Политика обработки персональных данных: что это такое и как не нарушить закон

Все статьи / Политика обработки персональных данных

Автор: Мария Смагина,
эксперт по обработке персональных данных, цюрист в ITF
Дата: 10.07.26

Политика в отношении обработки персональных данных — это локальный нормативный акт оператора (организации или ИП), который в соответствии со ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» описывает цели, состав, условия и сроки обработки ПДн, а также меры по их защите.

Политика обязательна для публикации на сайте компании и является итоговым документом, который фиксирует реальные бизнес-процессы работы с данными клиентов, сотрудников и партнеров.

Главные ошибки бизнеса — использование скачанных шаблонов без привязки к реальным процессам и отсутствие предварительной ревизии цифрового хозяйства (CRM, почтовых сервисов, аналитики, подрядчиков).

Для соответствия 152-ФЗ и защиты от штрафов по ст. 13.11 КоАП РФ компания должна начать не с написания Политики, а с аудита потоков данных, оформления договоров поручения с третьими лицами (ст. 6 ФЗ-152) и локализации баз данных на территории РФ (ст. 18 ФЗ-152).

Содержание

Что такое персональные данные и как их регулирует закон

Прежде чем говорить о порядке, нужно понять, с чем мы работаем. Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ПДн — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Закон делит ПДн на несколько категорий:

  • Общие(ФИО, телефон, email, адрес).
  • Специальные (расовая принадлежность, здоровье, биометрия, судимость).
  • Иные (профессия, хобби, пользовательские метрики).
  • Общедоступные (те, которые субъект сам разрешил публиковать).
Для каждой категории закон предусматривает свои требования к безопасности и условиям обработки.

Иллюзия Политики по шаблону

Политика в отношении обработки персональных данных — это локальный нормативный документ, который описывает, как именно компания работает с ПДн: какие собирает, зачем, как хранит и кому передает.

Если опираться на букву закона, то согласно ч. 1 и ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», это документ, определяющий политику оператора в отношении обработки персональных данных, который в обязательном порядке должен содержать сведения о целях и объеме обработки, категориях обрабатываемых ПДн и субъектах, а также о реализуемых требованиях к защите данных.

Главная ошибка, которую совершают 90% компаний, — попытка решить вопрос «одной бумажкой». Руководители или юристы скачивают из интернета шаблон Политики, меняют в нем реквизиты на свои, публикуют на сайте и считают, что проблема решена.

Такой подход не работает. Политика не может быть оторвана от реальности. Она должна быть точным отражением реальных бизнес-процессов компании. Этот документ является следствием! организационных и технических мер обработки данных в компании.

С чего нужно начинать на самом деле

Если вы не знаете, какие именно данные и с какими целями собираете, какие сервисы имеют к ним доступ, кто и как их обрабатывает; если вы не ведете реестр согласий и не выстроили процесс работы с субъектами по отзыву этих согласий — вам нельзя начинать с написания Политики

Вам нужно начинать с ревизии цифрового хозяйства.

Только проведя аудит, вы сможете:

  1. Описать все реальные процессы и составить детальную схему потоков данных.
  2. Понять, какие данные, кому и на каком этапе передаются.
  3. Убедиться, что в инфраструктуре нет нелегальной трансграничной передачи данных.
  4. Гарантировать, что базы данных находятся на серверах в России (требование о локализации по ст. 18 ФЗ-152).
  5. Выявить всех сторонних подрядчиков, которые фактически работают с вашими данными.

Обязанности Оператора и тонкости договора поручения

Почему эта ревизия так важна? Потому что по закону (ст. 3 ФЗ-152) именно вы, как организация, определяющая цели обработки, являетесь Оператором персональных данных.

И именно Оператор несет полную ответственность перед законом и субъектами ПДн.

Многие бизнесы ошибочно полагают: «Мы просто пользуемся CRM, а данные хранятся у разработчика, пусть они и отвечают». Это заблуждение.

Давайте посмотрим на рутину:

  • Вы работаете в облачной CRM (amoCRM, Битрикс24).
  • Отправляете письма клиентам через почтовые сервера (Яндекс, Mail.ru, SendPulse).
  • Собираете статистику посещаемости сайта через Яндекс.Метрику.
  • Отдали доступы к админке сайта сторонней IT-компании или фрилансеру для внесения изменений.
Во всех этих случаях третьи лица получают доступ к ПДн ваших клиентов. С точки зрения закона, они осуществляют обработку по вашему поручению.

Вы обязаны заключить с каждой такой компанией Договор поручения на обработку ПДн (ст. 6 ФЗ-152), где будут жестко прописаны обязательства подрядчика по защите информации. Роскомнадзор рекомендует отразить эти компании в вашей Политике.

Передали данные без договора поручения? Компания, которой вы поручили обработку, не отражена в локальном реестре Поручений на обработку ПДн? Это нарушение закона. Несмотря на то, что физически данные обрабатывает другой сервис, собираете их вы, а значит, отвечаете перед законом именно вы.

