Политика обработки персональных данных: структура и шаблон по 152‑ФЗ

Table of contents

• Зачем нужна политика по 152‑ФЗ
• Когда документ обязателен и где его размещать
• Ключевые требования закона и что проверяет РКН
• Структура документа: обязательные разделы
• Шаблон разделов: что писать — краткая таблица
• Примеры формулировок для политики конфиденциальности
• Публикация на сайте: UX и технические нюансы
• Связанные документы: согласия, поручения, уведомление РКН
• Обновление, контроль и ответственность
• Частые ошибки и как их избежать
• Быстрый старт: готовые шаблоны и генератор

---

Зачем нужна политика по 152‑ФЗ

«152 ФЗ политика обработки персональных данных» — это публичный документ оператора, который раскрывает, какие ПДн собираются, с какой целью, на каком правовом основании, как и сколько они хранятся, кому передаются и какие меры безопасности применяются. Политика конфиденциальности ФЗ 152 демонстрирует прозрачность обработки и является обязательной частью комплаенса по закону о персональных данных.

Если вы ведете сайт, собираете заявки, используете веб‑аналитику, оформляете сотрудников или обслуживаете клиентов — вам нужна понятная и актуальная политика. Подробнее о законе — в материалах: О законе 152‑ФЗ, Текст 152‑ФЗ (последняя редакция), Структура и статьи 152‑ФЗ.

Когда документ обязателен и где его размещать

• Обязателен для всех операторов ПДн (юрлица и ИП), обрабатывающих данные физических лиц — клиентов, пользователей сайта, сотрудников, кандидатов.
• Для сайта политика по закону 152‑ФЗ должна быть общедоступной: ссылка в футере, в меню, рядом с формами и в баннере cookie. См. Требования к сайту.
• Политика действует вместе с внутренним «Положением о персональных данных 152‑ФЗ» (для сотрудников) и иными локальными актами. Для кадров — разделы можно расширять под ТК РФ и отраслевые нормы.

Ключевые требования закона и что проверяет РКН

• Публикация политики: ст. 18.1 152‑ФЗ обязывает оператора разместить документ в свободном доступе, изложить цели, основания, процедуры и меры безопасности (ст. 18.1).
• Принципы и цели обработки: указывать только конкретные и законные цели, не обрабатывать «на всякий случай» (принципы и цели).
• Правовые основания: согласие, договор, закон и т. п. (ст. 6). Для отдельных случаев — обработка без согласия (обзор).
• Права субъектов: прозрачная процедура обращений, доступ к данным, исправление, блокировка, уничтожение (права субъектов).
• Безопасность и ИСПДн: организационные и технические меры, уровни защищенности, модели угроз, криптозащита (меры безопасности, уровни защищенности, модель угроз, криптография, ИСПДн).
• Локализация и трансграничная передача: хранение первичных баз в РФ, оценка юрисдикций при трансграничной передаче (трансграничная передача, серверы/ЦОД, облака).
• Уведомление и реестр: при обработке ряда категорий — уведомление в РКН и поддержание данных в реестре (уведомление РКН, реестр операторов).

Следите за обновлениями права: изменения 2025.

Структура документа: обязательные разделы

1. Термины и оператор: реквизиты, контакт ответственного, область действия политики.
2. Категории ПДн и субъектов: клиенты, пользователи сайта, кандидаты, сотрудники; специальные/биометрические данные при наличии.
3. Цели и правовые основания: договор, закон, согласие; отдельные цели для маркетинга, аналитики, подбора персонала.
4. Способы и действия обработки: сбор, запись, систематизация, хранение, обезличивание, блокирование, уничтожение.
5. Передача третьим лицам и поручения: перечень получателей, условия, трансграничные передачи.
6. Права субъектов и порядок обращений: адрес, форма, сроки ответов, порядок отзыва согласия.
7. Сроки хранения, уничтожение/блокировка: критерии, события, архив.
8. Меры безопасности и ИСПДн: организационные и технические, уровни, криптосредства.
9. Cookie, веб‑аналитика, формы и мессенджеры: перечень инструментов и ссылки на настройки.
10. Порядок изменения политики и дата вступления в силу.

Шаблон разделов: что писать — краткая таблица

Раздел политики	Что обязательно указать	Норма/подсказка
Оператор и термины	Полные реквизиты, адрес, контакты, ответственный за ПДн	ст. 18.1, ответственный
Субъекты и категории ПДн	Клиенты, пользователи, кандидаты, сотрудники; спец./биометрия при наличии	ст. 3, спецкатегории, биометрия, дети
Цели и основания	Для каждой цели — правовое основание (договор, закон, согласие)	принципы/цели, ст. 6, без согласия
Действия обработки	Перечень операций и способы (автоматизация, смешанные)	ст. 3
Передачи/поручения	Кому и на каких условиях передаются ПДн, трансграничность	поручение, передача третьим лицам, трансграничная
Права субъектов	Как направить запрос, сроки ответа, форма, порядок отзыва согласия	права, отзыв согласия
Сроки и уничтожение	Конкретные сроки/критерии, блокировка, обезличивание	сроки хранения, уничтожение/блокировка
Безопасность ИСПДн	Организационные/технические меры, уровень защищенности, СЗИ	меры безопасности, уровни, ФСТЭК/ФСБ
Cookie и аналитика	Список инструментов (cookie, пиксели, Метрика), ссылки на отказ	cookie, Метрика, формы
Обновление политики	Как уведомляете об изменениях, дата и версия	ст. 18.1

