Владелец сайта запускает форму заявки, подключает счётчики аналитики, добавляет чат поддержки. Всё это работает с данными пользователей — именами, адресами, cookies, IP-адресами. И в какой-то момент встаёт вопрос: нужен ли специальный документ, который объясняет, что происходит с этими данными?
Ответ предсказуем: нужен. Этот документ называется политикой конфиденциальности. Закон обязывает его публиковать. Но на практике многие сайты либо вовсе обходятся без него, либо размещают текст, скопированный где-то в интернете и не имеющий отношения к реальной деятельности.
Разберём, какие требования предъявляет закон к этому документу, что в нём должно быть и как правильно его разместить на сайте.
Зачем сайту политика конфиденциальности
Каждый раз, когда пользователь вводит email в форму подписки, оставляет номер телефона в заявке или просто заходит на сайт с включёнными счётчиками Яндекса — происходит обработка персональных данных. Это не абстрактное понятие из юридических текстов. Это конкретное действие, которое регулируется законом.
Федеральный закон № 152-ФЗ «О персональных данных» требует, чтобы оператор — тот, кто собирает и использует данные — публично объяснял, как именно он это делает. Политика конфиденциальности и есть такое объяснение.
Документ выполняет несколько функций одновременно. Для пользователя — это возможность понять, что происходит с его данными. Для владельца сайта — это юридическая защита и подтверждение того, что он работает в рамках закона.
Когда документ обязателен
Коротко: если сайт собирает хотя бы одно поле с личной информацией — политика конфиденциальности обязательна. Под это определение попадает почти любой коммерческий сайт.
Сбор данных — это не только форма заявки. Счётчики Яндекс.Метрики или Google Analytics собирают технические данные о посетителях. Виджеты обратного звонка записывают номера телефонов. Корзина интернет-магазина хранит адреса. Всё это требует документа.
Сайт с формой обратной связи
Поля «Имя» и «Телефон» или «Email» — уже достаточно для того, чтобы считать, что сайт обрабатывает персональные данные. Политика обязательна.
Интернет-магазин
Имя, адрес доставки, телефон, платёжные данные — это широкий набор персональной информации. Политика не просто желательна, она необходима.
Сайт с аналитикой
Даже если форм нет, но подключены счётчики Метрики или другие трекеры — они собирают cookies и технические данные. Этого достаточно, чтобы документ был нужен.
Сайт с регистрацией
Личный кабинет, подписка, аккаунт — любая регистрация предполагает сбор данных. Политика конфиденциальности нужна и должна быть доступна до момента регистрации.
Какие риски возникают при отсутствии документа
Отсутствие политики конфиденциальности — административное нарушение. Роскомнадзор вправе оштрафовать за это. Размер штрафа для юридических лиц — до 60 000 рублей только за отсутствие документа. Если при этом ещё и данные обрабатываются без согласия пользователей — штрафы существенно выше.
Но штраф — не единственный риск. Пользователи всё чаще обращают внимание на то, есть ли у сайта политика конфиденциальности. Её отсутствие снижает доверие. А жалоба от одного недовольного пользователя может запустить проверку.
Проверки начинаются с жалобы
Роскомнадзор редко проверяет сайты в плановом порядке. Чаще всего поводом становится обращение конкретного человека — пользователя, конкурента или просто внимательного читателя. Правильно оформленная документация устраняет большинство поводов для претензий.
Отличие политики от согласия на обработку данных
Два понятия, которые часто путают. Политика конфиденциальности и согласие на обработку данных — это разные вещи, выполняющие разные функции.
| Документ | Что это | Где находится |
|---|---|---|
| Политика конфиденциальности | Документ сайта. Объясняет, какие данные собираются, зачем, как хранятся и кому передаются. Публикуется один раз и обновляется при изменениях. | Отдельная страница сайта, ссылка в футере |
| Согласие на обработку | Действие пользователя. Подтверждение того, что он прочитал политику и согласен с условиями. Чаще всего — чек-бокс под формой. | Под каждой формой сбора данных |
Политика без чек-бокса — нарушение: пользователи не дают согласия. Чек-бокс без политики — тоже нарушение: непонятно, с чем именно соглашается человек. Оба элемента нужны одновременно. Подробнее об оформлении согласия под формами — в материале «Обработка персональных данных формы на сайте».
Нормативные требования к документу
Основа — Федеральный закон № 152-ФЗ. Статья 18.1 обязывает операторов принять локальные акты по вопросам обработки персональных данных. Политика конфиденциальности — один из таких актов.
Закон не диктует жёсткий шаблон документа. Но он устанавливает принципы, которым политика должна соответствовать, и определяет минимальный состав сведений.
Основные принципы обработки персональных данных
Закон формулирует несколько принципов, которые должны отражаться в политике. Данные нельзя собирать «про запас» — только для конкретных, заранее определённых целей. Объём данных должен соответствовать этим целям. Хранить данные дольше, чем необходимо, нельзя.
Ещё один принцип — безопасность. Оператор обязан принимать меры для защиты данных от несанкционированного доступа, утечки, изменения или уничтожения. В политике это нужно отразить хотя бы в общих чертах.