Нужна помощь?
Можем начать с бесплатного экспресс-аудита — проверим ключевые точки вашего цифрового хозяйства и покажем, где есть риски.
Ждём вас. Наведём порядок вместе.
Обсудить

Политика как итог, а не старт

Политика обработки персональных данных должна стать итоговым документом, финальной точкой всей проделанной работы по наведению порядка в цифровом хозяйстве.


Для соответствия компании законодательству необходим комплект, состоящий из нескольких десятков документов. И Политика обработки персональных данных должна отражать результат их разработки.

В противном случае даже идеальная Политика, выверенная топовыми юристами, не спасет вас от штрафов. Почему? Потому что она не будет отражать действительность. Регулятору (Роскомнадзору) не обязательно приезжать к вам с проверкой. Они могут автоматически проверить ваш сайт, посмотреть, какие cookies и метрики вы используете, какие формы сбора данных настроены, и сравнить это с вашей опубликованной Политикой. Несоответствие будет выявлено моментально, что повлечет за собой административную ответственность по ст. 13.11 КоАП РФ.

Порядок нужен не только регулятору

Основная задача государства и РКН не тотальное выставление штрафов. Их цель — принудить бизнес к системному порядку в сфере персональных данных, к созданию безопасной цифровой среды.


Но для вашей компании этот порядок важен не меньше, а даже больше. Только полная прозрачность процессов дает управляемость. Вы не можете защитить то, о чем не знаете. Утечка данных, сбой в работе CRM из-за отсутствия регламентов, потеря клиентской базы — это прямые финансовые убытки. Наведение порядка в ПДн является, по сути, наведением порядка в бизнес-процессах, что напрямую влияет на рентабельность и устойчивость компании.

бесплатный Экспресс-аудит сайта "СИМОРФА"

За 1 минуту узнайте, есть ли нарушения на вашем сайте и получите рекомендации, ка вашему сайту.

Проверить сайт

Часто задаваемые вопросы

Обязательно ли публиковать Политику на сайте?

Да, обязательно. Согласно ч. 2 ст. 18.1 Федерального закона № 152-ФЗ, оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. Это требование распространяется на все сайты, где происходит сбор данных: от небольших интернет-магазинов до лендингов с формой обратной связи.

Что будет, если на сайте нет Политики?

Это квалифицируется как нарушение по ч. 3 ст. 13.11 КоАП РФ. Штрафы с 30 мая 2025 года составляют:
  • Для граждан: от 10 000 до 15 000 рублей.
  • Для должностных лиц: от 50 000 до 100 000 рублей.
  • Для юридических лиц: от 150 000 до 300 000 рублей.
При повторном нарушении штрафы возрастают.

Можно ли просто скачать шаблон Политики из интернета?

Технически можно, но юридически это не имеет смысла. Шаблон не отражает реальные процессы вашей компании: используемые сервисы, цели сбора, передачу данных подрядчикам. При проверке Роскомнадзор сопоставит вашу Политику с фактическими процессами и выявит несоответствия. Это частая причина штрафов.

Нужна ли Политика для ИП?

Да. Индивидуальный предприниматель, собирающий данные клиентов, является оператором наравне с юридическим лицом и обязан опубликовать Политику. Штрафы для ИП с 2025 года приравнены к штрафам для должностных лиц. 

Чем Политика отличается от «Согласия на обработку ПДн»?

Это два разных документа. Согласие — это разрешение от конкретного человека (субъекта ПДн) на обработку его данных. Политика — это внутренний публичный документ компании, описывающий общие принципы обработки данных. Оба документа обязательны.

Нужно ли заключать договоры поручения с Яндекс.Метрикой, почтовыми сервисами и CRM?

Да. Любой сервис, через который вы обрабатываете данные клиентов, фактически обрабатывает ПДн по вашему поручению. Согласно ст. 6 ФЗ-152, вы обязаны заключить с подрядчиком договор с прописанными обязательствами по защите данных.

Как часто нужно обновлять Политику?

Политику нужно обновлять при любых изменениях процессов обработки данных: подключение новых сервисов, изменение целей сбора, появление новых подрядчиков. Рекомендуемый цикл пересмотра — не реже одного раза в год.

Что делать, если данные хранятся на зарубежном сервере?

С 1 июля 2025 года вступила в силу новая редакция ч. 5 ст. 18 ФЗ-152. Установлен прямой запрет на использование иностранных баз данных при сборе персональных данных граждан РФ. Штрафы (ч. 8 и 9 ст. 13.11 КоАП РФ):
  • За первое нарушение: до 6 млн рублей.
  • За повторное нарушение: до 18 млн рублей.

Резюме

Политика персональных данных — это итоговый документ, а не стартовый. Наведение порядка в цифровом хозяйстве нужно не только для того, чтобы пройти проверку РКН. В первую очередь, этот порядок необходим самой компании для ее же безопасности и управляемости.

ITF. Системный подход к цифровым активам вашего бизнеса

Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Нажимая на кнопку, я принимаю условия соглашения. Подробнее о нашей политике в отношении Cookie.
Принять все Отказаться от всех Настроить
Cookies