Конструктор политики обработки персональных данных

1. Что такое Политика обработки персональных данных и зачем она нужна

Политика — это не договор и не заявление субъекта, а односторонний публичный документ оператора. Она показывает, как оператор понимает свои обязанности по Закону № 152-ФЗ и каким образом исполняет принципы обработки персональных данных. Практический смысл политики двойной. С одной стороны, это документ для субъекта персональных данных: человек должен быстро понять, что происходит с его данными. С другой стороны, это документ для самого оператора: именно он задает рамку для форм на сайте, кадровых анкет, CRM, договоров с подрядчиками, чекбоксов согласия, ответов на запросы субъектов и внутренних регламентов.

Если политика написана формально, а фактическая обработка устроена иначе, возникают риски по нескольким направлениям сразу: от предписаний и административной ответственности до гражданских исков и требований прекратить обработку, удалить информацию, прекратить распространение персональных данных или компенсировать моральный вред. Поэтому хороший образец политики нужен не для того, чтобы просто скачать документ, а для того, чтобы составить текст, который реально выдержит проверку.

2. Кому политика нужна обязательно, а кто может обойтись без нее

Закон № 152-ФЗ не применяется к обработке персональных данных физическим лицом исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных. Это означает, что домашняя записная книжка, частный список гостей или личный архив фотографий обычно не требуют отдельной политики. Но как только обработка выходит за пределы личной и семейной сферы, ситуация меняется.

На практике политика почти всегда нужна, если вы:

• ведете сайт с формой заявки, обратной связи или подписки;
• нанимаете работников, стажеров, исполнителей;
• принимаете заказы, обращения, резюме, анкеты;
• используете CRM, мессенджеры, облачные сервисы и базы клиентов;
• организуете пропускной режим, видеонаблюдение или учет посетителей.

Это важно и для ИП, и для самозанятых, и для компаний. Ошибка «я же не корпорация, значит, мне не нужен такой документ» встречается очень часто. Но оператором по статье 3 Закона № 152-ФЗ может быть и юридическое, и физическое лицо. Поэтому вопрос стоит не так: «кто я по форме», а так: «обрабатываю ли я чужие персональные данные вне бытовой сферы».

3. Чем политика отличается от согласия, оферты и локального положения

Политика — это не согласие. Согласие по статье 9 Закона № 152-ФЗ представляет собой волеизъявление субъекта в тех случаях, когда именно согласие выступает правовым основанием обработки. В действующей редакции закона согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Значит, фраза «я ознакомлен с политикой» сама по себе не заменяет согласие, если закон требует именно его.

Политика — это и не оферта, и не пользовательское соглашение, и не положение о персональных данных для работников. У оператора обычно есть несколько разных документов:

• публичная политика в отношении обработки персональных данных;
• локальные акты по вопросам обработки персональных данных;
• согласия на обработку данных в отдельных случаях;
• договоры поручения обработки персональных данных с подрядчиками;
• процедуры реагирования на запросы субъектов и инциденты.

Именно поэтому типовой шаблон, который обещает создать документ «на все случаи жизни», часто не срабатывает. Даже лучший конструктор не поможет, если оператор подменяет политику иными документами или пытается закрыть одной страницей все свои процессы.

Политика объясняет общие правила обработки, а согласие, локальные акты и договоры поручения обеспечивают их практическое исполнение.

4. На какие нормы закона надо опираться в 2026 году

Если вы хотите составить политику грамотно, основу надо брать из нескольких статей Закона № 152-ФЗ. Для темы политики особенно важны статья 3 с основными понятиями, статья 5 с принципами обработки, статья 6 с основаниями обработки, статья 7 о конфиденциальности, статья 9 о согласии, статьи 10 и 11 о специальных и биометрических данных, статья 12 о трансграничной передаче, статья 14 о праве субъекта на информацию, статьи 18 и 18.1 об обязанностях оператора, статья 19 о мерах безопасности, статья 21 об устранении нарушений и уничтожении данных, статья 22 об уведомлении Роскомнадзора и статья 24 об ответственности.

