Нет политики конфиденциальности на сайте? Или скачали шаблон и не уверены, что он «прокатит»? Это одна из самых частых причин штрафа Роскомнадзора для малого бизнеса — и один из самых лёгких для регулятора поводов вас оштрафовать. Ниже — точная сумма, механика проверки и рабочий чек-лист, что именно должно быть в документе.
Штраф за отсутствие политики конфиденциальности: сколько платить в 2026 году
Штраф за отсутствие политики конфиденциальности назначают по ч. 3 ст. 13.11 КоАП РФ. Формально состав звучит так: невыполнение оператором обязанности опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных. После вступления в силу 420-ФЗ (действует с 30 мая 2025 года) суммы такие:
| Субъект | Штраф по ч. 3 ст. 13.11 КоАП |
|---|---|
| Граждане (физлица) | 1 500 – 3 000 ₽ |
| Должностные лица | 6 000 – 12 000 ₽ |
| Индивидуальные предприниматели | 10 000 – 20 000 ₽ |
| Юридические лица | 30 000 – 60 000 ₽ |
Обратите внимание: в ч. 3 статьи 13.11 ИП вынесены отдельной строкой — 10–20 тыс. ₽. Это важно, потому что в ряде других частей той же статьи предприниматели приравнены к должностным лицам, но здесь у них своя, отдельная вилка.
Ключевой нюанс: штраф по ч. 3 назначают именно за отсутствие или недоступность документа — а не за то, что он «плохо написан». Некорректное содержание — это отдельная история, о ней ниже.
До 420-ФЗ (то есть до 30 мая 2025 года) по данным источников штрафы по ч. 3 были примерно вдвое меньше: для юрлиц — 15 000–30 000 ₽, для ИП — 5 000–10 000 ₽. Теперь суммы удвоились. И это не всё: скидку 50% за быструю оплату по всем составам ст. 13.11 отменили — заплатить половину, уложившись в срок, больше не получится.
Важно: отсутствие политики редко приходит «в одиночку». Часто в связке идёт ч. 4 ст. 13.11 — непредоставление субъекту информации об обработке его данных (для юрлиц — 40 000–80 000 ₽). Политика как раз и есть способ раскрыть эту информацию, поэтому её отсутствие тянет за собой сразу два риска. И скидки 50% на быструю оплату больше нет.
Это лишь один штраф из целого набора требований к сайту — полный список с суммами мы собрали в отдельном разборе штрафы Роскомнадзора 2026.
Как проверяют: жалоба, плановая проверка или автоматический мониторинг РКН
Главная иллюзия владельца сайта — «пока никто не пожалуется, никто и не узнает». В 2025–2026 годах это уже не так. Роскомнадзор проверяет соблюдение требований к сайту не только по жалобам и плановым проверкам, но и в фоновом режиме — через мероприятия без взаимодействия с оператором.
Правовая база — Постановление Правительства РФ № 1046 от 29.06.2021 (в редакции от 27.08.2025). Помимо документарных и выездных проверок, оно предусматривает наблюдение за соблюдением обязательных требований и выездное обследование. Именно они позволяют регулятору смотреть ваш сайт без предупреждения и без вашего участия.
Дополнительно, по данным отраслевых публикаций, с 2025 года РКН массово использует автоматизированные боты-сканеры, которые проверяют сайты в зонах .RU / .РФ / .SU на наличие политики, уведомления в реестре операторов, чекбоксов согласия, признаков трансграничной передачи. Отсутствие доступной политики — один из первых формальных признаков, который «ловит» такой мониторинг. Это экспертная оценка, а не официальная статистика РКН, но логика понятна: проверить наличие ссылки на политику бот может за секунды.
Дальше механика простая: бот фиксирует нарушение и передаёт материалы инспектору; по данным экспертных публикаций у оператора есть порядка 10 дней на устранение. Не устранили — обнаруженное отсутствие доступной политики становится поводом для внеплановой проверки, а по её итогам выносится штраф (для юрлица — от 30 000 ₽). То есть штраф можно получить без единой жалобы пользователя.
Честно оговоримся: громких опубликованных постановлений именно по ч. 3 (только «нет политики») в открытых источниках почти нет — состав рутинный, дела массовые, тексты публикуются фрагментарно. Но это не значит, что штраф редкий: по итогам мониторинга он применяется массово, просто без публичной огласки.
Политика конфиденциальности или «документ об обработке ПДн» — в чём разница
Тут важное терминологическое уточнение, которое снимает половину путаницы. В законе нет термина «политика конфиденциальности». И 152-ФЗ (ч. 2 ст. 18.1), и КоАП (ч. 3 ст. 13.11) говорят о «документе, определяющем политику оператора в отношении обработки персональных данных».
«Политика конфиденциальности» — это распространённое бытовое и маркетинговое название того же самого документа. Назвать его вы можете как угодно: «Политика обработки персональных данных», «Политика конфиденциальности», «Положение об обработке ПДн». Закон смотрит не на название, а на содержание. Более того, допустимо иметь несколько документов (например, отдельно под каждый сервис), если в совокупности они содержат обязательные сведения.
Памятка: в законе — «документ, определяющий политику обработки ПДн»; в народе — «политика конфиденциальности». Речь об одном и том же. Штрафуют не за название, а за отсутствие, недоступность или неполноту документа.
