Кибероснова152-ФЗ

Политика обработки и политика конфиденциальности: в чём разница 2026

1 октября 2025 г.7 мин чтения

Два самых распространённых документа в сфере персональных данных — политика обработки ПДн и политика конфиденциальности — часто путают между собой. Многие считают, что это одно и то же. Но это разные документы с разными целями, правовыми основаниями и содержанием. И с 30 мая 2025 года (420-ФЗ) штраф за отсутствие политики обработки ПДн для юрлиц вырос с 60 000 до 150 000 ₽, а за нарушение требований к информированию субъектов (которое закрывает политика конфиденциальности) — до 700 000 ₽ (ч. 2 ст. 13.11 КоАП).

В этой статье разберём ключевые отличия двух документов, объясним когда нужен каждый, и поможем определить какие политики нужны именно вам. Если нужно сразу — оба документа можно создать в нашем конструкторе документов за 5 минут или проверить готовность сайта бесплатным сканером /audit за 15 секунд.

Сравнительная таблица: политика обработки vs конфиденциальности

КритерийПолитика обработки ПДнПолитика конфиденциальности
Правовое основаниест. 18.1 Федерального закона 152-ФЗНет прямого требования в законе, но вытекает из принципов 152-ФЗ и требований Роскомнадзора
ОбязательностьОбязательна для всех операторов ПДнОбязательна де-факто для сайтов, собирающих данные
Целевая аудиторияРоскомнадзор, юристы, руководство организацииПользователи сайта, клиенты, посетители
Язык и стильЮридический, формальный, со ссылками на статьи законаПонятный, доступный, без сложной юридической терминологии
Основное содержаниеЦели обработки, правовые основания, категории данных, сроки хранения, меры защиты, права субъектовКакие данные собираются на сайте, зачем, как используются, кому передаются, как защищаются
Где размещаетсяНа сайте (обязанность по закону) + в бумажном виде в организацииНа сайте: в формах сбора данных, при регистрации, в футере
Штраф за отсутствие (юрлица, 420-ФЗ)60 000 – 150 000 ₽ (ч. 3 ст. 13.11 КоАП в ред. 420-ФЗ)До 700 000 ₽ за обработку без согласия (ч. 2) + до 6 млн ₽ за нарушение локализации (ч. 8)
Объём документа5–15 страниц2–5 страниц
Частота обновленияПри любом изменении процессов обработки ПДнПри изменении функционала сайта, подключении новых сервисов

Главное отличие: Политика обработки ПДн — юридический документ для соблюдения 152-ФЗ. Политика конфиденциальности — публичный документ для пользователей вашего сайта.

Что такое политика обработки персональных данных

Политика обработки персональных данных — это документ, который обязан разработать и опубликовать каждый оператор ПДн. Это прямое требование части 2 статьи 18.1 Федерального закона 152-ФЗ.

Что должно быть в политике обработки

По закону документ должен содержать:

  1. Цели обработки — конкретные, законные цели (исполнение договора, кадровый учёт, маркетинг)
  2. Правовые основания — ссылки на конкретные статьи законов (152-ФЗ, ТК РФ, ГК РФ)
  3. Категории субъектов — сотрудники, клиенты, посетители сайта, контрагенты
  4. Категории обрабатываемых данных — ФИО, контакты, паспортные данные, биометрические данные
  5. Способы обработки — автоматизированная, неавтоматизированная, смешанная
  6. Сроки обработки и хранения — конкретные сроки по каждой категории данных
  7. Порядок уничтожения — как и когда данные будут уничтожены
  8. Меры защиты — организационные и технические меры безопасности
  9. Права субъектов — перечень прав и порядок их реализации
  10. Сведения о трансграничной передаче — если данные передаются за рубеж
  11. Контакты ответственного — кому обращаться по вопросам обработки ПДн

Кому нужна политика обработки

Политика обработки ПДн обязательна для всех операторов персональных данных без исключений. Если вы:

  • Ведёте кадровый учёт (есть хотя бы один сотрудник)
  • Собираете данные клиентов
  • Имеете сайт с формами обратной связи
  • Используете CRM-систему
  • Ведёте базу контрагентов

— вы оператор ПДн, и вам нужна политика обработки.