Кроме самого Закона № 152-ФЗ, нельзя игнорировать подзаконные акты. Для безопасности персональных данных значимы постановление Правительства РФ от 01.11.2012 № 1119 и приказ ФСТЭК России от 18.02.2013 № 21. Для понимания того, что обычно проверяет Роскомнадзор, важен приказ Роскомнадзора от 24.12.2021 № 253 с формой проверочного листа. Именно поэтому в 2026 году политика должна быть не просто красиво оформлена, а встроена в систему документов оператора.

Отдельно нужно помнить про административную ответственность. Статья 13.11 КоАП РФ содержит несколько составов правонарушений в сфере персональных данных, а изменения 2024–2025 годов сделали контроль по этой теме еще более чувствительным для бизнеса. Поэтому подход «скачаю образец, потом как-нибудь поправлю» в 2026 году особенно рискован.

5. Что обязательно должно быть в тексте политики

Закон не утверждает единую обязательную форму политики, но по части 2 статьи 18.1 Закона № 152-ФЗ, рекомендациям Роскомнадзора и проверочному листу уже давно сложился устойчивый набор разделов. Поэтому, когда вы выбираете образец или шаблон, нужно смотреть не на оформление, а на смысловую полноту.

В рабочей политике обычно нужны следующие блоки:

• сведения об операторе;
• цели обработки персональных данных;
• категории субъектов персональных данных;
• состав обрабатываемых данных;
• правовые основания обработки;
• перечень действий с персональными данными и способы обработки;
• порядок и условия передачи данных третьим лицам;
• сроки обработки, хранения и порядок уничтожения;
• сведения о реализуемых мерах защиты;
• порядок обращения субъекта и реализации его прав.

Полезно также прямо указать, какие данные оператор не обрабатывает без специальных оснований, как направить запрос по статье 14 Закона № 152-ФЗ и кто отвечает за организацию обработки данных. Чем точнее политика описывает реальные процессы, тем меньше вероятность, что она будет выглядеть как типовой чужой текст, случайно скачанный из интернета.

6. Как правильно описать цели обработки и состав данных

Статья 5 Закона № 152-ФЗ требует, чтобы обработка ограничивалась достижением конкретных, заранее определенных и законных целей. Это один из важнейших ориентиров при подготовке политики. Нельзя писать обтекаемое «для улучшения сервиса» и на основании этого собирать паспортные данные, семейное положение, геолокацию и сведения о здоровье.

Цель надо формулировать как конкретный бизнес-процесс. Например:

• рассмотрение обращений и обратной связи;
• заключение и исполнение договора;
• кадровый учет и исполнение обязанностей работодателя;
• бухгалтерский и налоговый учет;
• оформление пропусков и обеспечение безопасности;
• направление информационных сообщений при наличии надлежащего основания.

Следом за целью должен идти соразмерный ей состав данных. Закон прямо говорит, что содержание и объем обрабатываемых персональных данных не должны быть избыточными по отношению к заявленным целям обработки. Поэтому если вы оформляете только обратный звонок, обычно достаточно имени и телефона. Если организуете доступ на закрытый объект, набор данных может быть шире. Хороший шаблон всегда помогает увидеть эту связку: цель — субъект — данные — основание — срок хранения. Именно по ней удобно составить и саму политику, и приложения к ней.

7. На каких основаниях допустима обработка и когда нужно согласие

Одна из самых частых ошибок — считать, что без согласия нельзя обрабатывать вообще ничего. Это не так. Статья 6 Закона № 152-ФЗ содержит несколько самостоятельных оснований обработки. Верховный Суд РФ в Обзоре судебной практики по делам, связанным с обработкой персональных данных, утвержденном Президиумом Верховного Суда РФ 27.09.2017, прямо указал, что пункт 2 части 1 статьи 6 Закона № 152-ФЗ является дополнительным основанием для обработки персональных данных в целях исполнения договора без согласия субъекта персональных данных.

Из этого следует практический вывод: согласие нужно не всегда. Если данные необходимы для заключения или исполнения договора, оператор может опираться на соответствующее основание закона. Но это не означает, что можно включать в обработку любые действия и любые данные. Основание должно соответствовать цели, а объем данных — быть соразмерным.

