Политика конфиденциальности для сайта и приложения: полное руководство для бизнеса в России

Как составить документ, который защитит компанию от штрафов до 500 млн рублей и выдержит проверку Роскомнадзора в 2025–2026 годах

Почему в 2025 году этот документ стал критически важным

До недавнего времени многие компании воспринимали политику конфиденциальности как бумажную формальность — текст, который можно скопировать из интернета, разместить в подвале сайта и забыть. Эта стратегия больше не работает.

Федеральный закон № 420-ФЗ от 30 ноября 2024 года кардинально изменил административную ответственность за нарушения при работе с персональными данными. С 30 мая 2025 года вступили в силу новые редакции статьи 13.11 КоАП РФ, которые превратили прежние символические штрафы в серьёзные финансовые риски [1]. Одновременно Роскомнадзор перешёл к автоматическому сканированию сайтов с использованием искусственного интеллекта: система проверяет не только наличие политики, но и её содержание, анализирует код страниц на предмет скрытых трекеров и интеграций [9].

При этом количество операторов персональных данных в России исчисляется миллионами — фактически им является любое юридическое лицо или ИП, у которых есть сайт с хотя бы одной формой. По оценкам специалистов отрасли, значительная часть компаний до сих пор либо не имеет политики вообще, либо использует устаревшие или чужие шаблоны [10].

Эта статья адресована владельцам сайтов, разработчикам, маркетологам, юристам и специалистам по информационной безопасности. Она поможет понять, что именно требует закон, как правильно выстроить структуру документа, каких ошибок избегать и как выстроить систему контроля, которая выдержит любую проверку.

Часть 1. Правовой контекст: что изменилось и почему это важно сейчас

Законодательная база

Основным нормативным актом, регулирующим обработку персональных данных в России, остаётся Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» [11]. За почти двадцать лет существования он претерпел десятки редакций; последняя волна изменений оказалась наиболее масштабной за всё время его действия.

Ключевые изменения 2024–2025 годов:

Федеральный закон № 420-ФЗ от 30 ноября 2024 года внёс поправки в КоАП РФ, многократно увеличив штрафы за нарушения при работе с персональными данными — они вступили в силу 30 мая 2025 года [2]. Федеральный закон № 519-ФЗ от 28 декабря 2024 года ввёл изменения, вступающие в силу с 1 июля 2025 года в части локализации и трансграничной передачи данных. Федеральный закон № 233-ФЗ от 8 августа 2024 года установил новые требования к обезличиванию персональных данных, действующие с 1 сентября 2025 года [11].

Обязательность публичной политики конфиденциальности закреплена в части 2 статьи 18.1 закона 152-ФЗ: оператор обязан публиковать или иным образом обеспечивать неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных [4].

Новая система штрафов

Прежняя система штрафов была устроена так, что даже при выявлении нарушений финансовые потери оставались незначительными. Теперь ситуация принципиально иная.

За отсутствие или недоступность политики конфиденциальности на сайте (ч. 3 ст. 13.11 КоАП) штраф для организации составляет от 30 000 до 60 000 рублей [17]. Это относительно мягкая санкция по сравнению с другими составами.

За незаконную обработку персональных данных (ч. 1 ст. 13.11 КоАП) организации грозит штраф от 150 000 до 300 000 рублей при первом нарушении и от 300 000 до 500 000 рублей при повторном [17].

За обработку данных без письменного согласия субъекта (ч. 2 ст. 13.11 КоАП) установлен штраф от 300 000 до 700 000 рублей при первом нарушении [2].

За нарушение требований локализации — хранение данных граждан РФ на зарубежных серверах (ч. 8 ст. 13.11 КоАП) — организациям и ИП грозит штраф до 6 млн рублей при первом нарушении и до 18 млн при повторном [19].