Последствия отсутствия

За неопубликование политики обработки ПДн на сайте предусмотрен штраф по ст. 13.11 ч. 3 КоАП РФ в редакции 420-ФЗ от 30.11.2024 (действует с 30 мая 2025 года): для юрлиц — от 60 000 до 150 000 ₽, для ИП — от 30 000 до 60 000 ₽, для должностных лиц — от 12 000 до 24 000 ₽. До 30 мая 2025 года штраф был в 2-3 раза ниже — изменения 420-ФЗ ужесточили санкции по всем нарушениям 152-ФЗ в 5-10 раз. При проверке Роскомнадзора и автоматическом мониторинге сайтов «ботом РКН» отсутствие этого документа фиксируется в первую очередь. Проверить наличие политики на своём сайте можно бесплатным сканером /audit за 15 секунд.

Что нового в штрафах с 2025 года

Помимо 420-ФЗ, в ноябре 2024 года был принят 589-ФЗ — он ввёл оборотные штрафы за утечку ПДн (от 1% до 3% годовой выручки, минимум 25 млн ₽, максимум 500 млн ₽), а с 30 мая 2025 года за утечки в особо крупных размерах действует уголовная ответственность по ст. 272.1 УК РФ — до 5 лет лишения свободы. Полный разбор изменений — в таблице штрафов 152-ФЗ и калькуляторе штрафов.

Что такое политика конфиденциальности

Политика конфиденциальности — это публичный документ, адресованный пользователям вашего сайта или приложения. Он объясняет простым языком, какие данные вы собираете и что с ними делаете.

Что должно быть в политике конфиденциальности

Хотя единого законодательного требования к содержанию нет, хорошая политика конфиденциальности включает:

  1. Какие данные собираются — при регистрации, оформлении заказа, подписке, использовании сайта
  2. Для чего используются данные — обработка заказов, рассылки, персонализация, аналитика
  3. Cookies и системы аналитики — Яндекс.Метрика, Google Analytics, рекламные пиксели
  4. Кому передаются данные — платёжные системы, службы доставки, рекламные сети
  5. Как защищаются данные — SSL, шифрование, ограничение доступа
  6. Права пользователей — как отозвать согласие, запросить удаление данных
  7. Контакты — куда обращаться по вопросам конфиденциальности

Отличие от политики обработки

Ключевое отличие — в адресате и стиле:

  • Политика обработки пишется для юристов и регуляторов на юридическом языке
  • Политика конфиденциальности пишется для обычных людей простым и понятным языком

Политика конфиденциальности — это, по сути, «перевод» юридических требований на человеческий язык. Пользователь должен понять из неё, что происходит с его данными, не имея юридического образования.

Когда нужна политика конфиденциальности

Политика конфиденциальности нужна, если ваш сайт или приложение:

  • Собирает персональные данные через формы (регистрация, заказ, обратная связь)
  • Использует cookies
  • Подключает сторонние сервисы аналитики
  • Предлагает подписку на рассылку
  • Имеет личный кабинет пользователя
  • Принимает онлайн-платежи

Фактически, политика конфиденциальности нужна любому коммерческому сайту в России.

Когда нужна каждая из политик

Разберём типичные ситуации:

Только политика обработки ПДн

  • Организация не имеет сайта, но обрабатывает данные сотрудников и клиентов офлайн
  • Небольшое предприятие с кадровым учётом, без онлайн-присутствия

Только политика конфиденциальности

  • Такой ситуации практически не бывает. Если вы собираете данные на сайте, вы — оператор ПДн, и вам нужна политика обработки

Обе политики одновременно

  • Любая организация с сайтом, собирающим данные пользователей
  • Интернет-магазин
  • SaaS-сервис
  • Образовательная платформа
  • Медицинское учреждение с онлайн-записью
  • Любой бизнес с онлайн-формами

В абсолютном большинстве случаев нужны обе политики.

Нужны ли обе политики одновременно

Да. И вот почему:

Разные правовые функции

Политика обработки ПДн закрывает требование ст. 18.1 152-ФЗ — обязанность оператора определить политику обработки данных. Политика конфиденциальности информирует субъектов согласно ст. 14 152-ФЗ — раскрывает право субъекта знать, кто, зачем и как обрабатывает его данные.

