·9 мин чтения

Шаблон политики конфиденциальности 2026: 12 обязательных пунктов из 152-ФЗ

Какие 12 разделов должны быть в политике по ч. 1 ст. 14 152-ФЗ. Где её разместить, чтобы не получить штраф. Типовые ошибки в скачанных шаблонах: отсутствие реквизитов, общие формулировки целей, нет регистрационного номера в Реестре операторов.

Автор: compliance-команда сервиса

Скачать «политику конфиденциальности» из интернета и подставить своё юрлицо — самая частая ошибка владельцев сайтов. Бот РКН моментально ловит такие документы по отсутствию ваших фактических данных: целей обработки, категорий ПД, реквизитов оператора. Штраф — 30–60 тысяч ₽ по ч. 3 ст. 13.11 КоАП.

152-ФЗ конкретен: в ч. 1 ст. 14 перечислены 12 обязательных разделов, без любого из которых политика не считается соответствующей закону. Разбираем каждый пункт по списку — что писать, как это проверяет автоматический сканер РКН и какие подводные камни.

Где политика должна быть размещена

Закон требует беспрепятственного доступа с любой страницы сайта (ст. 18.1 152-ФЗ). На практике это означает:

  • Ссылка в подвале каждой страницы
  • URL — постоянный (не /policy.pdf, а /privacy или /legal/privacy-policy)
  • HTML-страница, не PDF, не Word — поисковики и сканеры должны её парсить
  • Доступна без авторизации, без cookies-согласия
  • На русском языке (даже если сайт мультиязычный — отдельная русская версия обязательна)

12 обязательных пунктов: чек-лист

1. Реквизиты оператора

Полное юридическое наименование, ИНН, ОГРН, юридический адрес, контактный email и телефон.

Подводный камень: если оператор — физлицо или ИП, всё равно указываются ФИО полностью, ИНН и контакты. «По запросу» не работает — закон требует публичности.

2. Цели обработки

Конкретный список целей: «обработка заявок на услуги», «отправка маркетинговых сообщений с согласия пользователя», «учёт сотрудников», «прохождение собеседований». Каждая цель — с правовым основанием (статья закона или ваш договор).

Подводный камень: формулировка «улучшение работы сайта» — слишком общая, она же часто становится причиной штрафа. Замените на конкретику: «анализ конверсий форм связи через Яндекс.Метрику».

3. Правовое основание обработки

Стандартные основания из ст. 6 152-ФЗ: согласие субъекта (ч. 1 п. 1), исполнение договора (ч. 1 п. 5), исполнение функций оператора по закону (ч. 1 п. 2-4).

Если вы используете легальное основание «исполнение договора», нужно прямо указать, какой договор — оферту, ТОС, договор поставки.

4. Категории ПДн

Точный перечень всего, что собирается. Минимум для обычного коммерческого сайта:

  • ФИО (или хотя бы имя для обращения)
  • email, телефон
  • IP-адрес, cookies, метрики аналитики (Яндекс.Метрика, Top.Mail.Ru)
  • Адрес доставки (для интернет-магазина)
  • Платёжные данные через ЮKassa/CloudPayments

Подводный камень: если в вашей форме есть поле «Должность» или «Компания» — это тоже ПД, не забыть указать.

5. Категории субъектов

Кто эти люди, чьи данные обрабатываются:

  • Клиенты сайта
  • Подписчики email-рассылки
  • Пользователи личного кабинета
  • Сотрудники компании (если кадровые данные тоже на этом домене)
  • Кандидаты на работу (если есть форма «отправить резюме»)

6. Способы обработки

Сбор (через формы, телефон, email), запись в БД, систематизация, накопление, использование для целей из п. 2, передача третьим лицам (если есть), хранение в течение N лет, удаление по требованию субъекта или по достижении целей.