Особенно важно не путать договорные отношения и вопросы о политике. Сам по себе договор между физическими лицами или договор между юридическими лицами не заменяет политику обработки персональных данных. Политика — это отдельный публичный документ оператора. При этом в рамках отношений между физическими лицами или между юридическими лицами могут обрабатываться данные представителей, работников, клиентов, исполнителей, и для таких операций нужно отдельно определить правовое основание.

Если же закон или конкретная ситуация требуют именно согласия, его нужно оформлять отдельно и внимательно. Нельзя подменять согласие общим чекбоксом «ознакомлен с политикой». Нельзя делать безразмерное согласие «на все действия со всеми данными». В том же Обзоре судебной практики, утвержденном 27.09.2017, Верховный Суд РФ указал, что обязанность доказать наличие согласия либо обстоятельств, в силу которых согласие не требуется, лежит на операторе.

8. Что писать о специальных, биометрических и распространяемых данных

Если оператор не работает со специальными категориями персональных данных, это лучше прямо указать. По статье 10 Закона № 152-ФЗ обработка данных о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни в общем случае не допускается, если нет специальных оснований, прямо предусмотренных законом. Поэтому опасная формула «оператор вправе обрабатывать любые данные, предоставленные субъектом» для политики не подходит.

С биометрическими данными ситуация еще строже. Статья 11 Закона № 152-ФЗ определяет их как сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность. Если оператор использует распознавание лица, голосовую биометрию, биометрический контроль доступа или схожие технологии, это почти всегда требует отдельного юридического анализа и, во многих случаях, отдельного письменного согласия.

Отдельной строкой стоит обработка персональных данных, разрешенных субъектом для распространения, по статье 10.1 Закона № 152-ФЗ. Нельзя автоматически считать, что если человек сам прислал фото, резюме или отзыв, то оператор вправе бесконтрольно размещать их в публичном доступе. Для публичного распространения данных нужен отдельный правовой режим, и политика должна быть с ним согласована.

9. Как описывать передачу третьим лицам, трансграничную передачу и локализацию

В политике надо отдельно показать, передаются ли данные третьим лицам и на каких условиях. Здесь важно различать как минимум три ситуации: передача по закону, передача контрагентам для исполнения договора и поручение обработки персональных данных внешнему обработчику. Если вы используете CRM, облачную телефонию, сервисы рассылок, бухгалтерские платформы, хостинг, курьерские службы, подрядчиков по техподдержке или HR-платформы, политика должна быть синхронизирована с реальной схемой передачи данных.

Если предполагается трансграничная передача, нужно учитывать статью 12 Закона № 152-ФЗ. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такую передачу. Для 2026 года это уже не факультативная деталь, а отдельный обязательный шаг, который надо проверять до запуска сервиса, а не после первой жалобы.

Кроме того, при сборе персональных данных, в том числе через интернет, действует правило локализации. По статье 18 Закона № 152-ФЗ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации. Поэтому перед тем как создать сайт, подключить иностранный сервис или просто скачать красивый зарубежный конструктор, надо проверить, где фактически будут храниться данные.

Для сайта опаснее всего не отсутствие красивого текста, а разрыв между опубликованной политикой и реальной цепочкой передачи и хранения данных.

10. Как указывать сроки хранения, обезличивание и уничтожение

Одна из слабых зон большинства документов — сроки хранения. Часто в шаблон вставляют фразу «данные хранятся не дольше, чем это необходимо», и на этом раздел заканчивается. Формально такая фраза повторяет идею закона, но практически почти ничего не объясняет. В статье 5 Закона № 152-ФЗ закреплено, что хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором либо иными основаниями.

Статья 21 Закона № 152-ФЗ требует прекратить неправомерную обработку, а если обеспечить правомерность невозможно — уничтожить персональные данные. По достижении цели обработки данные также подлежат уничтожению либо обезличиванию, если иное не предусмотрено законом. Значит, в хорошей политике надо не просто переписать закон, а показать, как это работает у вас.

Практически удобно использовать короткую матрицу:

• заявки с сайта — до ответа на обращение и далее в пределах срока защиты от претензий;
• договорные документы — на срок исполнения договора и далее в пределах обязательных сроков хранения;
• кадровые данные — по правилам трудового, налогового и архивного законодательства;
• видеозаписи — по внутреннему регламенту и заявленной цели обеспечения безопасности.
• Такой подход лучше, чем безликий типовой образец. Он помогает не только составить политику, но и выстроить внутренний порядок удаления и архивирования данных.