Наиболее серьёзная ответственность предусмотрена за утечки персональных данных: за повторную утечку введены оборотные штрафы в размере от 1% до 3% годовой выручки компании, а максимальный штраф может составить 500 млн рублей [12]. При этом скидка в 50%, ранее предоставлявшаяся при своевременной уплате, теперь отменена [20].

Важное изменение: индивидуальные предприниматели по многим составам теперь несут ответственность наравне с юридическими лицами [16].

Автоматизированный надзор

Роскомнадзор получил право проводить автоматическую проверку сайтов без жалобы и без участия инспектора. Система сканирует не только текст политики конфиденциальности, но и код сайта, скрытые скрипты, cookie-файлы и внешние интеграции [9]. Это означает, что компании не могут рассчитывать на то, что нарушение останется незамеченным — каждый сайт потенциально находится под постоянным контролем.

Часть 2. Что такое политика конфиденциальности и когда она нужна

Определение и смежные документы

Политика конфиденциальности (privacy policy) — это публичный документ, который объясняет пользователям сайта или приложения, как собираются, хранятся и используются их персональные данные [3]. Документ может называться по-разному: «Политика обработки персональных данных», «Политика конфиденциальности», «Положение о конфиденциальности» — название юридически не принципиально, важно содержание.

Политику конфиденциальности важно отличать от нескольких смежных документов:

Внутреннее положение об обработке персональных данных — это документ для сотрудников, регламентирующий внутренние процессы компании. Публичная политика конфиденциальности предназначена для пользователей и клиентов [6].

Согласие на обработку персональных данных — это отдельный документ, подписываемый субъектом. С 2025 года согласие не может быть включено в текст договора, анкеты или оферты: оно должно существовать как самостоятельный документ [22].

Cookie-политика — описание использования файлов cookie; может быть частью общей политики или существовать отдельно.

Кто обязан иметь политику конфиденциальности

Ответ короткий: любая компания, ИП или иное лицо, у которых есть сайт с любой формой сбора данных. Это включает:

• форму обратной связи или заявки;
• форму регистрации или авторизации;
• форму подписки на рассылку;
• страницу оформления заказа;
• форму для отправки резюме;
• чат-бот, собирающий контактные данные;
• любую аналитику, использующую cookie (Яндекс.Метрика, Google Analytics и аналоги).

Практически каждый современный коммерческий сайт попадает под эти критерии. По факту большинство компаний и ИП в России являются операторами персональных данных, даже если нигде в такой роли не регистрировались — что само по себе является нарушением [10].

Часть 3. Обязательная структура политики конфиденциальности по 152-ФЗ

Статья 18.1 закона 152-ФЗ и рекомендации Роскомнадзора определяют шесть обязательных разделов, которые должна содержать политика конфиденциальности [4], [21]. Рассмотрим каждый подробно.

Раздел 1. Общие положения

Это вводная часть документа. Она должна содержать:

• назначение документа и его правовую основу (ссылка на 152-ФЗ обязательна);
• сведения об операторе: полное юридическое наименование или ФИО физического лица, адрес, контактные данные;
• основные понятия и термины, используемые в документе (субъект персональных данных, оператор, обработка и т.д.);
• перечень прав и обязанностей оператора и субъекта;
• URL-адреса сайтов, к которым применяется политика.

Частая ошибка в этом разделе — указание чужого юридического лица (при копировании шаблона) или устаревших контактных данных. РКН в ходе проверок фиксирует, что на одном сайте присутствуют политики нескольких юридических лиц, что вводит пользователей в заблуждение [6].

Раздел 2. Цели и основания обработки персональных данных

Статья 5 закона 152-ФЗ требует определения конкретных, законных целей сбора данных. Это один из наиболее проблемных разделов: самая распространённая ошибка при проверках — некорректная или слишком общая формулировка целей [25].

Цели должны быть конкретными. Примеры корректных формулировок:

• «Обработка заявок на оказание услуг и исполнение договоров с клиентами»
• «Направление пользователям маркетинговых коммуникаций при наличии соответствующего согласия»
• «Техническая поддержка пользователей и ответы на запросы»
• «Подбор и оценка кандидатов на вакантные должности»

Для каждой цели должны быть указаны правовое основание обработки (согласие субъекта, исполнение договора, законный интерес оператора или требование закона), перечень конкретных категорий данных и срок хранения [4].

Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям. Принцип минимизации — один из ключевых в 152-ФЗ [11].

Раздел 3. Категории субъектов и состав персональных данных

Здесь необходимо перечислить все категории лиц, чьи данные обрабатываются (клиенты, посетители сайта, соискатели, сотрудники, партнёры), и для каждой категории указать конкретный перечень собираемых данных.

Стандартный минимум для большинства сайтов включает имя и фамилию, адрес электронной почты, номер телефона, IP-адрес. Расширенный состав зависит от специфики бизнеса: интернет-магазины дополнительно собирают адрес доставки и платёжные данные, рекрутинговые сервисы — данные об образовании и опыте работы, медицинские организации — состояние здоровья.

Отдельно важно указать сбор биометрических данных (фото, отпечатки пальцев, голос) и специальных категорий (состояние здоровья, политические взгляды, вероисповедание) — для них закон устанавливает повышенные требования [17].

Раздел 4. Порядок и условия обработки, сроки хранения

Этот раздел описывает технические и организационные аспекты:

• способы обработки (с использованием средств автоматизации и/или без);
• передача данных третьим лицам — кому, на каком основании, с какими гарантиями;
• условия и порядок уничтожения данных;
• конкретные сроки хранения для каждой категории данных.

Хранение данных без цели и оснований с 2025 года рассматривается как избыточная обработка и наказывается штрафом [9]. Сроки хранения должны быть прописаны явно — формулировка «по необходимости» не принимается.

Если компания передаёт данные подрядчикам (аутсорсинговые кол-центры, CRM-системы, email-рассылки), с каждым таким обработчиком необходимо заключить договор с поручением на обработку и прописать в политике факт передачи и её условия [5].

Раздел 5. Права субъектов персональных данных и порядок их реализации

Закон 152-ФЗ наделяет субъектов широким набором прав, каждое из которых должно быть отражено в политике:

• право на получение информации об обработке своих данных;
• право на уточнение, исправление или дополнение данных;
• право на удаление данных (право на забвение);
• право на отзыв согласия на обработку;
• право на ограничение обработки;
• право на обжалование действий оператора в Роскомнадзоре или суде.

Для каждого права политика должна описывать практический порядок его реализации: как пользователь может подать запрос, в какой форме, каков срок ответа. На письменный запрос оператор обязан ответить в течение 7 календарных дней [7].

Контактный адрес для обращений субъектов должен быть указан явно и актуален. РКН рекомендует выделить для этого отдельный email-адрес, который регулярно проверяется [7].

Раздел 6. Меры по обеспечению безопасности персональных данных

Статья 19 закона 152-ФЗ требует принятия технических и организационных мер защиты. В политике конфиденциальности необходимо описать эти меры, избегая двух крайностей: излишней детализации (которая может дать злоумышленникам информацию о слабых местах) и шаблонных общих фраз [6].

Типичная ошибка — ограничиться формулировкой «мы принимаем все необходимые меры». Для РКН важно видеть конкретику: шифрование при передаче данных, контроль доступа, регулярные резервные копии, обучение сотрудников, план реагирования на инциденты [18].

Часть 4. Дополнительные обязательные элементы: cookie, согласия и локализация

Cookie-политика: новые требования 2025 года

С 2025 года cookie-баннеры должны не просто информировать пользователя, но обеспечивать реальную возможность управления согласием [9]. Это означает переход от уведомительного формата («Мы используем cookie. Продолжая пользоваться сайтом, вы соглашаетесь») к разрешительному.

Пользователь должен иметь возможность:

• принять все категории cookie;
• отказаться от необязательных (аналитических, маркетинговых);
• изменить своё согласие в любой момент.

