Что такое 152-ФЗ?

Федеральный закон №152 «О персональных данных» регулирует сбор, хранение и обработку персональных данных граждан РФ. Любой, кто собирает email, телефоны, ФИО через формы — является оператором персональных данных и обязан соблюдать закон.

Почему Google Forms — это нарушение?

Google Forms хранит данные на серверах за пределами РФ. По ст. 18 152-ФЗ, оператор обязан обеспечить хранение ПДн граждан РФ на территории России. Использование Google Forms для сбора ПДн — прямое нарушение с штрафом до 6 млн ₽.

Как быстро работает проверка?

Экспресс-проверка занимает 20–60 секунд. Мы анализируем все публикации, ссылки, виджеты, формы, куки, сертификаты и политику конфиденциальности.

Что входит в отчёт?

Полный отчёт включает список нарушений со ссылками на конкретные посты/страницы, статьи ФЗ-152, уровни риска, рекомендации по устранению. Формат — PDF или DOCX.

Безопасно ли давать ссылку на группу или сайт?

Абсолютно безопасно. Мы анализируем только публичную информацию. Не запрашиваем доступ администратора, не сохраняем данные участников.

Политика обработки ПДн в 2026 году: что должно быть внутри и как избежать штрафа за отсутствие

Name: PDN Guard — аудит на соответствие ФЗ-152
Brand: PDN Guard
Availability: InStock

Разбор обязательных разделов политики обработки персональных данных по ФЗ-152 в редакции 2025 года: цели, категории, сроки, трансграничная передача, ответственный.

Координатор небольшого детского благотворительного фонда в Карелии написал нам в чат: «Мы год назад скачали шаблон политики обработки ПДн с какого-то сайта, поменяли название организации и забыли. Сейчас узнали, что закон опять переписали — а мы уже два месяца работаем по неактуальной бумаге. Что менять в первую очередь?» Тема живая: с 30 мая 2025 года новая редакция ст. 13.11 КоАП РФ, с 1 июля 2025 — ужесточённая локализация баз ПДн в России, с 1 сентября 2025 — отдельный документ согласия. Разбираем, что должно быть в политике обработки ПДн в 2026 году и как её привести в порядок за час, не нанимая юриста.

Зачем нужна политика — норма и санкция

Обязанность опубликовать политику обработки персональных данных установлена ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152): оператор, который собирает ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать в этих сетях документ, определяющий его политику. Для большинства наших ICP-клиентов «информационно-телекоммуникационная сеть» — это сайт организации, форма записи в группе ВКонтакте или Telegram-бот.

За отсутствие политики или её недоступность по ссылке — штраф по ч. 3 ст. 13.11 КоАП РФ:

граждане — 1 500 – 3 000 ₽;
должностные лица — 6 000 – 12 000 ₽;
ИП — 10 000 – 20 000 ₽;
юридические лица — 30 000 – 60 000 ₽.

Сама по себе ч. 3 — самое «дешёвое» нарушение в ст. 13.11. Но опасность в другом. Робот Роскомнадзора автоматически сканирует сайты на предмет наличия политики и баннера со ссылкой на неё. Если вашего документа нет — карточка нарушения уходит инспектору и тянет за собой полную проверку. А полная проверка — это уже квалификация по ч. 2 (обработка без письменного согласия, до 700 000 ₽) и по ч. 10 (если не подавали уведомление в РКН, до 300 000 ₽). Подробный разбор всех штрафов — в нашем справочнике штрафов 2026 года.

Из каких разделов состоит политика — обязательный минимум

Ст. 18.1 ФЗ-152 не содержит подробного перечня разделов — она устанавливает общую обязанность. Содержательная структура раскрывается через ст. 22 ФЗ-152 (сведения, которые подаются в уведомлении в РКН) и многолетнюю практику Роскомнадзора. Минимальный перечень, без которого политика будет признана несоответствующей:

Реквизиты оператора и контакты (включая ответственного за обработку ПДн).
Основные понятия — сжатое воспроизведение ст. 3 ФЗ-152.
Цели обработки — конкретно, для каждой категории субъектов.
Категории субъектов и обрабатываемых ПДн.
Правовые основания обработки — ссылки на нормы.
Сроки и порядок хранения и уничтожения.
Меры по обеспечению безопасности (ст. 18.1, ст. 19 ФЗ-152).
Информация о трансграничной передаче — если осуществляется (ст. 12 ФЗ-152 в редакции Федерального закона от 14.07.2022 № 266-ФЗ).
Права субъектов и порядок обращения к оператору.
Порядок внесения изменений в политику.

Цели обработки — как формулировать, чтобы не было отказа

Главная ошибка, из-за которой Роскомнадзор возвращает уведомления и предъявляет претензии к политике, — общая формулировка целей. «Для уставной деятельности», «для исполнения требований законодательства», «в рамках работы организации» — это пустые цели, которые не дают понять, что именно вы делаете с данными.