Примеры формулировок для политики конфиденциальности

• Цели: «Обработка персональных данных пользователей сайта осуществляется для регистрации и обработки заявок, обратной связи, выполнения договоров, улучшения работы сайта и проведения аналитики с использованием cookie и иных идентификаторов.»
• Основания: «Правовыми основаниями являются: заключение и исполнение договора, исполнение обязанностей, предусмотренных законодательством РФ, а также согласие субъекта персональных данных в случаях, предусмотренных законом.»
• Передача: «Передача ПДн третьим лицам осуществляется на основании договора поручения обработки и/или согласия субъекта, включая операторов хостинга, систем рассылок, платежных сервисов. Трансграничная передача — при обеспечении надлежащей защиты прав субъектов.» См. передача и трансграничная передача.
• Права: «Субъект вправе запросить доступ к ПДн, требовать их уточнения, блокирования или уничтожения, отозвать согласие, направив обращение на e‑mail и/или почтовый адрес оператора.» Подробнее — права субъектов.

Публикация на сайте: UX и технические нюансы

Чтобы «закон 152 ФЗ сайт политика» соответствовала проверкам Роскомнадзора:

• Доступность: ссылка «Политика обработки ПДн» в футере и возле каждой формы. На страницах с формами добавьте чекбокс согласия. См. формы на сайте.
• Cookie‑баннер: до установки аналитических cookie/пикселей покажите баннер с кратким описанием и ссылкой на политику cookie. Руководство — cookie и баннеры.
• HTTPS: включите SSL/TLS и настроенную политику безопасности контента. См. SSL/HTTPS.
• Инструменты: укажите используемые сервисы — Яндекс.Метрика, формы (Яндекс Формы), мессенджеры (мессенджеры и 152‑ФЗ).
• CMS‑практики: быстрая публикация на Tilda, WordPress, 1C‑Bitrix. Проверьте себя — аудит сайта и онлайн‑проверка.

Связанные документы: согласия, поручения, уведомление РКН

Политика — вершина «пакета документов 152‑ФЗ», но сама по себе не заменяет иных актов:

• Согласия: общие и отдельные — на обработку, на рассылку, на распространение ПДн (согласия, распространение, отзыв).
• Поручения контрагентам: если передаете ПДн провайдерам — заключайте договоры поручения (поручение).
• Внутренние регламенты: положения о ПДн сотрудников, журналы обращений, инструкции по безопасности, обучение (внутренний контроль).
• Уведомление РКН и поддержание записи в реестре — при необходимости (уведомление, реестр).

Соберите всё в единый пакет документов и разместите на сайте необходимые публичные версии (документы для сайта).

Обновление, контроль и ответственность

• Ревизия: пересматривайте политику при смене целей/инструментов обработки, при запуске новых сервисов, а также ежегодно.
• Контроль: назначьте ответственного, проводите обучение сотрудников и внутренние проверки (ответственный, внутренний контроль).
• Инциденты: опишите порядок реагирования и уведомления субъектов/РКН при утечках (инциденты и утечки).
• Ответственность и штрафы: КоАП 13.11 предусматривает санкции за отсутствие политики, неправомерную обработку, отсутствие мер безопасности и др. Подробнее — ответственность и штрафы, КоАП 13.11, проверки РКН. Ознакомьтесь с судебной практикой.

Частые ошибки и как их избежать

• «Шаблон ни о чём»: копипаст без привязки к вашим целям и сервисам. Решение — адаптируйте под реальные процессы.
• Нет правовых оснований: перечислены цели, но не указаны конкретные основания (договор/закон/согласие) для каждой цели.
• Скрытая аналитика: метрики запускаются до согласия пользователя. Используйте баннер, режим согласия и сервер‑сайд теги по правилам.
• Размытые сроки хранения: указывайте критерии и события (окончание договора, срок исковой давности и т. п.). См. сроки хранения.
• Отсутствие порядка обращения: нет адреса и сроков ответа. Добавьте понятную процедуру и шаблоны ответов.
• Несогласованные передачи: нет договоров поручения с провайдерами, трансграничные передачи не оценены. См. передача и трансграничная.

Быстрый старт: готовые шаблоны и генератор

Сделайте документ быстро и корректно:

• Скачайте проверенные шаблоны и формы и используйте генератор политики и согласий.
• Для комплексного внедрения выберите консалтинг и документы под ключ или аудит соответствия.
• Сверьтесь с чек‑листом и подготовьтесь к проверке — памятка.
• Если вы работаете с ЕС‑пользователями, сравните требования: GDPR и 152‑ФЗ.

---

Итог Политика обработки — центральный публичный документ оператора. Она должна быть конкретной, актуальной и технически реализованной на сайте. Используйте предложенную структуру и шаблон, сверяйтесь с нормами 152‑ФЗ, поддерживайте меры безопасности и обновляйте документ при изменениях.

Готовы оформить «152 ФЗ политика обработки» без ошибок? Воспользуйтесь нашим генератором политики и согласий или обратитесь за сопровождением — подготовим комплект документов и приведем сайт к требованиям 152‑ФЗ.