Blocksee
Войти
База знаний

Документация и справочные материалы

Политика конфиденциальности

1. Что считается персональными данными?

Персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать человека: ФИО, телефон, email, адрес, паспортные данные, IP-адрес, cookie-файлы, история покупок, биометрия и т. д.

2. Что изменилось в законодательстве к 2026 году?

С 30 мая 2025 года — ужесточение штрафов (закон № 420-ФЗ от 30.11.2024)

  • Штраф для юрлиц за нарушение правил обработки ПДн: от 150 000 до 300 000 ₽ (ранее от 60 000 до 100 000 ₽).
  • За повторное нарушение — до 18 млн ₽.
  • За утечку данных (1–10 тыс. записей) — до 5 млн ₽.
  • За утечку более 100 тыс. записей — до 15 млн ₽.
  • За массовую повторную утечку — оборотные штрафы от 1% до 3% годовой выручки, максимум 500 млн ₽.
  • Введена уголовная ответственность за незаконный оборот ПДн — до 10 лет лишения свободы (закон № 421-ФЗ).

С 1 сентября 2025 года — новые требования к согласиям

  • Согласие на обработку ПДн должно быть отдельным документом (не частью оферты или пользовательского соглашения).
  • Отдельные чекбоксы на каждый вид обработки данных.
  • Принцип минимизации данных: собирать только то, что необходимо для конкретной цели.

С 1 января 2026 года

Интернет-сервисы обязаны хранить информацию о действиях пользователей 3 года (ранее — 1 год).

На что обратить внимание в 2026 году

  • Роскомнадзор использует автоматизированные ИИ-системы для проверки сайтов: сканирует наличие политики конфиденциальности, корректность согласий, использование зарубежных сервисов.
  • Ожидается волна массовых проверок в 2026 году.

3. Что обязательно должно быть в политике конфиденциальности?

  • Наименование и контакты оператора (владельца сайта).
  • Перечень собираемых персональных данных.
  • Цели сбора и обработки данных.
  • Правовые основания обработки.
  • Способы обработки данных (автоматизированная, неавтоматизированная).
  • Сроки хранения данных.
  • Условия передачи данных третьим лицам (при наличии).
  • Меры защиты персональных данных.
  • Права субъекта данных (доступ, изменение, удаление, отзыв согласия).
  • Условия прекращения обработки.
  • Информация о трансграничной передаче данных (если применимо).
  • Сведения о cookies и метриках (Яндекс.Метрика и т. д.).

4. Какие документы нужны на сайте помимо политики?

  1. Согласие на обработку персональных данных — отдельный документ, ссылка под каждой формой сбора данных.
  2. Политика конфиденциальности / Политика обработки ПДн — публичный документ, доступный на сайте.
  3. Пользовательское соглашение (при необходимости — см. ниже).
  4. Уведомление о cookies (если используются cookie-файлы).

Важно: С сентября 2025 года согласие нельзя совмещать с акцептом оферты — это должен быть отдельный чекбокс и отдельный документ.

Когда нужно пользовательское соглашение?

В российском законодательстве нет обязательного требования к наличию пользовательского соглашения на сайте, и его отсутствие само по себе не влечёт штрафов. Однако оно рекомендуется в следующих случаях:

  • Интернет-магазины и сайты с продажей товаров/услуг — соглашение выполняет функцию публичной оферты, регулирует порядок заказа, оплаты, доставки, возврата.
  • Сервисы с регистрацией / личным кабинетом — регулирует правила использования аккаунта, функционала, ответственность сторон.
  • Сайты с пользовательским контентом (форумы, отзывы, комментарии, загрузка файлов) — позволяет установить правила публикации, модерации и удаления контента.
  • Сайты с авторским контентом (блоги, курсы, базы знаний) — помогает защитить авторские права, установить ограничения на копирование.
  • Сайты с возрастными ограничениями — позволяет уведомить пользователя и снять ответственность.
  • SaaS-сервисы и мобильные приложения — регулирует лицензию на использование, тарифы, ограничение ответственности.

Для простых сайтов-визиток и лендингов, которые только собирают заявки (имя, телефон, email), пользовательское соглашение, как правило, не нужно — достаточно политики конфиденциальности и согласия на обработку ПДн.

Совет менеджеру: если у клиента интернет-магазин, сервис с регистрацией или сайт с UGC-контентом — рекомендуйте пользовательское соглашение. Для лендингов и визиток — достаточно политики конфиденциальности и согласия.

5. Где должны храниться персональные данные?

Согласно ст. 18 закона 152-ФЗ, персональные данные российских граждан должны храниться на серверах, расположенных на территории России. Если сайт использует зарубежные облачные сервисы (Google Sheets, Notion, зарубежные CRM), это считается трансграничной передачей и требует отдельного согласия пользователя, а в ряде случаев — разрешения Роскомнадзора.

6. Нужно ли уведомлять Роскомнадзор?

Да. Любой оператор ПДн обязан до начала обработки данных подать уведомление в Роскомнадзор и быть включённым в реестр операторов (ст. 22 закона № 152-ФЗ). С 30 мая 2025 года штраф за неуведомление — до 300 000 ₽ для юрлиц и до 50 000 ₽ для ИП.

Как подать уведомление?