Политика конфиденциальности: что должно быть в документе — чек-лист из 11 пунктов
Разберёмся, что должно быть в политике конфиденциальности по существу. Ориентир — Рекомендации Роскомнадзора от 31.07.2017 по составлению документа, определяющего политику оператора в отношении обработки ПДн. Это методичка регулятора, а не закон, но на практике при проверке РКН ориентируется именно на эту структуру, поэтому чек-лист рабочий. Вот по каким разделам стоит составить политику:
- Общие положения — назначение документа, основные понятия (обработка ПДн, оператор, субъект), права и обязанности оператора и субъекта.
- Цели обработки ПДн — конкретные и законные, а не размытое «для улучшения сервиса».
- Правовые основания обработки — на каком основании вы обрабатываете данные (согласие, договор, требование закона).
- Объём и категории обрабатываемых ПДн — конкретный перечень (ФИО, телефон, e-mail, адрес), без формулировки «и иные данные».
- Категории субъектов ПДн — чьи данные обрабатываются (клиенты, посетители сайта, работники).
- Порядок и условия обработки — способы и методы, в том числе с использованием и без использования средств автоматизации.
- Сроки обработки и хранения — конкретные сроки, без «в течение необходимого срока».
- Порядок актуализации, исправления и удаления ПДн — регламент ответов на запросы субъектов (уточнение, блокировка, отзыв согласия, доступ к своим данным).
- Трансграничная передача — если она есть, укажите, на каких условиях данные передаются за рубеж.
- Сведения и реквизиты оператора — свои, актуальные: наименование, ИНН, адрес, контакты.
- Меры по обеспечению безопасности ПДн и ответственность оператора — какие меры защиты реализованы.
Как это читать: строгий юридический минимум по ч. 2 ст. 18.1 — чтобы документ существовал, был опубликован/доступен и содержал сведения о политике оператора и о реализуемых мерах защиты. Все 11 пунктов — это уже рекомендуемая РКН структура. Составить политику по этому чек-листу — самый надёжный способ закрыть вопрос.
Где и как разместить политику на сайте, чтобы не попасть на штраф
Одно из требований Роскомнадзора к сайту — не просто иметь документ, а обеспечить к нему неограниченный доступ. На практике это значит два места размещения:
- Постоянная ссылка в подвале (футере) сайта — так политика доступна с любой страницы.
- Ссылка на каждой странице, где стоит форма сбора данных — обратная связь, заявка, подписка, форма заказа. Это прямо вытекает из формулировки ч. 2 ст. 18.1: документ публикуется «на страницах... с использованием которых осуществляется сбор» данных.
Важно: политика есть, но ссылка на неё битая, ведёт на 404 или документ не открывается? Это тоже нарушение ч. 3 ст. 13.11 — штраф такой же, как при полном отсутствии документа. Закон карает за необеспечение доступа, а не только за отсутствие файла как такового.
И ещё важное разграничение, чтобы не путаться: политика, согласие на обработку ПДн (чекбокс под формой) и cookie-баннер — это три разных требования и три разных документа. Согласие на обработку без него (ч. 2 ст. 13.11) — вообще отдельный, куда более дорогой состав (для юрлиц — 300 000–700 000 ₽). Мы разбираем их в отдельных материалах, здесь фокус только на политике.
Частые ошибки: чужой шаблон, битая ссылка, размытые формулировки
Даже когда владелец «вроде бы всё сделал», штраф всё равно возможен. Вот три самые частые ошибки:
- Скачали чужой шаблон. В документе остались чужой ИНН, чужое наименование оператора, нерелевантные данные и цели. Формально политика есть, но она не про вашу компанию — а значит, не выполняет свою функцию.
- Документ есть, но недоступен. Нет ссылки в футере, ссылка ведёт на 404, файл не открывается. Как мы уже сказали — это подпадает под ту же ч. 3 ст. 13.11.
- Размытые формулировки. Цели «для улучшения сервиса», данные «и иные», сроки хранения «сколько необходимо». Документ формально есть, но не соответствует требованиям к конкретике.
По последнему пункту важна честная оговорка: за отсутствие или недоступность штрафуют прямо по ч. 3. А вот за некорректное, размытое содержание РКН на практике может квалифицировать нарушение шире — через смежные составы (например, ч. 4 ст. 13.11 — непредоставление субъекту информации). Точную сумму за «плохую политику» назвать нельзя, граница здесь оценочная. Вывод простой: составить политику лучше сразу правильно и под свою компанию, а не латать шаблон.
Как избежать штрафа: проверьте, есть ли у вас политика и всё ли в порядке
Соберём всё воедино. Чтобы не получить штраф за отсутствие политики конфиденциальности, нужно: (1) иметь документ, составленный под вашу компанию по чек-листу выше; (2) разместить постоянную ссылку в футере и на всех страницах с формами; (3) убедиться, что ссылка рабочая и документ открывается.
Проверить это можно за пару минут. Наш аудит смотрит не только наличие и доступность политики, но и смежные требования 152-ФЗ разом — наличие в реестре операторов, согласия, чекбоксы под формами. То есть вы сразу видите весь набор рисков, а не один документ. Проверка сайта онлайн по 152-ФЗ бесплатная — про стоимость проверки сайта на персональные данные волноваться не нужно, платить за диагностику не придётся.
Если после проверки выяснится, что политики нет или она оформлена неверно — это можно исправить под ключ. А чтобы понять, какие ещё штрафы по 152-ФЗ вам грозят, загляните в разбор штрафы Роскомнадзора 2026.