Разные аудитории

Политика обработки адресована Роскомнадзору и внутренним пользователям организации. Политика конфиденциальности — посетителям сайта. Попытка объединить два документа приводит к тому, что:

  • Пользователи не могут разобраться в юридическом тексте
  • Юристы считают документ недостаточно формальным
  • Роскомнадзор может посчитать документ не соответствующим требованиям

Разная детализация

Политика обработки содержит подробную информацию о всех процессах обработки, включая внутренние (кадровый учёт, бухгалтерия). Политика конфиденциальности фокусируется только на данных, собираемых через сайт.

Вывод

Два отдельных документа — это:

  • Полное соответствие 152-ФЗ
  • Удобство для пользователей сайта
  • Защита при проверке Роскомнадзора
  • Профессиональный подход к работе с данными

Как оформить обе политики быстро

Создание двух юридически грамотных документов с нуля — задача для специалиста по персональным данным. Это занимает время и стоит денег.

Но есть способ проще.

Конструктор документов Кибероснова

В нашем конструкторе документов по 152-ФЗ вы можете создать оба документа за несколько минут:

  1. Укажите данные организации — название, ИНН, адрес, контакты
  2. Выберите категории данных — какие данные вы обрабатываете
  3. Укажите цели обработки — зачем вам эти данные
  4. Получите готовые документы — юридически корректные, соответствующие актуальным требованиям

Конструктор автоматически создаст:

Все документы актуальны на 2026 год и учитывают последние изменения в законодательстве.

Не откладывайте. Штраф за отсутствие политики обработки на сайте — от 30 000 ₽. Штраф за обработку без надлежащего информирования — до 700 000 ₽. Создание документов в конструкторе займёт меньше 10 минут.

Сравнение способов подготовки политик

ПараметрЮрист по ИБСамостоятельноКибероснова Документы
Стоимость 2 политик + соглашения80 000 – 200 000 ₽0 ₽ прямых затратБесплатно при регистрации, тариф под проект
Срок1-2 недели1-2 месяца10-15 минут
Актуальность под 420-ФЗ + 589-ФЗЗависит от юристаЧасто устаревшие шаблоныАвтоматически в SaaS
Связка политик с уведомлением в РКН + согласиямиПлатно за каждыйСами увязыватьВ одном пакете
Multi-orgПлатно за каждое юрлицоДублированиеОдин аккаунт = много юрлиц

Чем Кибероснова отличается

  • 6 регуляторных областей в одной подписке — 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ.
  • Единый пакет политика обработки + политика конфиденциальности + соглашение + согласия + уведомление с правильной перекрёстной структурой.
  • Multi-org — для холдингов один аккаунт работает на все юрлица.
  • Автоматический подбор разделов — конструктор определяет какие разделы политики нужны исходя из ваших целей обработки (cookies, аналитика, регистрация, рассылка, передача третьим лицам).

Итоги

Подведём итоги в нескольких тезисах:

  • Политика обработки ПДн — обязательный юридический документ по 152-ФЗ, адресован регулятору
  • Политика конфиденциальности — публичный документ для пользователей сайта, объясняет работу с данными простым языком
  • Нужны обе политики — они дополняют друг друга и выполняют разные функции
  • Объединять не рекомендуется — разные аудитории, разный уровень детализации
  • Создать быстро можно в конструкторе документов — готовый комплект за несколько минут

Если вы ещё не разобрались, какие документы нужны вашей организации, начните с нашей статьи Какие документы нужны по 152-ФЗ или воспользуйтесь чек-листом соответствия.

Воронов Дмитрий

Воронов Дмитрий

Эксперт Киберосновы

Консультант по комплаенсу и регуляторным требованиям. Специализируется на отраслевой специфике: медицина, образование, финансы. Автор методических материалов по 152-ФЗ.

