• Штрафы за утечки ПДн — до 15 млн ₽ за первый факт, 1–3% годовой выручки (20–500 млн ₽) за повторный. Если утечка содержит 1–10 тысяч записей — штраф 3–5 млн ₽; 10–100 тысяч — 5–10 млн ₽; более 100 тысяч — 10–15 млн ₽.
• Уголовная ответственность (новая статья 272.1 УК РФ) — за передачу ПДн третьим лицам вне законных оснований. Наказание — до 10 лет лишения свободы.
• Расширение прав субъектов ПДн — срок ответа на обращение сокращён с 30 до 10 рабочих дней (с возможностью продления до 20).

Это означает, что даже сайт-визитка ИП с одной формой обратной связи теперь должен: подать уведомление в Роскомнадзор, опубликовать актуальную политику конфиденциальности, иметь cookie-баннер и отвечать на запросы субъектов ПДн в установленные сроки.

Обязательные разделы политики конфиденциальности по 152-ФЗ

Минимальный состав документа, без которого политика считается не соответствующей требованиям — предусмотрен статьёй 18.1 ФЗ-152 и приказом Роскомнадзора от 24.02.2021 № 18. Ниже — каждый блок, который должен быть в политике любого российского сайта.

Данные оператора (ст. 18.1)

Для юридического лица — полное наименование, ОГРН, ИНН, юридический адрес, email для обращений. Для ИП — ФИО, ОГРНИП, адрес регистрации, email. Для самозанятого — ФИО и ИНН. Контактный email должен быть рабочим: срок ответа на обращение — 10 рабочих дней по обновлённой редакции 152-ФЗ.

Цели и правовые основания обработки (ст. 6, 9)

Статья 6 ФЗ-152 перечисляет 11 правовых оснований обработки — от согласия субъекта до исполнения договора и требований закона. Политика должна явно называть основание для каждой категории данных. Например: обработка email для рассылки — согласие субъекта; обработка ФИО и адреса для доставки товара — исполнение договора; передача данных в налоговый орган — требование закона.

Права субъектов персональных данных (ст. 7, 14)

Закон гарантирует субъекту: право на доступ к своим данным, на их уточнение и удаление, на отзыв согласия, на обжалование действий оператора в Роскомнадзоре или суде. В политике нужно описать конкретный порядок реализации этих прав — обычно через email оператора с указанием срока ответа (10 рабочих дней).

Уведомление Роскомнадзора

С 30.05.2025 — обязательно для всех операторов. Уведомление подаётся через портал регулятора и вносится в реестр операторов персональных данных. В политике рекомендуется указать регистрационный номер оператора в реестре РКН — это повышает доверие пользователей и упрощает проверки.

Cookie, аналитика и рекламные сервисы

Cookie-файлы — персональные данные в смысле разъяснений Роскомнадзора, если позволяют идентифицировать пользователя (сочетание cookie + IP + User-Agent уже даёт идентификацию). Политика должна перечислять используемые аналитические и рекламные сервисы: Яндекс.Метрика, Google Analytics, VK Pixel, РСЯ, Top.Mail.Ru, Google Tag Manager, Meta Pixel. Для каждого указывается цель обработки и тип собираемых данных. Дополнительно на сайте должен быть cookie-баннер, блокирующий загрузку аналитики до согласия пользователя.

Для кого обязательна политика конфиденциальности

Для ИП и самозанятых

Даже если вы — индивидуальный предприниматель на НПД или упрощёнке и собираете через сайт только email для обратной связи, вы считаетесь оператором ПДн. С 30.05.2025 ИП обязаны подавать уведомление в Роскомнадзор наравне с юридическими лицами. Отсутствие политики — штраф 10 000–20 000 ₽ по ст. 13.11 ч. 1 КоАП РФ. Политика должна содержать ФИО, ОГРНИП и актуальный email оператора.