Цели формулируются конкретно, для каждой категории субъектов. Образец для детского центра:

«Цели обработки персональных данных: организация и проведение занятий по дополнительным общеобразовательным программам для воспитанников; учёт посещаемости и успеваемости; информирование законных представителей воспитанников о расписании, переносах и результатах освоения программы; ведение кадрового делопроизводства в отношении педагогов и администрации; исполнение договоров оказания услуг с законными представителями воспитанников; направление отчётности в уполномоченные органы».

Для спортивной секции-ИП цели могут быть такими:

«Цели обработки персональных данных: организация и проведение тренировочного процесса по плаванию; учёт посещаемости и оплаты; информирование родителей и законных представителей воспитанников о расписании, переносах, соревнованиях и результатах; формирование заявок на участие в турнирах и соревнованиях; ведение кадрового делопроизводства в отношении тренеров и администраторов».

Категории субъектов и данных — что часто забывают

Распространённая ошибка — указать в политике только «работники», когда у организации есть ещё и воспитанники, родители, доноры, контрагенты. Под каждую забытую категорию инспектор может вменить отдельный эпизод нарушения. Полная раскладка для детского центра:

«Категории субъектов и обрабатываемых данных:
— воспитанники: ФИО, дата рождения, пол, адрес проживания, сведения о состоянии здоровья (специальная категория ПДн по ст. 10 ФЗ-152, обрабатывается с письменного согласия законного представителя);
— законные представители: ФИО, контактный телефон, адрес электронной почты, паспортные данные (для заключения договора), сведения о составе семьи;
— работники: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, сведения об образовании, трудовая книжка, сведения о доходах;
— контрагенты-физические лица: ФИО, реквизиты для расчётов, контактные данные».

Для НКО список расширяется ещё на доноров и волонтёров, для школ — добавляется отдельная категория «обучающиеся» с медицинскими данными.

Сроки хранения — какие цифры писать

По принципу ч. 7 ст. 5 ФЗ-152 ПДн «хранятся не дольше, чем этого требуют цели их обработки». «Бессрочно» в политике писать нельзя — отказ при подаче уведомления в РКН. Сроки привязываются к нормативному регулированию:

Согласия и заявления субъектов — 3 года со дня окончания или отзыва согласия (Приказ Росархива от 20.12.2019 № 236, утвердивший Перечень типовых управленческих архивных документов с указанием сроков хранения).
Кадровые документы по личному составу (трудовые договоры, личные дела, приказы о приёме/увольнении) — 50 лет, если документы заведены после 1 января 2003 года (ч. 2 ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»). Для документов до 2003 года — 75 лет.
Бухгалтерские документы — 5 лет после года, в котором они в последний раз использовались (ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»).
Клиентские данные для договорной работы — обычно 3 года после прекращения отношений (общий срок исковой давности по ст. 196 ГК РФ).

Трансграничная передача — отдельное уведомление в РКН с 2023 года

Если организация передаёт ПДн за рубеж — например, использует Mailchimp (США) для рассылок, Google Analytics (США) для аналитики, Notion (США) для совместной работы или иностранный облачный сервис — это трансграничная передача. С 1 марта 2023 года норма серьёзно ужесточена: по ч. 4 ст. 12 ФЗ-152 (в редакции Федерального закона от 14.07.2022 № 266-ФЗ) оператор обязан подать в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу до её начала.

РКН рассматривает уведомление 10 рабочих дней. Для стран, признанных не обеспечивающими адекватной защиты ПДн (США и ряд других стран — актуальный перечень определяется Роскомнадзором), РКН вправе вынести запрет или ограничение. Дополнительно для передачи в такие страны нужно письменное согласие субъекта (ч. 1 ст. 12 ФЗ-152).

Простой признак того, что у вас есть трансграничная передача: в коде сайта подключён Google Analytics, рассылка идёт через Mailchimp или HubSpot, заявки собираются через Google Forms или Typeform. Если не подавали отдельное уведомление по трансграничной передаче — это нарушение, отдельный риск помимо основной обязанности уведомления.

Российские альтернативы, не требующие отдельного уведомления о трансграничной передаче: Яндекс.Метрика, Яндекс.Формы, формы ВКонтакте, Битрикс24, RetailCRM, отечественные SMTP-сервисы (Mail.ru для бизнеса, Яндекс 360). При выборе CRM проверьте, где физически находятся серверы по обслуживанию российских клиентов и кто конечный владелец сервиса.

Ответственный за обработку ПДн — ФИО, должность, контакты

По ст. 22.1 ФЗ-152 оператор-юридическое лицо обязан назначить ответственного за организацию обработки ПДн. Назначение оформляется приказом руководителя, в политике указываются ФИО, должность и контактные данные. У ИП требование о назначении не применяется — ИП сам исполняет обязанности оператора, отдельный приказ не нужен.