Типы cookie, которые необходимо описать в политике [27]:

• технически необходимые (функциональные) — для работы сайта, не требуют согласия;
• аналитические — для изучения поведения пользователей (Яндекс.Метрика и аналоги);
• маркетинговые (рекламные) — для таргетирования и ремаркетинга.

Особого внимания требуют интеграции с Яндекс.Метрикой, Google Analytics, Facebook Pixel и аналогичными инструментами. РКН в 2025 году фиксирует отсутствие cookie-уведомлений как нарушение закона, особенно при наличии таких интеграций [27]. Важно: прямое подключение Google Analytics без server-side tagging и хранения данных на сервере в РФ расценивается как трансграничная передача данных и требует отдельного оформления [30].

Согласие на обработку персональных данных

С 2025 года согласие является самостоятельным документом, отдельным от договора, анкеты или политики конфиденциальности [22]. Оно должно быть:

• добровольным (нельзя обусловить получение услуги предоставлением избыточных данных);
• конкретным (отдельное согласие на каждую цель);
• информированным (пользователь понимает, на что соглашается);
• однозначным (чекбокс, не проставленный заранее).

Под каждой формой сбора данных на сайте должна стоять незаполненная галочка с текстом согласия и ссылкой на политику конфиденциальности [5]. Наличие предзаполненных галочек является нарушением.

Если компания ведёт маркетинговые рассылки, передаёт данные партнёрам или осуществляет трансграничную передачу — для каждого из этих действий необходимо отдельное согласие [30].

Локализация данных и трансграничная передача

Статья 18 закона 152-ФЗ устанавливает: при сборе персональных данных граждан России оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, расположенных на территории Российской Федерации [11].

Это требование критически важно для выбора хостинга, CRM-систем, облачных хранилищ и любых SaaS-решений, обрабатывающих персональные данные. Сайт, физически размещённый на зарубежном сервере, нарушает требование локализации [27]. С 1 июля 2025 года ужесточены правила по этому направлению [23].

Трансграничная передача данных (любое перемещение данных за пределы России) требует предварительного уведомления Роскомнадзора, а для стран без «адекватного» уровня защиты данных — ожидания разрешения регулятора [24]. При этом уведомление о трансграничной передаче подаётся отдельно от уведомления о начале обработки данных [31].

Важно понимать: использование зарубежных сервисов аналитики (Google Analytics с прямым подключением, Google Forms), облачных CRM с серверами за рубежом или мессенджеров для передачи персональных данных потенциально является трансграничной передачей, требующей оформления [24].

Часть 5. Политика конфиденциальности для мобильных приложений

Мобильные приложения создают дополнительные сложности: они собирают более широкий спектр данных, взаимодействуют с операционной системой и разделяют пользователей на платформы.

Требования магазинов приложений

Для публикации приложения в App Store и Google Play наличие политики конфиденциальности является обязательным требованием, и отдельно прописано в регламентах этих платформ. Приложения без соответствующей политики будут отклонены при проверке [8].

Специфика сбора данных в мобильных приложениях

Помимо стандартных данных, которые собирают сайты, мобильное приложение может собирать:

• геолокацию (точную или приблизительную);
• идентификаторы устройства (IDFA, GAID);
• данные об использовании приложения (паттерны взаимодействия, сессии);
• доступ к камере, микрофону, контактам, фотографиям;
• данные о подключении (тип сети, оператор).

Все эти категории должны быть явно перечислены в политике конфиденциальности с обоснованием необходимости их сбора и указанием целей.

Структура и доступность политики для приложений

Политика конфиденциальности мобильного приложения должна быть доступна по постоянной URL-ссылке, которая указывается при регистрации в магазинах приложений. Дополнительно рекомендуется разместить её внутри самого приложения — в разделе «О приложении» или «Настройки» [8].

Если одна компания управляет одновременно сайтом и мобильным приложением, допустимо создать единый документ, явно охватывающий оба канала — с отдельными разделами для каждого.

