Logo WCR Consulting
WCR Consulting
Политика обработки персональных данных на сайте и в компании: обязательные разделы и типичные ошибки
Олег Просин
12 марта, 2026
11:42 дп
Политика обработки персональных данных на сайте и в компании: обязательные разделы и типичные ошибки
📋 152-ФЗ
Политика обработки персональных данных:
обязательные разделы и типичные ошибки
Разбираем, что должно быть в документе по закону, чем публичная политика на сайте отличается от внутренней, и как избежать предписаний Роскомнадзора.
152-ФЗ ст. 18.1 Сайт и компания Роскомнадзор Типовые ошибки
Содержание статьи
1
Что такое политика ПДн и кому она нужна
2
Обязательные разделы по 152-ФЗ
3
Требования к размещению на сайте
4
Внутренняя политика компании
5
Алгоритм разработки политики
6
Типичные ошибки и их последствия
1. Что такое политика ПДн и кому она нужна

Политика обработки персональных данных — это официальный документ оператора, раскрывающий: какие данные собираются, с какой целью, на каком правовом основании, как защищаются и как долго хранятся. Обязанность иметь такой документ закреплена в п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных».

Важно понимать, что под «политикой» закон подразумевает не один, а фактически два разных документа с разными функциями. Первый — публичный, размещается на сайте и адресован пользователям. Второй — внутренний, регламентирует работу сотрудников организации.

🎯 Кто обязан иметь политику обработки ПДн
🏢 Любые юрлица и ИП 🌐 Владельцы сайтов с формами 👥 Работодатели 🏥 Медицина, образование, торговля

Фактически любая организация, которая собирает хотя бы имя и телефон клиента или ведёт кадровый учёт, является оператором ПДн и обязана располагать политикой обработки данных.

Правовая основа
П. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ
📄
Форма документа
Свободная. Закон не устанавливает единый шаблон
🔍
Что проверяет РКН
Наличие, содержание, доступность и актуальность документа
Важно: отсутствие политики или её размещение «для галочки» без реального соответствия закону — одно из самых частых нарушений, выявляемых Роскомнадзором при плановых и внеплановых проверках.
2. Обязательные разделы по 152-ФЗ

Закон не диктует точную структуру политики, но перечисляет сведения, которые документ должен раскрывать. Их совокупность образует обязательный минимум из восьми блоков. Отсутствие хотя бы одного — основание для предписания РКН.

Раздел 1
Общие положения
Наименование оператора, реквизиты, контакты ответственного за обработку ПДн, область применения политики.
Обязательно
Раздел 2
Цели обработки
Конкретные цели для каждой категории данных — без расплывчатых формулировок вроде «улучшение сервиса».
Обязательно
Раздел 3
Перечень обрабатываемых данных
Категории ПДн (общие, специальные, биометрические) с указанием, какие именно атрибуты собираются по каждой категории.
Обязательно
Раздел 4
Правовые основания
Ссылки на нормы закона или условия договора, легитимирующие обработку каждой категории данных.
Обязательно
Раздел 5
Срoki хранения и уничтожения
Конкретные сроки хранения для каждой категории данных и порядок их уничтожения по истечении сроков.
Обязательно
Раздел 6
Меры защиты
Организационные и технические меры: ограничение доступа, шифрование, резервирование, обучение сотрудников.
Обязательно
Раздел 7
Права субъектов
Порядок реализации прав: доступ, исправление, удаление, отзыв согласия, обжалование — с указанием сроков ответа оператора.
Обязательно
Раздел 8
Передача третьим лицам
Условия и порядок передачи ПДн обработчикам, партнёрам и государственным органам, включая трансграничную передачу.
Обязательно
📌 Дополнительные разделы — не обязательны, но желательны
  • Cookie и пиксели — если сайт использует аналитику и ретаргетинг
  • Автоматизированное принятие решений — при использовании скоринга или ML
  • Обработка данных детей — если целевая аудитория включает лиц до 18 лет
  • Изменение политики — порядок уведомления пользователей об обновлениях
Внимание: политика должна быть актуальной — если организация добавила новую цель обработки или сменила подрядчика, обрабатывающего ПДн, документ необходимо обновить до начала новой обработки, а не после.
3. Требования к размещению на сайте

Ч. 2 ст. 18.1 152-ФЗ обязывает операторов, осуществляющих сбор ПДн через интернет, «обеспечить неограниченный доступ» к политике с помощью публикации в сети. На практике это означает не просто наличие файла где-то на сервере, а конкретные требования к форме и месту размещения.