7. Передача ПДн третьим лицам

Перечень всех, кому передаются данные:

  • Хостинг-провайдер (Selectel, Timeweb, Yandex Cloud — указать конкретно)
  • Платёжная система (ЮKassa, CloudPayments)
  • Почтовая рассылка (Unisender, Mailopost — российские; Mailchimp — нельзя)
  • CRM (Битрикс24, AmoCRM)
  • Курьерская служба (для интернет-магазина)

Каждая передача с указанием цели и правового основания. Google Analytics, Mailchimp и Stripe — это трансграничная передача, она требует отдельного согласия и часто попадает под штраф.

8. Сроки обработки и хранения

Конкретные сроки. Минимум 5 лет для договорных данных (бухгалтерское основание), 1 год для cookies-аналитики, до отзыва согласия для маркетинговых рассылок.

9. Меры защиты ПДн

Технические и организационные меры — ст. 19 152-ФЗ. Минимум для сайта:

  • Шифрование TLS (HTTPS)
  • Хеширование паролей
  • Ограничение доступа сотрудников по ролям
  • Логирование действий с ПДн
  • Регулярное резервное копирование
  • NDA с сотрудниками, имеющими доступ к ПД

Подводный камень: «использование SSL-сертификата» — частая формулировка. SSL устарел уже 10 лет назад, актуально TLS 1.2+. Бот РКН проверяет вёрстку и реальное состояние сертификата.

10. Права субъектов ПДн

Перечислить все права из ст. 14 152-ФЗ:

  • Получить информацию о факте обработки своих ПД
  • Уточнить, удалить или заблокировать свои данные
  • Отозвать согласие на обработку
  • Обратиться в РКН за защитой своих прав
  • Обжаловать действия оператора в суде

И — обязательно — работающий канал для реализации этих прав: email или форма обратной связи с указанием срока ответа (по закону — 30 дней, лучше указать «10 рабочих дней» для лояльности).

11. Использование cookies и аналитики

Отдельный раздел про каждое аналитическое или трекинговое решение. Для каждого — название, цель, тип данных, можно ли отключить, как.

Запрещены на сайтах российских юрлиц без отдельного согласия: Google Analytics, Google Tag Manager, Facebook Pixel (Meta признана экстремистской в РФ), Hotjar, Mixpanel, FullStory, Cloudflare Insights. Если они есть на сайте — это автоматический штраф 60–100 тысяч ₽.

12. Регистрационный номер в Реестре операторов ПДн

Тот самый номер, который выдаёт РКН после подачи уведомления. Без него политика автоматически считается не соответствующей закону — это самый частый «улов» бота РКН.

Что точно нельзя писать в политике

  • «Мы оставляем за собой право изменять политику без уведомления» — нельзя, надо информировать пользователей о существенных изменениях за 10 дней
  • «Используя сайт, вы автоматически соглашаетесь с политикой» — недостаточно, должно быть явное согласие через checkbox или клик
  • «Мы не отвечаем за безопасность данных» — это противоречит ст. 19 152-ФЗ, оператор обязан обеспечивать защиту
  • «Мы можем передавать ваши данные нашим партнёрам» — без указания конкретных партнёров и целей это не работает

Кто должен подписать политику

Юридически — генеральный директор или ИП. Утверждается приказом, на сайте обязательно указываются дата утверждения и редакция (например: «Редакция от 15.01.2026, утверждена приказом №3-ОД от 14.01.2026»).

При обновлении политики — менять дату и информировать пользователей. Если у вас есть личный кабинет — отправляйте уведомление по email при изменении существенных пунктов.

Самое быстрое решение

Готовый шаблон, заполненный под ваш сайт, с реквизитами вашего юрлица, конкретными категориями собираемых ПД и регистрационным номером в Реестре — наш сканер генерирует его автоматически после аудита. Заодно проверяет, нет ли у вас на сайте Google Analytics, непрописанных форм согласия и серверов вне РФ.

Подробнее про штрафы за неправильную политику — в отдельной статье про санкции 152-ФЗ.

#152-ФЗ#политика#шаблон#документы