Часть 6. Практические требования к размещению и оформлению

Где и как должна быть размещена политика

Закон требует обеспечить неограниченный доступ к политике конфиденциальности, на практике это означает [4], [26]:

• постоянная ссылка в футере сайта на всех страницах;
• ссылка рядом с каждой формой сбора данных;
• наличие на странице с cookie-баннером.

Важно регулярно проверять работоспособность ссылки: в судебной практике зафиксированы случаи, когда суд и РКН признавали нарушением наличие политики при неработающей ссылке на неё [26].

Актуальность документа

Отсутствие актуальной версии документа приравнивается к его полному отсутствию. Политику необходимо обновлять при [22]:

• изменении состава собираемых данных;
• подключении новых сервисов (CRM, аналитика, рассылки);
• изменении целей обработки;
• смене подрядчиков, обрабатывающих данные;
• изменениях в законодательстве.

Дату последнего обновления рекомендуется указывать в тексте документа.

Язык и доступность

Политика конфиденциальности должна быть написана понятным для неспециалиста языком. Перегруженность юридическими терминами без разъяснений создаёт риск: пользователь не может считаться информированным, если он не понимает, о чём подписывается. Это может стать основанием для признания согласия недействительным.

Часть 7. Топ-10 типичных ошибок и как их избежать

Ошибка 1. Скопированный шаблон без адаптации

Шаблонные документы не отражают реальные процессы обработки персональных данных и признаются РКН нарушением [6]. Каждый бизнес уникален: у конкурента другие цели обработки, другая CRM, другие подрядчики и сервисы. Несоответствие фактам является нарушением законодательства. В одном задокументированном случае компания из Твери получила уведомление о нарушении именно потому, что её политика не упоминала Яндекс.Метрику, которая реально использовалась [25].

Ошибка 2. Отсутствие политики или недоступная ссылка

Это наиболее часто выявляемое РКН нарушение. Одним из самых частых нарушений остаётся отсутствие политики конфиденциальности в футере каждой страницы, где происходит сбор данных [26]. Ссылка должна быть видимой и кликабельной на всех устройствах.

Ошибка 3. Размытые цели обработки

Формулировка «в целях улучшения сервиса» или «в маркетинговых целях» без конкретики не соответствует требованиям закона [25]. Каждая цель должна быть специфической, измеримой и привязанной к конкретной категории данных.

Ошибка 4. Нет описания cookie и cookie-баннера

В 2025 году РКН фиксирует отсутствие cookie-уведомлений как нарушение, особенно при наличии аналитических интеграций [27]. Cookie-баннер должен обеспечивать реальную возможность управления согласием, а не просто информировать.

Ошибка 5. Нет информации о сроках хранения данных

Хранение данных без указания срока и цели с 2025 года квалифицируется как избыточная обработка [9]. Для каждой категории данных и каждой цели необходимо установить конкретный срок хранения.

Ошибка 6. Согласие включено в текст договора или оферты

Начиная с 2025 года такая практика признаётся нарушением [22]. Согласие должно быть отдельным документом, который пользователь подписывает самостоятельно.

Ошибка 7. Зарубежный хостинг или аналитика без оформления

Если сайт физически размещён в Европе или использует Google Analytics с прямым подключением — это нарушение требований локализации и/или трансграничной передачи данных [30]. Решение: переход на российский хостинг и российские аналитические инструменты, либо надлежащее оформление трансграничной передачи.

Ошибка 8. Не подано уведомление в Роскомнадзор

Большинство компаний обязаны уведомить РКН о начале обработки персональных данных до начала такой обработки. Штраф за неуведомление с 30 мая 2025 года составляет от 100 000 до 300 000 рублей для организаций [1]. Отдельного уведомления требует и трансграничная передача данных [24].

Ошибка 9. Политика не обновляется при изменениях

Компании обновляют документ при реорганизации, но забывают это делать при подключении нового сервиса аналитики, смене CRM или добавлении формы на сайте. Политика должна соответствовать фактическим процессам в режиме реального времени [22].

