Политика конфиденциальности: что обязательно должно быть в 2026 году

Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Нормативная база: 152-ФЗ (ред. 2024–2025), КоАП ст. 13.11 (ред. ФЗ № 420-ФЗ от 30.11.2024).

Почему ваша политика конфиденциальности, скорее всего, уже нарушает закон

Представьте: вы запускаете сайт, добавляете в подвал стандартную ссылку «Политика конфиденциальности», вставляете документ, который кто-то скачал с бесплатного ресурса или взял с Тильды — и считаете, что сделали всё правильно.

По данным РКН, более 70% российских сайтов используют политики, которые не соответствуют актуальным требованиям закона. Причина проста: законодательство менялось трижды за три года — в 2022, 2024 и 2025 году. Политика, написанная даже в 2023 году, уже лишена минимум трёх обязательных разделов.

С 2025 года роботы Роскомнадзора сканируют сайты в круглосуточном режиме. Они умеют сравнивать политики между собой — и шаблонная «тильдовская» политика автоматически помечается как несоответствующая. Штраф за отсутствие надлежащей политики — до 100 000 рублей за первое нарушение. За утечку данных на фоне некомплектной документации — до 500 млн рублей оборотного штрафа при повторном нарушении.

Эта статья — полный разбор того, что обязательно должно быть в политике конфиденциальности в 2026 году: все разделы, все сроки, все правовые основания.

---

Что такое политика конфиденциальности и кого она касается

Политика конфиденциальности (в терминах 152-ФЗ — «документ, определяющий политику оператора в отношении обработки персональных данных») — публично размещённый документ, в котором оператор персональных данных раскрывает, как именно он собирает, хранит, использует и удаляет данные о физических лицах.

Документ обязателен согласно ст. 18.1 ч. 2 п. 2 Федерального закона № 152-ФЗ «О персональных данных».

Вы обязаны иметь политику, если:

• На сайте есть любая форма с вводом имени, телефона, email или адреса
• Сайт использует счётчики аналитики (Яндекс.Метрика, Google Analytics, Топ.Mail.ru)
• Пользователи могут зарегистрироваться или оставить заказ
• Вы отправляете email-рассылки или SMS
• На сайте есть онлайн-чат (JivoSite, Сhatra, Битрикс24)
• Сайт работает на Tilda с формами, Битрикс, amoCRM в связке

Нет форм, нет аналитики, нет чата? Тогда политика формально не обязательна. Но такой сайт встречается крайне редко.

---

Что РКН реально проверяет в политике конфиденциальности

Согласно официальным методическим рекомендациям РКН и правоприменительной практике 2025–2026 годов, инспекторы проверяют следующее:

Важно для 2026 года: С апреля 2025 года RKN-бот умеет сравнивать тексты политик со своей базой известных шаблонов — Tilda, Wix, стандартных генераторов. Если совпадение выше 60% — автоматическая пометка как «несоответствующей» и постановка в очередь на внеплановую проверку.

---

Обязательные разделы политики конфиденциальности в 2026 году

Согласно ст. 18.1 ч. 2 152-ФЗ и методическим рекомендациям РКН, политика должна содержать следующие разделы.

1. Полные реквизиты оператора

Минимальный состав:

• Полное наименование организации или ФИО индивидуального предпринимателя
• ОГРН / ОГРНИП
• ИНН
• Юридический и фактический адрес
• Контактный email и телефон для обращений по вопросам ПДн

Типичная ошибка: «ООО "Рога и Копыта"» без ИНН и адреса. Такая политика формально нарушает требования к идентификации оператора.

2. Перечень категорий персональных данных

Политика обязана перечислять все категории обрабатываемых данных, причём реалистично — в соответствии с тем, что реально собирается на сайте. В 2026 году под «персональными данными» понимается расширенный перечень:

• Имя, фамилия, отчество
• Номер телефона, email
• Адрес доставки или регистрации
• IP-адрес и cookie-идентификаторы (это важно — их часто пропускают)
• Данные браузера и устройства (device fingerprint)
• История покупок и взаимодействия с сайтом
• Геолокация (если используется)
• Биометрические данные — отдельный пункт с особым режимом обработки

Почему это важно: Если в политике написано «имя и email», а на сайте также собираются IP и cookie для аналитики — это нарушение. Инспекторы сравнивают содержание политики с реальным трафиком сайта.

3. Цели обработки персональных данных

Для каждой категории данных и для каждого инструмента нужно явно указать цель. Шаблонного «для улучшения сервиса» недостаточно — цели должны быть конкретными.

Примеры корректных формулировок:

• «Обработка заказов и связь с клиентами по вопросам доставки» — для имени и телефона
• «Статистический анализ поведения пользователей для оптимизации сайта» — для cookie и IP
• «Направление рекламных материалов при наличии согласия» — для email в рассылках

4. Правовые основания обработки (ст. 6 152-ФЗ)

Обязательный раздел, который в большинстве шаблонных политик либо отсутствует, либо заполнен некорректно. Возможные правовые основания:

Для каждой цели обработки в политике должно быть указано своё правовое основание.

