Когда вы заполняете форму на сайте — вводите имя, email или номер телефона — вы передаёте свои данные. Что с ними происходит дальше? Как они хранятся, кому передаются и есть ли у вас право потребовать их удалить? На эти вопросы должен отвечать один документ.
Политика конфиденциальности — это не формальность из разряда «чтобы было». Это документ, без которого сайт, собирающий любые данные о пользователях, работает с нарушением закона. Причём не только российского.
В России основу составляет Федеральный закон № 152-ФЗ «О персональных данных». Он обязывает любого, кто собирает данные людей, объяснить: что именно собирается, зачем, как хранится и когда удаляется. Именно это и фиксирует политика конфиденциальности.
Важно понимать
Если на сайте есть хотя бы одна форма, счётчик аналитики или кнопка «Заказать звонок» — данные уже собираются. А значит, политика конфиденциальности обязательна.
Что такое политика конфиденциальности
Это текстовый документ, который объясняет пользователям сайта: какие их данные собирает владелец сайта, для чего, как долго хранит и как защищает. А ещё — какие права есть у самого пользователя.
Законодательная база — Федеральный закон № 152-ФЗ от 27 июля 2006 года. Он определяет понятие персональных данных и устанавливает правила их обработки. Именно этот закон требует от операторов персональных данных публиковать политику в открытом доступе.
Под персональными данными закон понимает любую информацию, которая прямо или косвенно позволяет идентифицировать человека. Это не только паспортные данные. В список входят: имя и фамилия, email, номер телефона, IP-адрес, данные о геолокации, cookie-идентификаторы. Даже сочетание «имя + город + дата рождения» — уже персональные данные.
Кому нужна политика конфиденциальности
Бизнесу с сайтом
Любой сайт, на котором есть формы — регистрация, заказ, обратная связь, подписка, — собирает данные. Даже если владелец сайта не думает об этом намеренно, технически данные фиксируются. Политика конфиденциальности нужна всегда, когда пользователь оставляет хоть что-то: имя, телефон или адрес электронной почты.
Онлайн-сервисам и приложениям
Для них политика конфиденциальности ещё важнее. Мобильные приложения дополнительно могут запрашивать доступ к геолокации, контактам, камере. Всё это — персональные данные, и пользователь должен заранее понимать, зачем они нужны сервису.
Офлайн-компаниям с клиентскими базами
Если компания ведёт CRM, собирает анкеты клиентов, хранит историю покупок — она тоже является оператором персональных данных. Наличие сайта здесь не принципиально: документ нужен для любой системы, где хранятся данные людей.
Работодателям
Кадровые данные сотрудников — тоже персональные данные. Работодатель, который ведёт личные дела сотрудников, хранит копии документов или использует системы учёта рабочего времени, обязан соблюдать требования 152-ФЗ.
Как бизнес использует персональные данные
Данные пользователей нужны бизнесу по разным причинам — и большинство из них вполне понятны.
Выполнение заказов и оказание услуг
Интернет-магазин не может доставить посылку, не зная адреса. Медицинский сервис не может записать на приём без имени и телефона.
Коммуникация с клиентами
Email-рассылки, уведомления о статусе заказа, напоминания о записи — всё это требует контактных данных.
Аналитика и улучшение сервиса
Системы веб-аналитики (Яндекс.Метрика, Google Analytics) собирают обезличенные данные о поведении пользователей, чтобы понять, как улучшить сайт.
Маркетинг и реклама
Персонализированные предложения, ретаргетинг, акции для постоянных клиентов — всё это строится на истории взаимодействия с пользователем.
Когда политика конфиденциальности не нужна
Есть ситуации, в которых документ действительно не требуется.
Первый случай — сайт вообще не собирает никаких данных. Это, например, полностью статичная страница-визитка без форм, без счётчиков и без сторонних виджетов. Таких сайтов мало, но они существуют.
Второй случай — данные используются исключительно в личных целях. Если человек ведёт личный дневник онлайн и никто, кроме него, не может оставить там свои данные, закон на такую ситуацию не распространяется.
