Вы думаете: «У нас есть Политика — скачали с сайта, распечатали, под подписью — и всё»?
Нет.
Роскомнадзор не смотрит на «наличие». Он смотрит на точность, конкретику и соответствие реальности.
Одна неверная формулировка — и вы получаете предписание.
Два несовпадения — и штраф от 30 000 ₽.
А если вы используете Google Analytics, WhatsApp или CRM за рубежом — до 18 млн ₽.
Политика обработки персональных данных — это не «документ для галочки».
Это ваш юридический щит.
Если она написана неправильно — она не защищает. Она обвиняет вас.
Зачем нужна Политика?
1. Законное основание — п. 2 ст. 18.1 ФЗ-152 требует её наличия. Без неё — нарушение.
2. Инструкция для сотрудников — кто, что, когда и как делает с данными.
3. Инструмент доверия — клиенты видят, что вы не «собираете всё подряд».
Какие законы и рекомендации нужно учитывать?
- ФЗ-152 от 27.07.2006 — основа. Все требования — отсюда.
- Методические рекомендации Роскомнадзора от 31.07.2017 — не обязательны по тексту, но обязательны на практике. Проверяющие ссылаются на них в 95% случаев.
- Приказ ФСБ № 378 — если обрабатываете ПДн в ИСПДн.
- Постановление Правительства № 1119 — если работаете с госсистемами.
Важно: Сам ФЗ-152 — не правовое основание для обработки. Он регулирует порядок, но не даёт вам право собирать данные. Это частая ошибка.
Подготовка документов для работы с персональными данными 2026 для организаций
7 обязательных разделов Политики
1. Общие положения
Чётко определите:
- Кто — оператор (ФИО/наименование, ИНН, адрес)
- Кто — субъект ПДн (клиент, сотрудник, посетитель)
- Что — обработка (сбор, хранение, передача, уничтожение)
- Что — конфиденциальность (недопущение доступа третьих лиц)
- Права субъекта: доступ, исправление, удаление, отзыв согласия
Не пишите: «Согласно закону…»
Пишите: «Оператор — ООО «Ромашка», ИНН 7701234567, г. Москва, ул. Ленина, д. 1»
2. Цели обработки
Каждая цель — отдельно. Не «для маркетинга». Не «для улучшения сервиса».
Примеры:
- Для заключения и исполнения договора купли-продажи
- Для оформления трудового договора
- Для отправки заказа на адрес, указанный при регистрации
- Для проведения опроса удовлетворённости клиентов (с согласия)
- Для рассмотрения заявки на вакансию
Ошибка: «Для целей бизнеса»
Правильно: «Для отправки товара на адрес, указанный в заказе»
3. Правовые основания
Каждой цели — своё основание.
Цель | Основание
Заключение договора | п. 1 ст. 6 ФЗ-152 — исполнение договора
Работа с сотрудником | п. 1 ст. 6 — трудовые отношения
Рассылка рекламы | п. 1 ст. 6 — согласие
Передача в банк для перевода | п. 1 ст. 6 — исполнение договора
Ошибка: «Основание — ФЗ-152»
Правильно: «Основание — исполнение договора, заключённого с субъектом ПДн»
4. Категории ПДн и субъектов
Перечислите конкретные данные по группам:
Категория субъекта | Обрабатываемые ПДн
Клиенты | ФИО, телефон, email, адрес доставки, IP-адрес, cookie
Сотрудники | ФИО, паспорт, СНИЛС, ИНН, банковские реквизиты, фото для пропуска
Соискатели | ФИО, резюме, контактные данные, данные об образовании
Посетители сайта | IP-адрес, cookie, данные браузера, геолокация
Обязательно: Укажите, если обрабатываете:
- Специальные категории (здоровье, религия, политика)
- Биометрические данные (отпечатки, лицо)
5. Условия и порядок обработки
Опишите:
- Способы: автоматизированные / неавтоматизированные
- Сроки хранения: «3 года с момента прекращения взаимодействия»
- Передача третьим лицам:
→ Кто (например: «ООО «Почта России»)
→ Зачем («для доставки заказа»)
→ Как защищены данные («договор с обязательствами по защите ПДн»)
- Трансграничная передача:
→ Если используете Google Analytics, WhatsApp, Meta Pixel, Cloudflare — обязательно укажите
→ Укажите: «Данные передаются в США/Германию/Ирландию»
→ Укажите: «Соблюдены требования ст. 12 ФЗ-152»
Обязательно: «Базы данных с ПДн граждан РФ находятся на территории Российской Федерации» (ч. 5 ст. 18)
6. Исправление, блокирование, уничтожение
- Как субъект может запросить исправление — через форму на сайте / email
- Как удаляются данные после достижения цели — в течение 30 дней
- Как уничтожаются носители — акт уничтожения, подпись ответственного
- Как реагировать на запросы — регламент, сроки (не более 30 дней)
7. Меры безопасности
Ссылки на ЛНА:
- Приказ о назначении ответственного
- Инструкции для ИТ, кадров, маркетинга
- Положение о защите ПДн
- Журналы доступа и инцидентов
Не пишите: «Применяются технические меры»
Пишите: «Данные шифруются с использованием СКЗИ, сертифицированного ФСБ (№ 12345), доступ контролируется через RBAC, журналы хранятся 3 года»
Подготовка документов для работы с персональными данными 2026 для организаций
Как разработать и утвердить Политику: 5 шагов
1. Назначьте ответственного — ФИО, должность, подпись в приказе.
2. Напишите текст — по шаблону выше, без копирования из интернета.
3. Утвердите приказом руководителя — дата, номер, печать.
4. Ознакомьте сотрудников под подпись — журнал обязательный.
5. Опубликуйте на сайте — отдельная страница, доступна без регистрации.
Ошибка: «Согласие с Политикой» — галочка по умолчанию
Правильно: «Я даю согласие на обработку ПДн» — чекбокс пустой, пользователь сам ставит галочку
6 самых опасных ошибок
1. Используете шаблон из интернета — не адаптирован под ваш бизнес → штраф 30 000–60 000 ₽
2. Не разделяете данные по категориям — «все данные» → нарушение принципа минимизации
3. Не указываете трансграничную передачу — Google Analytics, Mailchimp → штраф до 18 млн ₽
4. Не обновляете Политику — после запуска нового сервиса → предписание + штраф
5. Не публикуете на сайте — нарушение п. 3 ст. 13.11 КоАП
6. Пишут «согласно закону» вместо конкретных статей → Роскомнадзор не примет
Штрафы за отсутствие или ошибки в Политике
Нарушение | Штраф
Отсутствие Политики | 30 000–60 000 ₽ (юрлицо)
Неопубликованная на сайте | 30 000–60 000 ₽
Неточное описание целей | 30 000–60 000 ₽
Скрытие трансграничной передачи | 600 000 ₽ — 18 млн ₽
Несоответствие реальности | 30 000–60 000 ₽ + предписание
Подготовка документов для работы с персональными данными 2026 для организаций
Какие ещё документы нужны?
- Приказ о назначении ответственного за ПДн
- Инструкции для отделов (ИТ, кадры, маркетинг, клиентский сервис)
- Шаблоны согласий (на обработку, передачу, маркетинг)
- Регламент реагирования на запросы субъектов
- Журналы: обращений, инцидентов, уничтожения данных
- Акт уничтожения ПДн (бумажных и электронных)
- Договоры с подрядчиками с обязательствами по защите ПДн
Точный перечень документов зависит от категории обрабатываемых данных, их объема, целей обработки и ряда других параметров.