Конструктор политики обработки персональных данных
Заполните поля в разделах документа. Скачайте готовую политику в PDF, DOCX или TXT.
Документ обновлен 9 апреля 2026 года
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИНН:
Адрес:
Email:
Телефон:
1. Общие положения
1.1. Обеспечение конфиденциальности и безопасности обработки персональных данных в (далее – Оператор) является одной из приоритетных задач организации.
Данная политика является основой для определения требований к организации процессов обработки и хранения персональных данных, которые выражаются во внутренних нормативных документах и обязательны для исполнения всеми работниками Оператора.
1.2. Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в сфере защиты персональных данных, и в соответствии с локальными нормативными актами Оператора.
1.3. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей, контрагентов, потребителей, посетителей сайта Оператора и иных лиц, чьи персональные данные обрабатываются Оператором, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.4. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных у Оператора, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Оператору или субъектам персональных данных.
2. Основные понятия
3. Правовые основания обработки персональных данных
3.1. Обработка персональных данных осуществляется на основании следующих правовых оснований:
3.2. Согласие на обработку персональных данных может быть отозвано субъектом в любое время путём направления заявления на .
4. Принципы и особые режимы обработки
4.1. Принципы обработки персональных данных
Обработка персональных данных Оператором осуществляется в соответствии со статьёй 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и основана на следующих принципах: законность и справедливость; ограничение обработки достижением конкретных, заранее определённых целей; недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; соответствие объёма и содержания обрабатываемых персональных данных заявленным целям обработки; достоверность и актуальность персональных данных; хранение персональных данных не дольше, чем этого требуют цели обработки; уничтожение или обезличивание персональных данных по достижении целей обработки или при утрате необходимости в достижении этих целей.
4.6. Обработка и хранение персональных данных осуществляются на территории Российской Федерации в соответствии с требованиями статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5. Цели обработки ПДн
5.1. Обработка персональных данных осуществляется на основаниях, предусмотренных статьёй 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Цели обработки персональных данных указаны ниже. Конкретный состав обрабатываемых персональных данных определяется в зависимости от соответствующей цели обработки.
6. Категории и объем обрабатываемых ПДн
6.1. Состав и объём собираемых Оператором персональных данных соответствуют заявленным целям обработки (раздел 5 настоящей Политики) и определяются в зависимости от характера взаимодействия субъекта персональных данных с Оператором. Обрабатываться могут следующие категории персональных данных (в объёме, необходимом для достижения соответствующих целей):
7. Хранение
7.1. Срок хранения персональных данных:
Персональные данные хранятся не дольше срока, необходимого для достижения целей обработки (ст. 5 Федерального закона № 152-ФЗ). Максимальный срок хранения персональных данных составляет 3 года.
7.3. Территория хранения персональных данных:
Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации осуществляются с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18.1 Федерального закона № 152-ФЗ). Хранение персональных данных осуществляется на территории Российской Федерации.
8. Передача третьим лицам
9. Права субъекта ПДн
9.1. В соответствии с законодательством Российской Федерации о персональных данных, каждый субъект персональных данных обладает определенными правами, направленными на защиту его частной жизни и контроль над обработкой его персональных данных. Организация обеспечивает реализацию этих прав и предоставляет необходимые механизмы для их осуществления.
9.3. Для реализации своих прав субъект персональных данных может обратиться в организацию по контактным данным, указанным в заголовке настоящей Политики.
10. Порядок подачи и рассмотрения запросов
10.2. Контактная информация для обращений:
11. Сведения об Операторе
11.1. Реквизиты и контактные данные Оператора (наименование, ИНН, адрес, email, телефон) указаны в начале настоящей Политики.
12. Меры защиты ПДн
12.1. Обеспечение безопасности персональных данных является одним из ключевых приоритетов организации. Применяемые меры защиты направлены на предотвращение несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также на иные неправомерные действия в отношении персональных данных.
12.3. Безопасность персональных данных обеспечивается на основе следующих принципов: комплексный подход к защите данных; непрерывность процесса обеспечения безопасности; регулярная оценка рисков и обновление мер защиты; соответствие требованиям законодательства в сфере защиты персональных данных.
13. Заключительные положения
13.1. Настоящая Политика является внутренним документом Оператора и определяет порядок обработки персональных данных и меры по обеспечению их безопасности. Вопросы, не урегулированные настоящей Политикой, регулируются действующим законодательством Российской Федерации в сфере персональных данных.
13.4. Дата вступления в силу Политики: .
13.5. Дата последнего обновления Политики: .
Не является юридической консультацией
Скачать готовый документ
Выберите удобный формат для скачивания
Частые вопросы по политике обработки персональных данных
Какие еще документы понадобятся для сайта?
В чём разница между «Политикой обработки персональных данных» и «Политикой конфиденциальности»?