Как проверить, нужна ли политика вашему сайту
Если на сайте есть форма с любым полем, счётчик Яндекс.Метрики или Google Analytics, кнопка «Заказать звонок» или виджет чата — данные собираются. Политика конфиденциальности нужна.
Что должно быть в политике конфиденциальности
Рекомендуемая структура документа
Закон не диктует жёсткий шаблон, но практика сложилась так, что удобная и полная политика обычно включает несколько разделов. Вот из чего она должна состоять.
- Общие положения — кто является оператором данных, на какой закон опирается документ.
- Какие данные собираются — перечень с конкретикой: имя, телефон, IP, cookies.
- Цели обработки — зачем собираются данные и на каком правовом основании.
- Хранение и защита — как и где хранятся данные, какие меры безопасности приняты.
- Передача третьим лицам — кому и при каких условиях могут быть переданы данные.
- Сроки хранения — как долго хранятся данные и что с ними происходит после истечения срока.
- Права пользователей — право на доступ, исправление, удаление, отзыв согласия.
- Контакты оператора — куда обращаться с вопросами или жалобами.
Обязательные элементы по закону
Статья 18.1 Федерального закона 152-ФЗ прямо обязывает оператора опубликовать документ, определяющий его политику в отношении обработки персональных данных. В документе должны быть указаны цели обработки, правовые основания, категории данных, меры по их защите и порядок реализации прав субъектов.
Требования к оформлению
Документ должен быть доступен неограниченному кругу лиц — то есть опубликован на сайте в открытом доступе. Его нельзя прятать за авторизацией. Текст должен быть написан понятным языком, а не скопирован из юридических шаблонов, в которых никто ничего не понимает.
Как создать политику конфиденциальности
| Способ | Преимущества | Недостатки | Кому подходит |
|---|---|---|---|
| Написать самостоятельно | Бесплатно, полный контроль над текстом | Требует времени и знания 152-ФЗ, риск упустить важное | Тем, кто готов разобраться в требованиях |
| Использовать генератор политики | Быстро, бесплатно или недорого, автоматическое заполнение | Подходит для стандартных сайтов, нестандартные случаи не учитывает | Владельцам типовых сайтов и лендингов |
| Заказать у юриста | Максимальная точность, учёт всех нюансов бизнеса | Дорого: от 5 000 до 30 000 рублей и выше | Крупным проектам, финтеху, медицинским сервисам |
Как написать политику конфиденциальности: пошаговая инструкция
Правовые основания и термины
Укажите, что документ составлен в соответствии с 152-ФЗ. Определите ключевые понятия: «оператор», «субъект персональных данных», «обработка». Это избавит от путаницы в дальнейшем тексте.
Права и обязанности пользователей
Пользователь имеет право знать, какие данные о нём хранятся, требовать их исправления или удаления, а также отзывать согласие на обработку. Опишите, как именно он может это сделать.
Цели сбора данных
Каждая цель должна быть конкретной: «отправка уведомлений о статусе заказа», «ведение клиентской базы», «аналитика сайта». Размытые формулировки вроде «улучшение сервиса» лучше дополнять уточнениями.
Какие данные собираются
Перечислите всё: имя, email, телефон, адрес, IP-адрес, данные о браузере, cookie. Если сайт работает с чувствительными категориями — здоровье, финансы — это нужно выделить отдельно.
Хранение и защита данных
Опишите, где хранятся данные (серверы в России — обязательное требование для персональных данных граждан РФ), какие технические меры защиты применяются: шифрование, ограниченный доступ, резервные копии.
Передача третьим лицам
Если данные передаются сторонним сервисам — платёжным системам, службам доставки, рекламным платформам — это нужно указать явно. Пользователь должен знать, кто ещё имеет доступ к его данным.
Срок хранения данных
Данные нельзя хранить бесконечно. Укажите конкретные сроки: «до отзыва согласия», «в течение 3 лет с момента последней покупки» и т.д. После истечения срока — удаление или обезличивание.