комплаенсотраслевая спецификамедицинаобразование

Часто задаваемые вопросы

Политика обработки персональных данных — это документ, обязательный по ст. 18.1 152-ФЗ. Он описывает цели, правовые основания, категории данных, сроки хранения и меры защиты. Политика конфиденциальности — это публичный документ для пользователей сайта, который объясняет, какие данные собираются, зачем и как используются. Первый документ — юридическая обязанность, второй — инструмент доверия и прозрачности.
Да, рекомендуется иметь оба документа. Политика обработки ПДн обязательна для всех операторов персональных данных по ч. 2 ст. 18.1 152-ФЗ — это юридическая обязанность. Политика конфиденциальности нужна для сайта: она объясняет пользователям простым языком, какие данные собираются, зачем и как используются. Документы дополняют друг друга — политика обработки закрывает юридические требования и проверку Роскомнадзора, политика конфиденциальности повышает доверие посетителей и снижает barrier-to-conversion. Создать оба документа можно в нашем <a href='/pricing/#waitlist'>конструкторе документов по 152-ФЗ</a> за 5 минут.
Технически можно, и некоторые организации так делают — например, маленькие компании с одной формой обратной связи. Однако это не рекомендуется по нескольким причинам. Документы имеют разные целевые аудитории (Роскомнадзор и юристы vs пользователи сайта), разный уровень детализации (юридическая точность vs понятность), разные требования к содержанию (ст. 18.1 152-ФЗ + ПП РФ № 693 vs свободный формат). Объединённый документ получается слишком длинным и сложным для восприятия обычными пользователями — это снижает доверие и увеличивает риск отказа от регистрации. Лучше создать два отдельных документа: юридический для РКН и понятный для посетителей.
Политика обработки ПДн должна быть опубликована на сайте в свободном доступе — это требование ч. 2 ст. 18.1 152-ФЗ. Обычно размещают в подвале сайта. Политика конфиденциальности также публикуется на сайте — как правило, ссылка размещается в формах сбора данных, при регистрации и в футере. Штраф за отсутствие политики обработки на сайте для юрлиц в редакции 420-ФЗ от 30.11.2024 (действует с 30.05.2025) — от 60 000 до 150 000 ₽ (ч. 3 ст. 13.11 КоАП). Для ИП — от 30 000 до 60 000 ₽.
С 30 мая 2025 года (Федеральный закон 420-ФЗ) штрафы по ст. 13.11 КоАП РФ выросли в 5-10 раз. Для юрлиц: отсутствие политики обработки ПДн на сайте — до 150 000 ₽ (ч. 3); обработка без согласия или с нарушением требований к согласию — до 700 000 ₽ (ч. 2); нарушение требований локализации (зарубежные трекеры, серверы за рубежом) — до 6 000 000 ₽ (ч. 8); повторное нарушение локализации — до 18 000 000 ₽ (ч. 9). Дополнительно 589-ФЗ ввёл оборотные штрафы за утечку ПДн — от 1% до 3% годовой выручки (минимум 25 млн ₽, максимум 500 млн ₽). За крупные утечки с 30 мая 2025 года предусмотрена уголовная ответственность по ст. 272.1 УК РФ — до 5 лет лишения свободы. Полная таблица — на странице <a href='/shtrafy/tablica/'>штрафы 152-ФЗ</a> и в нашем <a href='/shtrafy/calculator/'>калькуляторе штрафов</a>.
Да, политика обработки ПДн должна содержать обязательные сведения по ст. 18.1 152-ФЗ. Постановление Правительства РФ № 693 от 29.09.2022 детализирует требования к содержанию политики и публикует 12 типовых разделов: наименование оператора, цели обработки, категории субъектов, категории ПДн, правовые основания, перечень действий с ПДн, порядок и условия обработки, трансграничная передача, сроки обработки и хранения, порядок уничтожения, меры обеспечения безопасности, сведения об ответственном за обработку. Проверьте свою политику нашим <a href='/audit/'>бесплатным сканером</a> — он анализирует наличие всех обязательных разделов.

Оформите документы по 152-ФЗ за 15 минут

Создайте пакет документов сами в конструкторе или закажите готовый комплект под ключ.

Создать документ

Связанные материалы

Политика информационной безопасности — образец 2026Локализация ПДн — что обновить в политике после ухода с зарубежных сервисовПолитика обработки персональных данныхПолитика конфиденциальностиПользовательское соглашениеБесплатный генератор политики обработки ПДнБесплатная проверка сайта на 152-ФЗ — 25+ проверок за 15 секундБот Роскомнадзора 2026 — как автомониторинг проверяет политикуКак проверить сайт на соответствие 152-ФЗ — полный гайдТаблица штрафов 152-ФЗ 2026 с учётом 420-ФЗКалькулятор штрафов 152-ФЗКонструктор документов по 152-ФЗ