11. Нужно ли уведомлять Роскомнадзор и где публиковать политику

По общему правилу статья 22 Закона № 152-ФЗ требует, чтобы оператор до начала обработки персональных данных уведомил уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку. Исключения из этого правила существуют, но их нужно проверять осторожно и применительно к конкретной ситуации. В 2026 году безопаснее исходить не из форумного совета, а из действующей редакции закона и реальных процессов оператора.

Сама политика должна быть опубликована либо иным образом сделана общедоступной. Для сайта это обычно означает:

• заметную ссылку в футере;
• доступ к политике рядом с формами сбора данных;
• возможность открыть документ до отправки формы;
• актуальность редакции после внесения изменений.

Роскомнадзор в проверочном листе отдельно спрашивает, опубликован ли документ, определяющий политику в отношении обработки персональных данных, и размещен ли он своевременно после утверждения. Поэтому политика, спрятанная в недоступном разделе сайта или формально существующая только в папке юриста, свою задачу не выполняет.

12. Какие ошибки чаще всего приводят к претензиям, спорам и штрафам

Основные проблемы обычно возникают не из-за сложных правовых конструкций, а из-за несоответствия документов фактической обработке. Чаще всего встречаются такие ошибки:

• политика опубликована, но формы на сайте собирают больше данных, чем в ней указано;
• в политике описаны одни цели, а в согласиях и договорах — другие;
• оператор ссылается на согласие, но не может доказать его наличие или корректность;
• не урегулированы сроки хранения и порядок уничтожения данных;
• используются внешние сервисы без анализа поручения обработки, локализации и трансграничной передачи.

Судебная практика подтверждает, что формальный подход здесь не работает. Верховный Суд РФ в Обзоре судебной практики по делам, связанным с обработкой персональных данных, утвержденном Президиумом ВС РФ 27.09.2017, подчеркнул, что обязанность доказать наличие согласия или оснований обработки лежит на операторе. В более поздней практике Верховного Суда это тоже видно: например, в определении Судебной коллегии по гражданским делам Верховного Суда РФ от 18.02.2025 № 5-КГ24-144-К2 рассматривался спор о требовании прекратить обработку персональных данных в связи с телефонными звонками, то есть вопрос об обработке данных анализировался как вполне прикладной гражданский конфликт, а не как абстрактная формальность.

Поэтому попытка просто скачать образец, вставить реквизиты компании и оставить текст без анализа — плохая стратегия. Конструктор может помочь создать черновик, но не снимает с оператора обязанности проверить каждую цель, каждое основание и каждую форму сбора данных.

13. Как составить работающую политику: практический алгоритм

Самый надежный способ — сначала описать карту обработки данных, а уже потом писать сам текст. Тогда политика получится не абстрактной, а рабочей. Практический алгоритм выглядит так:

• определить все категории субъектов: работники, кандидаты, клиенты, пользователи сайта, представители контрагентов, посетители;
• по каждой категории выписать цели, состав данных, основания обработки, сроки хранения и схему передачи;
• отдельно проверить, где нужно согласие, а где достаточно иных оснований по статье 6 Закона № 152-ФЗ;
• сверить формы на сайте, кадровые документы, договоры с подрядчиками, уведомление в Роскомнадзор и внутренние регламенты;
• после утверждения опубликовать документ и обеспечить порядок его регулярного обновления.

Если вам нужен образец, шаблон или хочется скачать типовой документ, используйте его только как отправную точку. Хороший шаблон помогает составить структуру. Хороший образец показывает логику формулировок. Конструктор помогает создать черновик. Но рабочая политика всегда индивидуальна. Особенно в 2026 году, когда контроль по персональным данным стал жестче, а несоответствие текста реальной обработке видно быстрее, чем раньше.

Итог простой. Политика обработки персональных данных — это документ, который должен отвечать на практические вопросы человека и одновременно защищать оператора от собственных ошибок. Ее можно составить на базе типового каркаса, можно взять шаблон, можно скачать образец, можно использовать конструктор, но в финале нужно проверить соответствие каждому реальному процессу. Только тогда документ действительно работает.