Ошибка 10. Передача данных через мессенджеры

Отправка персональных данных клиентов по WhatsApp (серверы за рубежом) или через другие зарубежные мессенджеры может квалифицироваться как трансграничная передача без надлежащего оформления [9].

Часть 8. Практический чек-лист: что проверить прямо сейчас

Следующий перечень основан на актуальных требованиях 152-ФЗ, рекомендациях Роскомнадзора и судебной практике [9], [25]:

Документация и публикация:

• Политика конфиденциальности опубликована на сайте и доступна по рабочей ссылке
• Ссылка на политику присутствует в футере на каждой странице сайта
• Ссылка продублирована рядом с каждой формой сбора данных
• Дата последнего обновления политики актуальна

Содержание политики:

• Указано полное наименование оператора, адрес и контактные данные
• Перечислены все цели обработки с конкретными формулировками
• Для каждой цели указаны категории данных и правовое основание
• Прописаны конкретные сроки хранения для каждой категории
• Указан порядок реализации прав субъектов и контактный email
• Описаны меры безопасности с достаточной конкретикой
• Есть раздел о cookie с описанием всех типов используемых файлов
• Описана передача данных третьим лицам и условия такой передачи

Технические требования:

• Cookie-баннер обеспечивает управление согласием, а не только уведомление
• Под каждой формой стоит непроставленная галочка согласия
• Согласие является отдельным документом, не встроенным в договор
• Сайт размещён на хостинге в России
• Аналитические инструменты либо используют российские сервисы, либо оформлена трансграничная передача

Регуляторное взаимодействие:

• Подано уведомление в РКН о начале обработки персональных данных
• При наличии зарубежных интеграций подано уведомление о трансграничной передаче
• Заключены договоры поручения с третьими лицами, обрабатывающими данные

Часть 9. Актуальная практика: что проверяет РКН на сайтах в 2025 году

Роскомнадзор в ходе проверок анализирует несколько ключевых аспектов [25]:

Первый — наличие политики и её доступность. Система проверяет наличие ссылки в футере и работоспособность ссылки.

Второй — соответствие политики реальным процессам. РКН может сопоставить текст политики с информацией, указанной в уведомлении о начале обработки, и выявить расхождения. Три различия между политикой на сайте и данными в реестре операторов могут стать основанием для внеплановой проверки [6].

Третий — технические аспекты сайта. Автоматический сканер анализирует код страниц: какие скрипты подключены, используются ли сторонние трекеры, откуда физически загружаются ресурсы. Нарушения могут быть «внутри» — в интеграциях, скриптах и структуре страницы [25].

Четвёртый — наличие cookie-баннера и форм согласия. Особое внимание при наличии Яндекс.Метрики, пикселей и аналогичных инструментов.

Часть 10. Как Пятый фактор помогает держать ситуацию под контролем

Одна из скрытых проблем, о которой редко говорят при обсуждении политики конфиденциальности, — это разрыв между тем, что написано в документе, и тем, что реально происходит с данными внутри компании.

Сегодня ИТ-ландшафт большинства организаций сложен и постоянно меняется: появляются новые сервисы, подключаются интеграции, разработчики добавляют поля в базы данных. Каждое такое изменение потенциально создаёт новую точку, в которой персональные данные обрабатываются способом, не отражённым в политике конфиденциальности. А значит — в любой момент может возникнуть расхождение между декларируемым и фактическим.

Именно эту проблему решает on-prem платформа Пятый фактор. Система автоматически обнаруживает и инвентаризирует персональные данные во всех корпоративных источниках — базах данных, хранилищах файлов, почтовых системах, AD/LDAP, CRM, 1С и API — без передачи и хранения самих «сырых» данных. Работа только с метаданными, структурой и агрегатами означает, что платформа не создаёт новых рисков утечки.