5. Сроки хранения данных

Один из наиболее часто нарушаемых пунктов. Требование: для каждой категории данных и каждой цели — конкретный срок хранения или критерий его определения.

Примеры корректных формулировок:

• «Данные клиентов хранятся в течение 5 лет с даты последней операции»
• «Данные кандидатов на вакансии — 6 месяцев с даты подачи резюме»
• «Cookie-файлы удаляются через 12 месяцев с момента установки»
• «До отзыва согласия субъектом» — допустимо для рассылок

Недопустимо: «хранятся необходимое время» или «до достижения целей обработки» без конкретизации.

6. Перечень третьих лиц и трансграничная передача

Если вы используете хоть один сторонний сервис, принимающий данные пользователей — он должен быть указан в политике. В 2026 году под это требование попадают:

• Сервисы аналитики: Яндекс.Метрика, Google Analytics, Amplitude, Mixpanel
• CRM-системы: amoCRM, Bitrix24, HubSpot
• Email-платформы: SendPulse, UniSender, Mailchimp
• Платёжные системы: ЮKassa, Robokassa, CloudPayments, Prodamus
• Онлайн-чаты: JivoSite, Intercom, LiveChat
• CDN и хостинги: Firebase, AWS, Google Cloud

Для каждого сервиса укажите:

• Наименование третьего лица
• Цель передачи данных
• Страну размещения серверов (критично для трансграничной передачи)

Трансграничная передача (ст. 12 152-ФЗ): если данные уходят за рубеж, нужен отдельный раздел с перечнем стран и указанием правового основания. Google Analytics = передача в США = обязательный раздел о трансграничной передаче.

7. Права субъектов персональных данных

Согласно ст. 14–21 152-ФЗ, субъект имеет право:

• Получить информацию о своих данных (ст. 14) — срок ответа: 30 дней
• Потребовать уточнения или исправления (ст. 21 ч. 1) — срок ответа: 7 рабочих дней
• Потребовать уничтожения (ст. 21 ч. 1) — срок: 7 рабочих дней
• Отозвать согласие (ст. 9 ч. 2) — без ограничений

Внимание: Сроки по ст. 20 (30 дней — информация) и ст. 21 (7 рабочих дней — уточнение/уничтожение) разные. Их часто смешивают в шаблонных политиках. Неправильный срок в документе — формальное нарушение.

В политике обязательно должен быть контактный канал для направления обращений: адрес электронной почты или почтовый адрес. Просто телефон недостаточно.

8. Порядок реагирования на инциденты (обязательно с 2022 года)

Этот раздел — главная причина, по которой политики до 2022 года стали некомплектными. Согласно ст. 21.1 152-ФЗ (введена ФЗ № 266-ФЗ от 14.07.2022):

При инциденте (утечке, несанкционированном доступе) оператор обязан:

1. В течение 24 часов — уведомить РКН через pd.rkn.gov.ru/incidents
2. В течение 72 часов — направить отчёт о результатах внутреннего расследования
3. Уведомить пострадавших субъектов — если им может быть причинён вред

В политике должно быть указано:

• Что оператор принимает меры по реагированию на инциденты
• Ссылка на ресурс РКН для уведомления
• Контакт для обращений субъектов в случае инцидента

Отсутствие этого раздела — отдельный состав нарушения со штрафом до 3 млн рублей.

9. Порядок использования cookie

В 2026 году cookie-политика может быть отдельным документом или разделом основной политики. Если она встроена в основной документ, должно быть указано:

• Какие типы cookie используются (технические, аналитические, маркетинговые)
• Конкретные cookie и их назначение
• Срок действия каждого cookie
• Способ отказа от нетехнических cookie

10. Обеспечение безопасности (ст. 19 152-ФЗ)

Раздел о технических и организационных мерах защиты данных. Конкретика не обязательна (её не стоит раскрывать публично), но документ должен подтверждать, что такие меры применяются.

Минимально необходимые формулировки:

• Применение технических средств защиты
• Ограничение доступа сотрудников по принципу минимальных привилегий
• Регулярные проверки безопасности
• Порядок уничтожения данных по истечении сроков хранения

---

Шаблонная политика vs. качественная: сравнение

Посмотрим, что реально отличает документ, который соответствует требованиям РКН в 2026 году, от типичного шаблона.