✅ Как нужно
  • Ссылка в футере на каждой странице сайта
  • Ссылка непосредственно рядом с формой сбора данных
  • Страница открывается без авторизации и регистрации
  • Текст доступен для копирования (не картинка, не PDF без текстового слоя)
  • Чекбокс согласия со ссылкой на политику перед отправкой формы
  • Язык документа совпадает с языком сайта (или дублируется)
❌ Частые нарушения
  • Политика есть, но ссылка спрятана в разделе «О компании»
  • Документ требует авторизации для просмотра
  • Загружен сканированный PDF без возможности поиска
  • Форма отправляется без ссылки на политику и без чекбокса согласия
  • Документ не обновлялся более 1–2 лет и не отражает реальную обработку
  • Политика на русском, сайт на русском + английском — перевода нет
🔓
Доступность
Без ограничений, регистрации и платного доступа — 24/7
📌
Расположение
Футер сайта + рядом с каждой формой сбора данных
Формат
Веб-страница или текстовый PDF с возможностью поиска
Совет: разместите политику по стабильному URL (например, как это сделано на сайте WCR Consulting) и не меняйте адрес страницы — иначе ссылки в старых чекбоксах согласия станут нерабочими, что фиксируется как нарушение при проверке.
4. Внутренняя политика компании

Публичная политика на сайте и внутренняя политика компании — разные документы с разными адресатами. Путаница между ними — одна из наиболее частых ошибок операторов: они публикуют на сайте внутренний регламент с чувствительными деталями или, наоборот, ограничиваются только публичной версией, не регламентируя работу персонала.

🌐 Публичная политика (на сайте)
  • Адресована субъектам ПДн — клиентам, пользователям
  • Раскрывает: цели, основания, права субъектов, контакты
  • Язык — доступный, без технических деталей реализации
  • Размещается в открытом доступе на сайте оператора
  • Не содержит конфиденциальных технических сведений
🏢 Внутренняя политика (для компании)
  • Адресована сотрудникам и руководству
  • Регламентирует: процессы, роли, инструменты, процедуры
  • Язык — технический, детализированный, со ссылками на ИС
  • Является конфиденциальным документом компании
  • Включает порядок реагирования на инциденты

Внутренняя политика, как правило, сопровождается пакетом смежных документов, каждый из которых регламентирует отдельный аспект обработки данных.

📋
Реестр (журнал) обработки ПДн
Перечень всех операций: цели, правовые основания, категории данных, сроки хранения по каждой системе.
📝
Формы согласий
Отдельные шаблоны согласий для каждой цели: на рассылки, на обработку биометрии, на передачу третьим лицам.
🤝
Договоры с обработчиками
Поручения на обработку ПДн для облачных сервисов, колл-центров, курьерских служб и других подрядчиков.
🔐
Регламент информационной безопасности
Технические меры защиты, классификация ИСПДн, порядок доступа и реагирования на инциденты.
Важно: внутренняя политика должна быть утверждена приказом руководителя, а сотрудники, имеющие доступ к ПДн, — ознакомлены под подпись. Устная инструктажа недостаточно: при проверке РКН потребует лист ознакомления.
5. Алгоритм разработки политики

Разработать политику «с нуля» — задача, требующая методичного подхода. Ниже представлен пятишаговый алгоритм, который позволяет создать документ, соответствующий реальным процессам компании, а не скопированный из интернета шаблон.