Контакты компании
Email или почтовый адрес, по которому пользователь может обратиться с вопросами об обработке его данных. Это требование закона, а не пожелание.
Проверка юристом и публикация
Перед публикацией стоит провести хотя бы беглую проверку — особенно если сайт работает с чувствительными данными или крупной аудиторией. После публикации документ должен быть доступен с любой страницы сайта.
Где разместить политику конфиденциальности на сайте
Мало написать документ — его нужно сделать доступным. Роскомнадзор при проверках смотрит в первую очередь на наличие ссылки, а не только на содержание.
Подвал сайта (footer) — стандартное место. Ссылка на политику должна быть на каждой странице сайта, а не только на главной.
Формы регистрации и обратной связи — рядом с кнопкой «Отправить» должна быть ссылка на политику и отметка о согласии. Это условие для законности обработки данных.
Страница оплаты — особенно важно для интернет-магазинов. Перед подтверждением заказа пользователь должен видеть ссылку на политику.
Cookie-баннер — если на сайте используются аналитические или маркетинговые cookie, баннер должен содержать ссылку на политику и объяснение, какие данные собираются.
Как уведомить Роскомнадзор о сборе данных
Кто обязан уведомлять
Большинство операторов персональных данных обязаны уведомить Роскомнадзор до начала обработки данных. Исключения прописаны в статье 22 152-ФЗ — например, если данные обрабатываются только для выполнения трудового договора или без использования автоматизации.
Как подать уведомление
Уведомление подаётся через официальный портал Роскомнадзора. В нём указываются: наименование организации или ИП, цели обработки, категории данных, категории субъектов, сроки обработки, описание мер защиты.
Проверка в реестре
После обработки уведомления оператор вносится в реестр операторов персональных данных. Проверить наличие в реестре можно на сайте Роскомнадзора по ИНН или наименованию организации.
Что будет, если политики нет
Проверки Роскомнадзора
Роскомнадзор проводит как плановые, так и внеплановые проверки. Поводом для внеплановой проверки может стать жалоба пользователя — это самый распространённый сценарий. Достаточно одного недовольного человека, который знает, куда обратиться.
Штрафы
С 2024 года штрафы за нарушения 152-ФЗ существенно выросли. Отсутствие политики конфиденциальности или несоответствие документа требованиям закона влечёт штраф по статье 13.11 КоАП РФ. Для юридических лиц — от 15 000 до 75 000 рублей за каждое нарушение. За повторные нарушения и утечки данных суммы значительно выше.
Судебные примеры
В российской практике дела доходят до суда регулярно. В большинстве случаев суды встают на сторону Роскомнадзора, если нарушение подтверждено документально. Компании, которые не успели привести документы в порядок до проверки, получают штрафы и предписания устранить нарушения в короткий срок.
Частые вопросы
Где взять политику конфиденциальности?
Кто обязан иметь политику конфиденциальности?
Кому она не нужна?
Какие штрафы за отсутствие политики конфиденциальности?
Нужно ли обновлять политику конфиденциальности?
Что нужно сделать владельцу сайта
Политика конфиденциальности — не бюрократический ритуал. Это документ, который защищает и пользователей, и самого владельца сайта. Пользователь понимает, что происходит с его данными. Владелец сайта защищён от претензий и штрафов.
Для большинства сайтов достаточно нескольких шагов: составить документ с учётом реальных процессов на сайте, разместить ссылку в подвале и рядом с формами, получить согласие пользователей там, где это требуется. При необходимости — уведомить Роскомнадзор.
Чек-лист для владельца сайта
- Составить политику конфиденциальности с учётом реальных данных, которые собирает сайт
- Разместить ссылку в подвале сайта и рядом с каждой формой
- Добавить чекбокс согласия с политикой рядом с формами регистрации и обратной связи
- Установить cookie-баннер, если на сайте используется аналитика или реклама
- Проверить, нужно ли уведомить Роскомнадзор
- Обновлять документ при изменениях в работе с данными