---

Пошаговый план: как привести политику в порядок за один день

Шаг 1: Аудит текущей политики (30 минут)

Проверьте документ по следующему чеклисту:

• [ ] Указаны полные реквизиты — наименование, ИНН, адрес?
• [ ] Перечислены все категории данных включая IP и cookie?
• [ ] Указаны все сторонние сервисы, получающие данные?
• [ ] Есть раздел о трансграничной передаче (если используется Google Analytics)?
• [ ] Для каждой цели указано правовое основание по ст. 6 152-ФЗ?
• [ ] Прописаны конкретные сроки хранения?
• [ ] Есть раздел про реагирование на инциденты (24ч + 72ч)?
• [ ] Указаны сроки ответа на запросы субъектов (30 дней и 7 р. дн.)?
• [ ] Есть описание cookie с типами и сроками?
• [ ] Указан контакт для обращений по вопросам ПДн?

Если хотя бы 3 пункта не отмечены — политика не соответствует требованиям 2026 года.

Шаг 2: Инвентаризация данных (1–2 часа)

Перед тем как писать или переписывать политику, составьте список:

1. Все формы на сайте — какие поля, для каких целей, куда попадают данные
2. Все сторонние сервисы — зайдите в раздел аналитики, CRM, email-маркетинга. Зафиксируйте каждый, кто получает данные посетителей
3. Где хранятся данные — сервер, CRM, база данных, облако. Российский ЦОД?
4. Кто имеет доступ — только вы, или также подрядчики, агентства, разработчики?

Шаг 3: Составление или обновление документа (2–4 часа самостоятельно, либо автоматически)

Два реалистичных варианта:

Самостоятельно: взять актуальный шаблон (не из интернета 2020 года, а с проверенного источника), заполнить все разделы конкретными данными вашего бизнеса. Минимум 4 часа, высокий риск пропустить разделы.

Автоматически: указать ваш сайт в ПараДок, система просканирует реальные трекеры и сервисы, вы заполняете анкету из 4 шагов — получаете готовый персонализированный пакет документов с оценкой качества 88+/100. Менее 1 часа.

Шаг 4: Размещение и технические требования (30 минут)

• Опубликуйте политику по постоянному адресу — предпочтительно '/privacy'
• Добавьте ссылку в подвал каждой страницы сайта (не только главной)
• Убедитесь, что документ доступен без авторизации
• Укажите дату последнего обновления в тексте документа

Шаг 5: Сопутствующие меры (1–2 дня)

• Установите cookie-баннер с кнопками «Принять» и «Отклонить»
• Добавьте чекбоксы согласия на все формы сбора данных
• Убедитесь, что аналитика не активируется до получения согласия
• Проверьте, подано ли уведомление в РКН

---

Типичные ошибки, за которые штрафуют в 2026 году

Ошибка 1: «В шаблоне написано "ООО [название]" — это же явно шаблон»

Казалось бы, очевидно. Но РКН регулярно фиксирует сайты, на которых политика содержит незаполненные плейсхолдеры. Буквально: «Настоящая политика распространяется на все персональные данные, которые [НАЗВАНИЕ КОМПАНИИ] может получить о Вас». Штраф — до 100 000 рублей, а если в момент проверки произошла утечка — это отягощающее обстоятельство.

Ошибка 2: «Политика есть, но только на главной странице»

Требование 152-ФЗ — ссылка на политику доступна «на каждой странице сайта» (методические рекомендации РКН). Если пользователь попадает на страницу товара или в личный кабинет и не видит ссылки — нарушение. Проверяйте подвал на всех типах страниц.

Ошибка 3: «Политика есть, она хорошая — но написана в 2022 году»

Поправки ФЗ № 266-ФЗ (2022) добавили обязательный раздел про инциденты. Поправки ФЗ № 420-ФЗ (2024) изменили размеры штрафов. Расширенная анкета данных (биометрия, геолокация) — всё это отсутствует в документах, написанных до 2024 года. Для РКН документ без раздела про инциденты — то же самое, что его отсутствие.

Ошибка 4: «У меня всё через Tilda — она же сама всё делает»

Tilda формирует политику автоматически, но эта политика является шаблонной. Она не знает, что вы подключили amoCRM, что у вас Google Analytics, что данные уходят в Firebase. ML-сканер РКН в 2025–2026 году помечает стандартную тильдовскую политику как неактуальную с вероятностью выше 80%.

Ошибка 5: «Смешанные сроки ответа на запросы субъектов»

Это нарушение формальное, но его часто находят при проверке. Закон различает:

• 30 дней — ответ на информационный запрос (что именно обрабатывается, ст. 20 ч. 3)
• 7 рабочих дней — уточнение, исправление или уничтожение данных (ст. 21 ч. 1)

В шаблонах либо указан только один срок, либо оба одинаковы (например, «10 рабочих дней»). Это несоответствие закону.

Ошибка 6: «Политика есть, но согласие всё равно не получают»

Политика конфиденциальности и согласие на обработку данных — два разных инструмента. Наличие политики не означает, что согласие было получено. На каждой форме нужен отдельный чекбокс. «Нажимая кнопку Отправить, вы соглашаетесь с политикой» — не является получением согласия согласно ст. 9 152-ФЗ.

