5 обязательных пунктов в Политике конфиденциальности, без которых будет штраф в 2026 году

В 2026 году наличие формального документа «Политика конфиденциальности» не защищает от юридической ответственности. Контрольно-надзорные органы привлекают операторов персональных данных к ответственности за несоответствие документа актуальным требованиям 152-ФЗ. Шаблоны документов прошлых лет признаются недействительными. Необходимо провести аудит локальных нормативных актов по пяти критическим критериям.

1. Разделение по конкретным целям обработки

Ранее допускалось объединение целей сбора данных. В 2026 году это квалифицируется как нарушение принципа целеполагания.

Новое правило: Политика обязана содержать строгую привязку каждой цели к конкретным категориям данных, категориям субъектов (клиенты, соискатели, работники), способам обработки и срокам хранения. Например, цель «Осуществление email-рассылок» не должна допускать сбора избыточных данных.

2. Порядок уничтожения персональных данных

В 2026 году надзорные органы требуют детальной регламентации процедур уничтожения данных. В Политике необходимо зафиксировать:

• Применяемые методы уничтожения (аппаратное стирание с серверов, шредирование бумажных носителей).
• Регламентированные сроки уничтожения (например, в течение 30 дней после достижения цели обработки или отзыва согласия субъектом).
• Порядок документальной фиксации факта уничтожения (составление Акта об уничтожении персональных данных).

3. Регламентированные сроки ответа на запросы субъектов ПДн

Законодатель строго лимитировал время реагирования оператора на обращения пользователей. Документ должен содержать порядок коммуникации и обязательства по срокам:

• Ответ на запрос о предоставлении информации об обрабатываемых данных — 10 рабочих дней (с возможностью мотивированного продления на 5 рабочих дней).
• Блокирование неточных персональных данных — незамедлительно по требованию.
• Уничтожение данных по требованию субъекта — 7 рабочих дней.

4. Информация о локализации и трансграничной передаче

Оператор обязан явно задекларировать, что первичный сбор, запись и хранение персональных данных граждан РФ осуществляются с использованием баз данных, находящихся на территории Российской Федерации (в соответствии со ст. 18 ФЗ-152).

При передаче данных зарубежным контрагентам требуется наличие раздела «Трансграничная передача данных», содержащего перечень юрисдикций и подтверждение обеспечения адекватной защиты прав субъектов ПДн.

5. Данные об ответственном за организацию обработки ПДн

Юридические лица обязаны назначать сотрудника, ответственного за организацию обработки персональных данных. Контактные данные данного должностного лица (электронная почта, телефон) должны быть явно отражены в Политике конфиденциальности для обеспечения связи субъектов ПДн с оператором.

Частые вопросы

Нужно ли подписывать Политику ЭЦП и вывешивать скан на сайт?

Нет, законодательство не требует размещения на сайте сканированной копии с печатью или подписью. Достаточно публикации в формате HTML-текста или PDF-документа.

Можно ли скопировать Политику у крупного банка или маркетплейса?

Категорически не рекомендуется. Политики корпораций регламентируют сложные бизнес-процессы (скоринг, передачу данных партнерам, обработку биометрии). Интеграция чужого документа накладывает на оператора избыточные правовые обязательства, невыполнение которых классифицируется как расхождение заявленных политик с фактической деятельностью и влечет административную ответственность.