1
Провести аудит обработки ПДн
Составьте полный перечень: какие данные собираются, в каких информационных системах хранятся, кто имеет доступ, какие подрядчики вовлечены. Без этого шага политика будет описывать несуществующие процессы.
📊 Реестр операций🔍 ИСПДн и подрядчики
2
Определить правовые основания
Для каждой категории данных и каждой цели обработки установите конкретное основание: согласие, договор, законная обязанность или законный интерес. Смешивание оснований — распространённая ошибка проверяемых.
⚖ Ст. 6, 9, 10, 11 152-ФЗ⚠ Нельзя «на всякий случай» брать согласие
3
Написать текст в двух версиях
Публичная версия — для сайта, понятным языком без технических деталей. Внутренняя — детализированный регламент для сотрудников. Оба документа утверждаются приказом руководителя.
🌐 Публичная версия🏢 Внутренняя версия
4
Разместить и интегрировать на сайте
Опубликуйте политику по постоянному URL, добавьте ссылку в футер и рядом с каждой формой сбора. Убедитесь, что чекбоксы согласия ссылаются на актуальный документ и правильно логируют факт дачи согласия.
📌 Футер + формы⚠ Постоянный URL без редиректов
5
Настроить процесс актуализации
Политика — живой документ. Назначьте ответственного за её обновление, установите регулярный ревью (не реже раза в год) и триггеры для внеочередных обновлений: новые системы, смена подрядчиков, изменения в законодательстве.
🔄 Ежегодный ревью📅 Триггеры обновления
Совет: не копируйте чужие политики — это создаёт риск несоответствия реальной обработке. Каждый раздел должен описывать именно ваши данные, ваши цели и ваши системы, иначе при проверке инспектор зафиксирует расхождение как самостоятельное нарушение.
6. Типичные ошибки и их последствия

При проверках Роскомнадзора нарушения в области политики обработки ПДн фиксируются почти в каждой организации. Вот четыре ошибки, которые встречаются чаще всего — и к чему они приводят.

📋
«Рыбная» политика, скопированная из интернета
Компания берёт шаблон, меняет название и логотип, но не адаптирует под реальные процессы: в политике числятся цели и данные, которые фактически не обрабатываются, а реальные — не указаны. При проверке такое расхождение квалифицируется как предоставление недостоверных сведений.
Риск: предписание + штраф до 100 000 ₽ по ч. 1 ст. 13.11 КоАП РФ; при повторном нарушении — до 300 000 ₽.
Решение: провести аудит фактической обработки до написания текста — политика описывает то, что реально происходит, а не то, что хотелось бы показать.
🔗
Ссылка на политику ведёт на несуществующую страницу
После редизайна сайта или смены CMS URL политики меняется, но старые ссылки в чекбоксах форм не обновляются. Пользователь, нажимая «Согласен с политикой», не может прочитать документ — согласие юридически недействительно.
Риск: согласия, полученные через нерабочую ссылку, могут быть оспорены субъектом ПДн; при жалобе в РКН — предписание об устранении.
Решение: настроить мониторинг работоспособности ссылок (можно через Google Search Console или простые uptime-сервисы); при редизайне — обязательная проверка всех форм.
📅
Политика не обновлялась после изменений в бизнесе
Компания запустила CRM, подключила новый колл-центр или начала использовать ML-скоринг, но политику не обновила. Новые цели и обработчики не отражены в документе — налицо нарушение принципа прозрачности (ст. 5 и 18.1 152-ФЗ).
Риск: предписание + штраф; если новая обработка затрагивает специальные категории ПДн — санкции существенно выше.
Решение: внести обновление политики в чек-лист запуска любого нового ИТ-решения или партнёрства, предполагающего обработку ПДн.
🌐
Политика есть, но не соответствует требованиям к размещению
Документ существует, но спрятан в разделе «Юридическая информация» без ссылки в футере, либо доступен только после авторизации. Формально оператор «имеет» политику, но не выполняет требование ч. 2 ст. 18.1 об обеспечении неограниченного доступа.
Риск: предписание об устранении нарушения и штраф до 60 000 ₽ за нарушение порядка сбора ПДн (ч. 1 ст. 13.11 КоАП РФ).
Решение: разместить ссылку в футере каждой страницы и непосредственно рядом с каждой формой сбора данных.
Нужна актуальная политика обработки ПДн?
WCR Consulting разрабатывает политику «под ключ»: аудит реальных процессов, подготовка публичной и внутренней версий, интеграция с формами сайта и сопровождение при проверке РКН.
Получить консультацию Наша политика ПДн
Category : Персональные данные
Tags : 152-ФЗ защита данных обязанности оператора персональные данные политика конфиденциальности Роскомнадзор