Что обязательно должна содержать политика конфиденциальности по 152-ФЗ?

По ст. 18.1 152-ФЗ политика конфиденциальности должна содержать: данные оператора (ИНН, наименование, адрес), категории обрабатываемых персональных данных, цели обработки, правовые основания, срок хранения данных, права субъектов ПДн, порядок отзыва согласия, сведения о передаче данных третьим лицам.

Можно ли использовать бесплатный шаблон политики конфиденциальности?

Нет. Скачанный шаблон без замены реквизитов является нарушением 152-ФЗ. В политике конфиденциальности обязательно должны быть ваши данные: ИНН, наименование, адрес, конкретные категории данных которые вы обрабатываете и реальные цели обработки. Политика должна отражать фактическую деятельность оператора.

Как часто нужно обновлять политику конфиденциальности?

Политику конфиденциальности нужно обновлять при изменении законодательства (как это произошло в 2025 году с ФЗ-420 и ФЗ-156), при изменении деятельности оператора (новые категории данных, новые цели, новые третьи лица), а также при изменении реквизитов. Минимум — проверять актуальность раз в год.

Где должна быть размещена политика конфиденциальности на сайте?

Политика конфиденциальности должна быть доступна по прямой постоянной ссылке (не PDF в загрузках) и размещена в футере — чтобы пользователь мог найти её с любой страницы. Ссылка также размещается рядом с каждой формой сбора данных.

152-ФЗ · Документы

Политика конфиденциальности для сайта: что должна содержать по 152-ФЗ

17 июня 2026· Обновлено с учётом ФЗ-420 и ФЗ-156· 8 мин. чтения

Политика конфиденциальности — это не формальность и не «страница с текстом». Это юридический документ, который защищает вас от штрафов и одновременно даёт пользователям понимание, что происходит с их данными. По ст. 18.1 152-ФЗ документ должен содержать 9 обязательных разделов.

9 обязательных разделов политики конфиденциальности

Раздел 1 Данные оператора Полное наименование (или ФИО для ИП/самозанятых), ИНН, ОГРН/ОГРНИП, юридический адрес, контактный email и телефон. Без этого документ юридически неполноценен.
Раздел 2 Категории обрабатываемых персональных данных Конкретный перечень: имя, фамилия, email, телефон, дата рождения, адрес, IP-адрес, данные платёжных карт и т.д. Только те, что реально собирает ваш сайт.
Раздел 3 Цели обработки персональных данных Для чего нужны данные: исполнение договора, маркетинг и рассылки, аналитика сайта, техническая поддержка. Каждая цель должна быть конкретной и соответствовать реальной деятельности.
Раздел 4 Правовые основания обработки По какому основанию обрабатываются данные: согласие субъекта (ст. 6 ч. 1 п. 1), исполнение договора (п. 5), законный интерес (п. 7). Для каждой категории данных — своё основание.
Раздел 5 Срок хранения персональных данных Конкретные сроки: «3 года с момента последнего взаимодействия», «до отзыва согласия» или «в течение срока действия договора + 5 лет для налоговой отчётности».
Раздел 6 Права субъектов персональных данных Что пользователь может потребовать: доступ к своим данным, исправление, удаление, ограничение обработки. Контактные данные для направления запросов и срок ответа.
Раздел 7 Порядок отзыва согласия Конкретная инструкция: куда писать, как оформить отзыв, в течение какого срока будет прекращена обработка. Должна быть реальная возможность отозвать согласие.
Раздел 8 Передача данных третьим лицам Если данные передаются партнёрам, платёжным системам, рекламным сервисам (Яндекс.Метрика, ВКонтакте) — перечислить их явно. ФЗ-156 требует отдельно указывать cookie-трекеры.
Раздел 9 Использование файлов cookie С сентября 2025 (ФЗ-156) — обязательный раздел. Описание: какие cookie используются, для чего, как пользователь может от них отказаться.

Что изменилось в 2025 году: влияние на политику

Три закона изменили требования к содержанию политики конфиденциальности:

ФЗ-420 (май 2025) — рост штрафов

Санкции за нарушения существенно выросли. Это не изменило содержание политики напрямую, но означает, что работать со старым шаблоном стало значительно рискованнее.