Политика обработки ПДн (152-ФЗ):
• Обязательна для всех операторов персональных данных в РФ
• Регулируется Федеральным законом № 152-ФЗ
• Должна быть опубликована на сайте в отдельном разделе
• Требует уведомления Роскомнадзора (в большинстве случаев)
• Содержит: цели обработки, категории данных, права субъекта, меры защиты
Политика конфиденциальности:
• Не требуется по закону (рекомендательный документ)
• Описывает общую политику сайта по защите информации
• Часто используется для интернет-магазинов, сервисов
• Может включать положения о cookies, возврате, гарантии
На практике:
Для сайта в РФ обязательно нужна «Политика обработки персональных данных» по 152-ФЗ.
«Политика конфиденциальности» - дополнительно, по желанию.
Кому обязательно нужна Политика обработки персональных данных?
✅ ФИО + телефон (форма обратной связи)
✅ Email (подписка, регистрация)
✅ Паспортные данные (договоры, заказы)
✅ Адрес доставки
✅ Cookies + IP-адрес (Яндекс.Метрика, Google Analytics)*
✅ Фото, видео, аудио записи
*Спорный момент: Роскомнадзор считает cookies персональными данными, если можно идентифицировать пользователя.
Не нужна, если:
❌ Сайт только информационный (нет форм, подписок, регистрации)
❌ Данные обрабатываются только для личных/семейных нужд
❌ Данные обезличены и не позволяют идентифицировать человека
Проверка:
Если на сайте есть хотя бы одна форма с именем/телефоном/email - Политика обязательна по ст. 18.1 152-ФЗ.
Где должна быть размещена Политика на сайте?
✅ Обязательные места:
• Отдельная страница с постоянным URL (например, /policy или /personal-data)
• Ссылка в футере сайта (на всех страницах)
• Ссылка рядом с каждой формой сбора данных (чекбокс «Согласен на обработку ПДн»)
• Доступна без авторизации и регистрации
✅ Технические требования:
• Страница должна индексироваться поисковиками
• URL должен быть стабильным (не меняться со временем)
• Документ должен быть доступен для скачивания (PDF/печатная версия)
❌ Нельзя:
• Размещать только в виде popup-окна
• Прятать в глубине сайта (3+ клика)
• Требовать регистрацию для доступа
• Публиковать только на английском языке (для РФ-аудитории)
Штраф за нарушение: до 75 000 ₽ для юрлиц (ст. 13.11 КоАП РФ)
Какой штраф за отсутствие Политики обработки ПДн?
| Нарушение | Физлица | ИП | Юрлица |
| Отсутствие Политики | 15 000 ₽ | 30 000 ₽ | 60 000 ₽ |
| Неправильное размещение | 10 000 ₽ | 20 000 ₽ | 40 000 ₽ |
| Обработка без согласия | 30 000 ₽ | 50 000 ₽ | 100 000 ₽ |
| Неправильное уведомление РКН | 15 000 ₽ | 30 000 ₽ | 75 000 ₽ |
Реальность:
• Роскомнадзор проводит плановые и внеплановые проверки
• Жалобу может подать любой пользователь
• Штрафы выписывают нарастающим итогом за каждое нарушение
Защита:
• Используйте актуальный шаблон 2026 года
• Разместите Политику по всем требованиям
• Получайте согласие через чекбокс в формах
Нужно ли уведомлять Роскомнадзор о обработке персональных данных?
Исключения (когда уведомлять НЕ нужно):
Данные только для исполнения конкретного договора (с самим субъектом)
Данные только для пропуска на территорию (пропускная система)
Данные только для бухгалтерии/кадров (трудовые отношения)
Данные получены один раз для разового пропуска
Данные обрабатываются без автоматизации (только бумажные карточки)
Для сайтов:
• Если есть форма обратной связи → чаще всего НУЖНО уведомлять
• Если есть интернет-магазин → НУЖНО уведомлять
• Если только Яндекс.Метрика → спорно, лучше уведомить
Как проверить:
1. Зайдите в реестр операторов РКН: pd.rkn.gov.ru
2. Найдите свою организацию/ИП
3. Если нет в реестре → подайте уведомление
Штраф за неподачу: до 75 000 ₽ для юрлиц
Что будет, если пользователь пожалуется в Роскомнадзор?
1. Пользователь пишет жалобу в РКН (например: «Не могу отозвать согласие», «Нет Политики на сайте»)
2. РКН открывает внеплановую проверку:
• Запрос документов (Политика, согласия, журналы учёта)
• Проверка сайта на соответствие 152-ФЗ
• Срок: до 30 рабочих дней
3. Возможные последствия:
• Предписание об устранении нарушений (срок 1–3 месяца)
• Штраф по ст. 13.11 КоАП РФ
• Блокировка сайта (в крайних случаях, ст. 15.3 149-ФЗ)
Как защититься:
✅ Актуальная Политика на сайте (SurferDoc генерирует по 152-ФЗ)
✅ Чекбоксы согласия во всех формах
✅ Журнал учёта обращений субъектов ПДн
✅ Процедура отзыва согласия (email/форма на сайте)
✅ Уведомление в РКН (если требуется)
Как правильно оформить согласие на обработку ПДн в формах?