---

FAQ

Q: Обязательно ли регистрировать политику в РКН или достаточно разместить на сайте? Регистрировать политику не нужно — достаточно публичного размещения на сайте. Регистрации в РКН требует уведомление об операторской деятельности (отдельная процедура), а не сама политика.

Q: Можно ли использовать одну политику для нескольких сайтов одной компании? Если все сайты работают от имени одного юрлица, формально это допустимо. Но политика должна охватывать все сайты явно — с их перечнем — и отражать все сервисы и трекеры, используемые на каждом из них.

Q: Нужна ли отдельная политика для мобильного приложения? Да, приложение — отдельная точка сбора данных. Оно может либо ссылаться на общую политику (если та явно охватывает приложение), либо иметь собственную. Практика РКН в 2025–2026 году — проверять магазины приложений (App Store, Google Play) и запрашивать политику при обнаружении приложения без документации.

Q: Как часто нужно обновлять политику? При любом изменении состава данных, добавлении нового сервиса или трекера, смене подрядчиков, получающих данные, а также при изменении законодательства. Минимальная рекомендация — аудит раз в квартал. После каждого обновления указывайте дату в тексте документа.

Q: Достаточно ли политики на русском языке, если у сайта есть иностранные пользователи? Для соответствия российскому 152-ФЗ — да, русского языка достаточно. Если вы намеренно работаете с аудиторией из ЕС (есть версия сайта на европейских языках, рекламные кампании в Европе) — применяется GDPR, требующий политики на языке пользователя.

Q: Что делать, если РКН уже выставил предписание? Немедленно устранить нарушение — обычно срок 30 дней. Предоставить доказательства устранения: скриншоты с датами, новый текст политики. Не игнорировать: неисполнение предписания — отдельный состав нарушения со штрафом до 500 000 рублей.

Q: Распространяются ли требования на ИП, работающих как самозанятые? Самозанятые (НПД) без статуса ИП — отдельная категория. Закон формально распространяется на физических лиц, осуществляющих профессиональную деятельность. На практике РКН пока концентрируется на юрлицах и ИП, но самозанятый с сайтом, формами и CRM не застрахован от проверки.

Q: Сколько стоит написание политики у юриста? Фрилансеры берут 5 000–30 000 рублей, специализированные юрфирмы — 50 000–200 000 рублей. Качество непредсказуемо. Автоматизированные сервисы, такие как ПараДок, генерируют персонализированный пакет документов от 4 990 рублей за менее чем час.

---

Итоги

Политика конфиденциальности в 2026 году — это не формальность для галочки. Это живой документ с конкретными требованиями, которые РКН проверяет автоматически. Шаблон из интернета или с конструктора сайта с высокой вероятностью не соответствует актуальным нормам — особенно в части реагирования на инциденты, сроков ответа субъектам и перечня третьих лиц.

Обязательный чеклист для любой политики конфиденциальности в 2026 году:

• [ ] Полные реквизиты оператора: наименование, ИНН, юридический адрес, контакт
• [ ] Полный перечень категорий данных, включая IP-адреса и cookie
• [ ] Цели обработки — конкретно для каждой категории данных
• [ ] Правовые основания по ст. 6 152-ФЗ — для каждой цели
• [ ] Конкретные сроки хранения по каждой категории данных
• [ ] Перечень всех третьих лиц, получающих данные (трекеры, CRM, email-платформы)
• [ ] Раздел о трансграничной передаче, если используются зарубежные сервисы
• [ ] Права субъектов с правильными сроками: 30 дней (ст. 20) и 7 р. дн. (ст. 21)
• [ ] Раздел о реагировании на инциденты: 24ч + 72ч + ссылка на pd.rkn.gov.ru/incidents
• [ ] Раздел о cookie с типами, сроками и способом отказа
• [ ] Раздел о мерах безопасности (общий, без раскрытия деталей)
• [ ] Дата последнего обновления документа
• [ ] Ссылка на документ в подвале каждой страницы сайта

Стоимость нарушения — от 30 000 до 500 000 000 рублей. Стоимость приведения в порядок — несколько тысяч рублей и несколько часов.

Запустите бесплатный аудит вашего сайта прямо сейчас — ПараДок проверит политику и все остальные требования за 2 минуты →

---

Статья актуальна на апрель 2026 года. Нормативные акты: Федеральный закон № 152-ФЗ «О персональных данных», ФЗ № 266-ФЗ от 14.07.2022 (инциденты), ФЗ № 420-ФЗ от 30.11.2024 (оборотные штрафы), КоАП ст. 13.11 (редакция 2025 года). Правоприменительная практика РКН 2025–2026 годов.