Для Telegram-ботов и чат-ботов

Telegram-бот, собирающий у пользователя email, телефон, имя или платёжные данные — оператор ПДн. Требования те же, что к сайтам: политика должна быть опубликована по ссылке, которую бот присылает при первом взаимодействии (обычно в welcome-сообщении). Размещать документ можно на отдельной странице на сайте оператора или в самом боте через команду /privacy. Telegram ID пользователя сам по себе — не персональные данные, но в сочетании с именем или контактом — уже ПДн.

Для интернет-магазинов и маркетплейсов

Интернет-магазин обрабатывает максимальный объём ПДн: ФИО, адрес доставки, телефон, email, платёжные данные, историю покупок. Политика должна отдельно описать каждый канал передачи данных: в службу доставки (СДЭК, Почта России, Boxberry), в платёжную систему (ЮKassa, Сбербанк), в CRM и сервис рассылок. Для приёма оплаты картой необходимо указать в политике, что обработка платёжных данных выполняется платёжной системой согласно стандарту PCI DSS, а сам магазин их не хранит. Политика размещается в футере каждой страницы и на чекауте перед кнопкой «Оплатить».

Для мобильных приложений и PWA

Мобильное приложение — полноценный оператор ПДн. Политика должна быть доступна до установки (в магазине приложений — App Store, Google Play, RuStore) и после (в настройках или About-экране). Для PWA — ссылка в манифесте и в интерфейсе приложения. Особое внимание — к разрешениям: геолокация, доступ к камере, контактам, уведомлениям. Каждое разрешение — отдельная цель обработки в политике.

Как пользоваться нашим генератором

Генератор строит персонализированный документ на основе ваших ответов за 7 шагов: данные оператора, тип проекта, категории собираемых ПДн, аналитика и пиксели, платёжные системы, рассылки, третьи стороны. На восьмом шаге вы получаете готовый HTML, который можно скопировать, скачать в .docx или сохранить в PDF. Все данные остаются в localStorage браузера — мы не видим ни вашу организацию, ни email пользователей. Подробнее о принципе Zero-PII — на странице «О сервисе».

Типичные ошибки при составлении политики

• Копирование шаблона без адаптации — в документе остаются чужие реквизиты, не перечислены реальные виды обрабатываемых данных. Роскомнадзор при проверке видит несоответствие между политикой и фактической обработкой — штраф гарантирован.
• Отсутствие раздела об уведомлении РКН — после 30.05.2025 это прямое нарушение.
• Неактуальный email оператора — если субъект не получил ответ на обращение за 10 рабочих дней, это основание для жалобы в РКН.
• Размещение только в PDF — поисковики не индексируют, Роскомнадзор считает документ недоступным для субъектов. Правильно — HTML-страница по URL /privacy/.
• Отсутствие cookie-баннера — сам раздел про cookie в политике есть, но аналитика загружается до согласия. Нарушение принципа предварительного согласия.
• Не указана трансграничная передача — если вы используете зарубежный хостинг, CDN, email-сервис (например, Amazon SES) — передача за границу должна быть описана отдельно, с указанием правового основания и страны.
• Нет срока хранения — формулировки «до достижения целей обработки» недостаточно. Нужны конкретные сроки: для данных клиента интернет-магазина — 3 года после последней транзакции, для согласия на рассылку — до отзыва согласия, и так далее.

Нормативная база

Все ссылки ведут на официальный портал правовой информации pravo.gov.ru — первоисточник.

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 08.08.2024)
• Федеральный закон от 30.11.2024 № 420-ФЗ — изменения в КоАП и 152-ФЗ
• Приказ Роскомнадзора от 24.02.2021 № 18 — требования к политике
• Приказ Роскомнадзора от 28.10.2022 № 179 — форма уведомления об обработке ПДн
• Статья 13.11 КоАП РФ — штрафы за нарушения в области ПДн
• Статья 272.1 УК РФ — уголовная ответственность за неправомерную передачу ПДн

Сгенерированные документы носят информационный характер и не являются юридической консультацией. Перед публикацией рекомендуется проверка у квалифицированного юриста. Подробнее о принципах работы сервиса и хранении данных — в политике конфиденциальности сервиса.