✅ Правильно:
☐ Я согласен на обработку персональных данных [Политика] (ссылка на Политику обязательна)
✅ Допустимо:
☐ Согласен с Политикой конфиденциальности (если в Политике описана обработка ПДн по 152-ФЗ)
❌ Неправильно:
• Чекбокс уже отмечен по умолчанию
• Нет ссылки на Политику
• Текст «Отправляя форму, вы соглашаетесь...» (без чекбокса)
• Ссылка ведёт на страницу 404 или не открывается
Дополнительно:
• Для маркетинга (рассылки) - отдельное согласие
• Для передачи третьим лицам - отдельное согласие
• Для трансграничной передачи - отдельное согласие
SurferDoc генерирует текст согласия, соответствующий требованиям 152-ФЗ.
Нужно ли получать отдельное согласие на cookies и Яндекс.Метрику?
Что делать:
✅ Минимальный вариант: упоминание о cookies в Политике обработки ПДн, ссылка на Политику в футере сайта.
✅ Рекомендуемый вариант: Cookie-баннер при первом посещении, чекбокс «Согласен на использование cookies», возможность отказать (не блокировать функционал полностью).
✅ Для интернет-магазинов: отдельное согласие на маркетинговые cookies, возможность отозвать согласие.
Техническая реализация:
• Яндекс.Метрика: настройка «Отправка данных только с согласия»
• Google Analytics: режим consent mode v2
• CMP-платформы (для сложных случаев)
Штраф за cookies без согласия: до 75 000 ₽ для юрлиц
Как часто нужно обновлять Политику обработки ПДн?
• При изменении законодательства (152-ФЗ меняется регулярно)
• При изменении целей обработки данных
• При изменении перечня обрабатываемых данных
• При изменении способов обработки
Рекомендация:
• Проверять актуальность 1 раз в 6 месяцев
• Отслеживать изменения 152-ФЗ через РКН
• Обновлять при запуске новых функций на сайте
Как обновить:
1. Сгенерируйте новую версию в SurferDoc
2. Укажите дату обновления в Политике
3. Опубликуйте новую версию на сайте
4. Уведомьте РКН (если изменились цели/состав данных)
Важно: Храните предыдущие версии (на случай проверок и споров). SurferDoc показывает дату последнего обновления шаблона.
Нужна ли Политика для ИП без сотрудников и интернет-магазина?
✅ Нужна Политика:
• Форма обратной связи (имя + телефон/email)
• Подписка на рассылку
• Заказ звонка
• Регистрация в личном кабинете
• Приём платежей онлайн
❌ Не нужна Политика:
• Сайт-визитка без форм (только телефон, email в тексте)
• Лендинг без сбора данных (только информация)
• Данные собираются только офлайн (бумажные журналы)
Для ИП: штрафы такие же, как для юрлиц (до 75 000 ₽). Уведомление РКН - обязательно (если не попадаете под исключения). Политика должна быть на сайте (даже если ИП без сотрудников).
Размер бизнеса не влияет на обязанность соблюдать 152-ФЗ.
Нужна ли Политика для интернет-магазина на маркетплейсе (WB, Ozon)?
✅ Нужна Политика:
• Есть свой сайт + продажи через маркетплейс
• Есть лендинг для сбора лидов
• Есть группа в соцсетях с формой заявки
• Собираете базу для email/SMS-рассылки
❌ Не нужна (на стороне маркетплейса): продаёте ТОЛЬКО через WB/Ozon без своего сайта, все данные обрабатывает маркетплейс (вы - продавец).
Важно: Маркетплейс - отдельный оператор ПДн. Вы как продавец тоже оператор, если собираете данные напрямую.
Рекомендация: Даже для продаж только на WB - сделайте Политику для: группы в VK/Telegram (если есть формы), email-рассылки (если собираете базу), собственного лендинга (если есть).
Нужна ли Политика для группы ВКонтакте / Max?
✅ Нужна Политика:
• Форма заявки в группе (сбор имени/телефона)
• Бот в мессенджере запрашивает персональные данные
• Лендинг, связанный с соцсетью (сбор данных)
• Рассылка в личные сообщения (с согласия)
❌ Не нужна: только публикации без сбора данных, комментарии от пользователей (они сами публикуют), статистика от платформы (вы не собираете ПДн напрямую).
Важно: ВКонтакте и Max - отдельные операторы ПДн. Но если вы собираете данные через их инструменты - вы тоже оператор.
Рекомендация: Разместите ссылку на Политику: в описании группы/канала, в закреплённом сообщении, в ответе на первый запрос данных.
Что делать с персональными данными сотрудников?
Требования:
✅ Отдельное согласие сотрудника на обработку ПДн
✅ Приказ о назначении ответственного за ПДн
✅ Журнал учёта личных дел
✅ Ограничение доступа к данным сотрудников
Для сайта: Политика для клиентов ≠ Политика для сотрудников. Можно указать в общей Политике: «В том числе данные сотрудников». Но лучше - отдельный документ для кадров.
Штрафы: за нарушение правил обработки ПДн сотрудников - до 75 000 ₽; плюс штрафы по ТК РФ (до 50 000 ₽).
SurferDoc генерирует Политику для клиентов/пользователей сайта. Для сотрудников - обратитесь к юристу по трудовому праву.