На практике это даёт несколько важных преимуществ с точки зрения соответствия требованиям политики конфиденциальности:

Живая «карта персональных данных» автоматически показывает, где и какие данные обрабатываются, кто является их владельцем и что изменилось. Это позволяет поддерживать политику конфиденциальности в актуальном состоянии, не проводя ручные аудиты.

Раннее обнаружение новых рисков: когда разработчик добавляет новое поле с персональными данными в базу данных или подключается новая интеграция, система фиксирует это до того, как изменение успело превратиться в нарушение.

Сокращение времени на аудит: вместо недель ручной работы по инвентаризации данных перед проверкой компания имеет постоянно актуальную картину. Это напрямую повышает готовность к проверкам Роскомнадзора и внутренним комплаенс-процедурам.

В условиях, когда политика конфиденциальности должна не просто существовать, но и реально отражать происходящее — инструмент непрерывного контроля персональных данных перестаёт быть опциональным дополнением и становится необходимым элементом системы управления рисками.

Заключение: что делать дальше

Политика конфиденциальности в 2025–2026 годах — это не статичный документ, написанный однажды, а живой элемент системы управления данными, требующий регулярного обновления и технического сопровождения.

Минимальные действия, которые необходимо предпринять:

1. Провести инвентаризацию: определить, какие персональные данные и в каких системах реально обрабатываются, через какие каналы собираются, каким третьим сторонам передаются.
2. Разработать или актуализировать политику конфиденциальности на основе реальных процессов, а не шаблона. Если на сайте используется Яндекс.Метрика — она должна быть упомянута. Если данные обрабатывает подрядчик — это должно быть отражено.
3. Настроить технические элементы: cookie-баннер с управлением согласием, незаполненные чекбоксы согласия под формами, контактный адрес для обращений субъектов.
4. Проверить хостинг и интеграции: убедиться, что сбор и хранение данных происходят на российских серверах; при использовании зарубежных сервисов — оформить трансграничную передачу.
5. Подать уведомление в РКН, если оно ещё не подавалось.
6. Выстроить процесс поддержания актуальности: при каждом изменении в ИТ-инфраструктуре проверять, требует ли обновления политика конфиденциальности.

Соблюдение требований 152-ФЗ в части политики конфиденциальности — это не только защита от штрафов. Это инвестиция в доверие пользователей, которое в конечном счёте становится конкурентным преимуществом.

Источники

[1] «Новые требования Роскомнадзора по закону 152-ФЗ (на 30 мая 2025 года)» — http://linkodium.com/news/novye-trebovaniya-roskomnadzora-po-zakonu-152-fz-na-30-maya-2025-goda/

[2] «Персональные данные: новые штрафы с 30 мая 2025 года» — КонсультантПлюс — https://www.consultant.ru/legalnews/28492/

[3] «Политика конфиденциальности: что это + примеры для сайта» — KOKOC.com — https://kokoc.com/blog/politika-konfidencialnosti/

[4] «Политика обработки персональных данных: структура и требования по 152-ФЗ» — Контур — https://kontur.ru/articles/4871

[5] «Обработка персональных данных на сайте: требования к сайту по 152-ФЗ» — Е-Офис 24 — https://e-office24.ru/news/obrabotka-personalnykh-dannykh-na-sayte-kakie-est-trebovaniya-k-saytu/

[6] «Что должно быть в политике конфиденциальности, чтобы она реально работала» — b-152.ru — https://b-152.ru/chto-dolzhno-byt-v-politike-konfidencialnosti

[7] «Полный гайд по 152-ФЗ об обработке персональных данных с изменениями 2025 года» — 1ps.ru — https://1ps.ru/blog/dirs/2025/kak-ne-popast-na-millionyi-razbiraem-novyie-trebovaniya-po-obrabotke-personalnyix-dannyx/

[8] «Политика конфиденциальности для мобильного приложения» — Mobio — https://mobio.ru/blog/politika-konfidentsialnosti-dlya-mobilnih-prilozhenii/