Распространённая практическая рекомендация — указывать конкретный email и телефон ответственного, а не общий «info@company.ru». Это требование закреплено в п. 7.1 ч. 3 ст. 22 ФЗ-152 для подачи уведомления в РКН: контакты ответственного должны быть прямыми. Для самой политики на сайте достаточно ФИО и общего корпоративного контакта, но вариант «персональный email + телефон» снимает риск претензий со стороны субъектов и инспекторов.

Где разместить политику на сайте — обязательный минимум

Политика должна быть доступна по гиперссылке на тех страницах, через которые осуществляется сбор ПДн (письмо Роскомнадзора от 19.10.2021 № 08-71063). На практике самая надёжная схема — размещение в футере сайта, который виден на каждой странице. Так инспектор и робот РКН не смогут предъявить «политика отсутствует» вне зависимости от того, через какую форму пользователь зашёл.

Дополнительно ссылка на политику обязательна:

в каждой форме заявки (рядом с чекбоксом согласия);
в попапах подписки и cookie-баннере;
в описании группы ВКонтакте, если через сообщения собираются ПДн;
в подвале email-рассылки и автоответов.

Когда обновлять политику — поправки 2024–2025

Если ваша политика последний раз обновлялась до апреля 2025 года, она устарела. Ключевые поправки, которые надо учесть:

Федеральный закон от 30.11.2024 № 420-ФЗ (КоАП): новые штрафы по ст. 13.11 действуют с 30 мая 2025 года. В политике — упомянуть актуальную редакцию.
Федеральный закон от 28.02.2025 № 23-ФЗ (локализация): с 1 июля 2025 года первичная запись и хранение баз ПДн граждан РФ — строго в России.
Федеральный закон от 24.06.2025 № 156-ФЗ (форма согласия): с 1 сентября 2025 года согласие на обработку ПДн оформляется отдельным документом, его нельзя встраивать в общий договор или оферту скрытым пунктом.

Конкретного срока «обновить политику в течение N дней после поправок» в законе нет, но при изменении сведений, поданных в уведомлении в РКН (адрес, цели, ответственный), на оператора возлагается обязанность подать уведомление об изменениях не позднее 15-го числа месяца, следующего за месяцем изменения (ч. 7 ст. 22 ФЗ-152). Политику разумно обновлять синхронно — иначе документы расходятся.

Чего НЕ нужно бояться — мораторий на плановые проверки

Постановлением Правительства РФ от 10.03.2023 № 372 действует мораторий на плановые проверки малого и среднего предпринимательства до 2030 года. Плановые выездные проверки Роскомнадзора возможны только в отношении организаций высокого и чрезвычайно высокого риска. Для большинства школ, секций, детских центров и НКО плановая проверка с выездом инспектора в 2026 году крайне маловероятна.

Что осталось и работает — внеплановые проверки по жалобам родителей и автоматизированный дистанционный мониторинг сайтов. Именно поэтому опубликованная и доступная политика — это не «формальность для проверки», а реальная защита от автоматизированного предписания. Подробно про процедуру проверки — в нашем разборе проверок РКН.

Чек-лист: 10 пунктов, которые должны быть в вашей политике

☐ Полные реквизиты оператора (ОГРН/ОГРНИП, ИНН, юридический адрес).
☐ ФИО, должность и контакт ответственного за организацию обработки ПДн.
☐ Конкретные цели обработки — для каждой категории субъектов.
☐ Полный перечень категорий субъектов и обрабатываемых данных.
☐ Правовые основания обработки — ссылки на конкретные нормы.
☐ Сроки хранения — привязаны к нормам архивного и бухгалтерского учёта.
☐ Меры по обеспечению безопасности (ст. 18.1, ст. 19 ФЗ-152).
☐ Информация о трансграничной передаче — или явная пометка «не осуществляется».
☐ Права субъектов и порядок обращения (срок ответа — 10 рабочих дней по ст. 20).
☐ Порядок внесения изменений в политику.

Хотите проверить, что у вас уже опубликовано на сайте, и насколько политика соответствует актуальной редакции на май 2026 года? Запустите бесплатную диагностику PDN Guard — сервис за 30 секунд проверит сайт и найдёт ровно те же нарушения, что зафиксирует автоматизированный робот Роскомнадзора.

Если задача — сразу собрать готовый комплект документов под организацию: политика обработки ПДн, согласие законного представителя, приказ об ответственном по ст. 22.1, заполненное уведомление в РКН под ваши цели и категории — это упаковано в тариф «Руководителю» за 1 990 ₽. Все документы готовятся под реквизиты школы, секции, детского центра или фонда.

А у вас политика обработки ПДн на сайте есть, и какая в ней редакция? Расскажите в комментариях, как давно обновляли — поможем разобраться, что нужно поменять под новые нормы 2025–2026 годов.