ФЗ-23 (июль 2025) — локализация данных

Требование хранить данные граждан РФ на серверах в России стало строже. В политике необходимо указать, где физически хранятся данные и есть ли трансграничная передача.

ФЗ-156 (сентябрь 2025) — согласие на cookie

В политику добавляется обязательный раздел об использовании cookie с описанием категорий трекеров (функциональные, аналитические, рекламные) и правами пользователя по каждой категории.

Ваша политика устарела если...

Дата последнего обновления документа — до мая 2025. Если политика не обновлялась после ФЗ-420, ФЗ-23 и ФЗ-156 — она не соответствует актуальному законодательству. РКН при проверке смотрит в том числе на дату последнего обновления.

Типичные ошибки в политиках конфиденциальности

Ошибка 1: скачанный шаблон без изменений

Самая распространённая ошибка. В интернете тысячи шаблонов политик конфиденциальности с «ООО Компания», «ИНН 0000000000» и несуществующим адресом. РКН при проверке сверяет данные в политике с реальными данными оператора в ЕГРЮЛ/ЕГРИП.

Ошибка 2: несоответствие реальной деятельности

Политика написана под одну деятельность, а сайт собирает другие данные. Например, в политике указан только email, а на сайте есть форма с телефоном и адресом.

Ошибка 3: нет раздела о cookie после ФЗ-156

С 1 сентября 2025 года обязательно описывать порядок использования cookie, включая аналитические трекеры Яндекс.Метрики и пиксели ВКонтакте. Многие политики, написанные до 2025 года, этого не содержат.

Ошибка 4: политика в PDF или только для скачивания

Политика конфиденциальности должна быть опубликована на отдельной странице сайта в открытом доступе и доступна без скачивания. PDF или скачиваемый Word — не соответствуют требованиям.

Ошибка 5: нет ссылки в формах

Ссылка на политику конфиденциальности должна быть рядом с каждой формой сбора данных. Наличие ссылки только в футере недостаточно — пользователь должен видеть её в момент дачи согласия.

Пример правильной формулировки согласия

«Нажимая кнопку, я подтверждаю, что ознакомился с Политикой конфиденциальности и даю согласие на обработку персональных данных в соответствии с её условиями.»

Где разместить политику конфиденциальности

Требования к размещению:

Отдельная страница с постоянным URL (например, /privacy или /privacy-policy)
Ссылка в футере на каждой странице сайта
Ссылка в каждой форме сбора персональных данных — рядом с чекбоксом согласия
Страница индексируется поисковиками — не закрыта robots.txt, не требует авторизации
Дата последнего обновления — указана в тексте документа

Политика конфиденциальности с вашими реквизитами

Актуальная политика по 152-ФЗ с учётом ФЗ-420 и ФЗ-156 — с вашим ИНН, наименованием и реальными категориями данных. В составе пакета документов от 590 руб.

Получить документы — от 590 ₽

Часто задаваемые вопросы

По ст. 18.1 152-ФЗ: данные оператора (ИНН, наименование, адрес), категории ПДн, цели и правовые основания обработки, срок хранения, права субъектов, порядок отзыва согласия, сведения о передаче данных третьим лицам, раздел о cookie (обязательно с 2025 года по ФЗ-156).

Нет. Шаблон без вашего ИНН, наименования и описания реальной деятельности — нарушение. РКН при проверке смотрит на содержание: кто оператор, какие данные собирает, для чего. Шаблон с чужими реквизитами не защитит от штрафа.

При изменении законодательства (в 2025 году было три значимых изменения), при изменении деятельности (новые данные, новые цели) или реквизитов. Минимум — проверять актуальность раз в год. Если политика не обновлялась до мая 2025 — она устарела.

Да. Яндекс.Метрика собирает IP-адреса, cookie и данные о поведении — это персональные данные. Использование счётчика без политики конфиденциальности и уведомления РКН является нарушением 152-ФЗ.

Автор: действующий архитектор кибербезопасности и систем защиты персональных данных. Создатель сервиса Privadoc. 17 лет в кибербезопасности · Специализация: эксперт в кибербезопасности, проектирование СЗПДн, защита персональных данных · Privadoc