[9] «Чек-лист проверки сайта на соответствие 152-ФЗ после 30 мая 2025 года» — Integrator.Digital — https://integrator.digital/blog/vse-o-razrabotke-saytov/chek-list-proverki-saita-fz-152-o-personalnyh-dannyh/

[10] «Российские сайты забыли про политики конфиденциальности» — ComNews — https://www.comnews.ru/content/231651/2024-02-20/2024-w08/1008/rossiyskie-sayty-zabyli-pro-politiki-konfidencialnosti

[11] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (актуальная редакция) — ГАРАНТ — https://base.garant.ru/12148567/

[12] КоАП РФ, ст. 13.11 (ред. от 30.11.2024 № 420-ФЗ) — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_34661/

[13] «Увеличение штрафов за нарушение законодательства о персональных данных с 30 мая 2025 года» — it-pnk.ru — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[14] «Штрафы за персональные данные в 2026 году» — data-sec.ru — https://data-sec.ru/personal-data/fines/

[15] «Ответственность за обработку персональных данных: изменения 2025 года» — Контур — https://kontur.ru/articles/55870-otvetstvennost_za_obrabotku_pers_dannyh

[16] «152-ФЗ о персональных данных в 2025–2026 годах» — Business.ru — https://www.business.ru/article/5705-152-fz-o-personalnyh-dannyh-gg

[17] «КоАП РФ Статья 13.11. Нарушение законодательства в области персональных данных» — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/

[18] «Перечень документов по 152-ФЗ для организации в 2025 году» — ic-tech.ru — https://ic-tech.ru/blog/knowledge-base/pdn-152fz-2025/

[19] «Нарушение закона о персональных данных: штрафы и последствия» — Klerk.ru — https://www.klerk.ru/blogs/fedresurs/678917/

[20] «Штрафы за персональные данные с 30 мая 2025 года» — arbitr-praktika.ru — https://www.arbitr-praktika.ru/article/2742-shtrafy-za-personalnye-dannye

[21] «Требования к Политике обработки персональных данных в 2025 году» — roskom.online — https://roskom.online/articles/politika-obrabotki-personalnyh-dannyh-struktura-dokumenta/

[22] «Политика конфиденциальности для сайта: образец 2025 года» — Klerk.ru — https://www.klerk.ru/blogs/fedresurs/637822/

[23] «Документы по персональным данным в 2026 году» — legal-box.ru — https://legal-box.ru/152fz-docs

[24] «Трансграничная передача персональных данных: новые требования» — Е-Офис 24 — https://e-office24.ru/news/transgranichnaya-peredacha-personalnykh-dannykh/

[25] «Как РКН проверяет сайты на соответствие ФЗ 152» — vc.ru — https://vc.ru/marketing/2264701-avtomaticheskaya-proverka-saytov-roskomnadzora

[26] «К чему придирается РКН в политике конфиденциальности» — e.law.ru — https://e.law.ru/1086884

[27] «Требования Роскомнадзора к сайтам 2025: чек-лист для бизнеса» — Klerk.ru — https://www.klerk.ru/blogs/roskom24/650389/

[28] «Проверки РКН: cookie, политика конфиденциальности и локализация ПДн на сайте» — CISOclub — https://cisoclub.ru/forma-na-sajte-kuki-i-politika-za-chto-mozhno-poluchit-shtraf-uzhe-na-pervom-jekrane/

[29] «Разработка политики конфиденциальности для сайта» — roskom.online — https://roskom.online/privacypolicy/

[30] «Новые требования РКН в 2025: как пройти проверку» — vc.ru — https://vc.ru/legal/2149867-novye-trebovaniya-rkn-2025-kak-izbezhat-shtrafov-za-lokalizatsiyu-dannyh

[31] «Как уведомить РКН об обработке персональных данных в 2025 году» — Е-Офис 24 — https://e-office24.ru/news/kak-uvedomit-rkn-ob-obrabotke-personalnykh-dannykh/