Способы подачи (на выбор):

  1. Через портал Роскомнадзора — онлайн-форма на сайте pd.rkn.gov.ru с авторизацией через Госуслуги (самый удобный способ).
  2. Через портал Роскомнадзора с электронной подписью (ЭЦП).
  3. В бумажном виде — заполненная форма направляется почтой или лично в территориальное управление Роскомнадзора.

Форма уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180.

Что указывается в уведомлении:

  • сведения об операторе (наименование, ИНН, адрес);
  • цели обработки персональных данных;
  • категории обрабатываемых данных и субъектов;
  • правовое основание обработки;
  • меры безопасности;
  • сведения о местонахождении базы данных (должна быть в РФ);
  • сведения о трансграничной передаче (если есть).

Сроки: уведомление подаётся до начала обработки персональных данных. Роскомнадзор вносит компанию в реестр операторов в течение 30 дней. Начинать обработку данных можно с даты подачи уведомления, не дожидаясь включения в реестр.

После подачи: если что-то изменилось (новые цели обработки, новые категории данных и т. д.), необходимо подать информационное письмо с уточнениями.

Совет менеджеру: рекомендуйте каждому клиенту проверить наличие в реестре операторов на сайте pd.rkn.gov.ru (поиск по ИНН или названию). Если компании нет в реестре — срочно подать уведомление.

7. Можно ли использовать шаблон политики конфиденциальности?

Шаблон можно взять за основу, но его необходимо адаптировать под конкретный бизнес клиента: указать реальные данные оператора, перечислить фактически собираемые данные, описать реальные цели обработки. Роскомнадзор при проверке обращает внимание на формальное копирование шаблонов, не соответствующих деятельности компании.

8. Какие штрафы грозят в 2026 году? (Краткая сводка)

Внимание: приведённые ниже суммы актуальны на начало 2026 года (КоАП РФ с учётом закона № 420-ФЗ от 30.11.2024). Размеры штрафов могут изменяться — проверяйте актуальные данные на сайте КонсультантПлюс или Роскомнадзора.

Нарушение Штраф для юрлиц
Обработка без основания / без согласия 150 000 — 300 000 ₽
Повторное нарушение до 18 000 000 ₽
Утечка (1–10 тыс. записей) до 5 000 000 ₽
Утечка (10–100 тыс. записей) до 10 000 000 ₽
Утечка (более 100 тыс. записей) до 15 000 000 ₽
Повторная утечка 1–3% годовой выручки (до 500 млн ₽)
Неуведомление Роскомнадзора до 300 000 ₽
Незаконная передача биометрии/спецкатегорий до 25–50 000 000 ₽

9. Чек-лист для менеджера: что проверить при сдаче сайта клиенту

  • ☐ Политика конфиденциальности размещена и доступна с каждой страницы (обычно в футере).
  • ☐ Под каждой формой сбора данных есть ссылка на политику и отдельный чекбокс согласия.
  • ☐ Согласие оформлено как отдельный документ — не спрятано в оферте.
  • ☐ Чекбокс не отмечен по умолчанию — пользователь ставит галочку самостоятельно.
  • ☐ Указаны все виды собираемых данных и цели их обработки.
  • ☐ Если используются cookie/метрики — есть соответствующее уведомление.
  • ☐ Данные хранятся на серверах в России (хостинг проверен).
  • ☐ Клиенту рекомендовано подать уведомление в Роскомнадзор.
  • ☐ Политика адаптирована под реальные процессы клиента (не шаблон «как есть»).

10. О чём предупредить клиента?

  • Политика конфиденциальности — юридическое требование, а не формальность.
  • За отсутствие документа или его несоответствие грозят реальные штрафы.
  • В 2026 году ожидаются массовые проверки Роскомнадзора с использованием автоматических систем.
  • Рекомендуется привлечь юриста для окончательной проверки документов.
  • Необходимо назначить ответственное лицо за обработку ПДн в компании.
  • Если используются зарубежные сервисы — требуется оценить риски и при необходимости перенести данные на российские серверы.

11. Помогаем ли мы с оформлением политики конфиденциальности?

Да, по запросу клиента и за дополнительную плату. Мы можем помочь с технической стороной: разместить на сайте политику конфиденциальности, настроить формы согласия на обработку персональных данных, добавить уведомление о cookies и другие обязательные элементы. Стоимость технического сопровождения — 30 000 рублей.

Для клиентов на SEO-сопровождении: техническое сопровождение по данному вопросу выполняется бесплатно по запросу клиента.

Важно: мы обеспечиваем только техническую реализацию — вёрстку, размещение документов, настройку чекбоксов и форм. Юридическое сопровождение мы не оказываем и не несём юридической ответственности за содержание и полноту правовых документов на сайте клиента. Ответственность за соответствие документов законодательству лежит на клиенте.

Мы настоятельно рекомендуем клиентам:

  • Привлечь профильного юриста для подготовки, проверки и адаптации документов под свой бизнес.
  • Самостоятельно подать уведомление в Роскомнадзор.
  • Регулярно обновлять документы при изменении законодательства или бизнес-процессов.

Документ подготовлен на основе актуальных требований 152-ФЗ (ред. от 24.06.2025), закона № 420-ФЗ от 30.11.2024 и правоприменительной практики. Не является юридической консультацией — для окончательного оформления документов рекомендуется привлечь профильного юриста.

Предыдущий
Закон о русском языке (168-ФЗ)