Обязанность обеспечить открытый доступ
Статья 18.1 прямо указывает: оператор обязан опубликовать политику в свободном доступе. Это означает, что документ должен быть размещён на сайте таким образом, чтобы любой человек мог его найти и прочитать без регистрации, авторизации и других условий.
Закрытая политика — оксюморон. Если документ требует входа в личный кабинет или не индексируется поисковыми системами, это нарушение требования об открытом доступе.
Что должна содержать политика конфиденциальности
Закон не даёт исчерпывающего перечня разделов, но практика и разъяснения Роскомнадзора сформировали устойчивый стандарт. Вот что должно быть в документе.
Сведения об операторе
Название организации или ФИО индивидуального предпринимателя, ИНН, юридический адрес, контактный email. Пользователь должен понимать, кто именно работает с его данными.
Цели обработки персональных данных
Зачем собираются данные: для обработки заявок, исполнения договора, отправки рассылки, улучшения работы сайта. Цели должны быть конкретными, а не размытыми формулировками вроде «для улучшения сервиса».
Перечень обрабатываемых данных
Конкретно: имя, фамилия, телефон, email, адрес, дата рождения, cookies — только то, что реально собирается. Писать «все данные, которые предоставляет пользователь» — не соответствует требованиям.
Правовые основания обработки
Согласие пользователя, исполнение договора, законная обязанность оператора — указывается основание для каждого типа обработки. Для большинства сайтов основание — согласие, полученное через чек-бокс.
Порядок и условия обработки
Как данные обрабатываются: автоматически, вручную или смешанным способом. Передаются ли данные третьим лицам — CRM-системам, сервисам рассылки, партнёрам, службам доставки.
Сроки хранения и порядок уничтожения
До какого момента хранятся данные: до исполнения договора, до отзыва согласия, в течение конкретного срока. После — данные удаляются или обезличиваются.
Права субъектов персональных данных
Пользователь вправе запросить доступ к своим данным, исправить их, потребовать удаления, отозвать согласие. Политика должна объяснять, как это сделать.
Меры по обеспечению безопасности
Какие технические и организационные меры используются для защиты данных. Не обязательно раскрывать технические детали — достаточно общего описания: шифрование, ограниченный доступ, регулярные проверки.
Порядок обращения субъектов
Как пользователь может связаться с оператором по вопросам обработки данных: email для обращений, почтовый адрес, срок ответа. Это не опционально — обязанность реагировать на обращения установлена законом.
Как оформить документ
Структура и логика изложения
Хорошая политика конфиденциальности читается последовательно. Сначала — кто является оператором и что понимается под персональными данными в контексте именно этого сайта. Затем — что и зачем собирается. Потом — как данные обрабатываются, кому передаются и сколько хранятся. В конце — права пользователей и контакты.
Такая структура удобна и для пользователя, который ищет конкретную информацию, и для проверяющего, который оценивает полноту документа.
Язык и стиль: требования к понятности
Закон не формулирует требований к языку документа, но практика показывает: чем понятнее написано, тем меньше претензий. Политика, написанная сплошным юридическим текстом без разбивки и пояснений, формально может быть законной, но фактически недоступной для обычного читателя.
Стоит избегать канцелярских оборотов там, где можно сказать проще. «Оператор осуществляет обработку персональных данных субъекта» — это то же самое, что «сайт хранит данные пользователя». Второй вариант понятнее без потери смысла.
Понятность — не только этика, но и защита
Если пользователь утверждает, что не понял, на что соглашался, суд может признать согласие недействительным. Чёткий, доступный язык политики снижает этот риск.
Электронная форма документа
Политика должна быть размещена в электронном виде на сайте — как отдельная HTML-страница. PDF-файл формально допустим, но неудобен: его труднее найти, он не индексируется поисковиками как обычный текст и может быть недоступен с мобильных устройств.
Текст должен воспроизводиться без специального программного обеспечения. Документ в .doc или .docx — плохое решение.
Утверждение и актуализация
Для организаций политика конфиденциальности должна быть утверждена: приказом руководителя или уполномоченного лица. В документе обычно указывается дата утверждения и версия. Индивидуальные предприниматели утверждают документ самостоятельно.
Политику нужно обновлять при изменении процессов обработки данных. Подключили новый сервис аналитики — обновите политику. Начали передавать данные новому подрядчику — обновите. Изменились контактные данные оператора — обновите. Устаревший документ, не отражающий реальной деятельности, хуже, чем отсутствие политики, потому что вводит пользователей в заблуждение.
Где размещать документ на сайте
Требование закона — свободный доступ неограниченного круга лиц. На практике это означает несколько конкретных мест на сайте.
Подвал (футер) сайта
Обязательное место. Ссылка «Политика конфиденциальности» или «Политика обработки персональных данных» в нижней части каждой страницы — это минимальный стандарт. Пользователь должен найти её с любой страницы сайта без поиска.
Рядом с каждой формой
Под формой заявки, формой регистрации, формой подписки — везде, где пользователь вводит личные данные. Ссылка размещается рядом с чек-боксом согласия и должна открывать именно политику, а не главную страницу.
Отдельная страница с понятным адресом
Политика должна находиться на постоянном URL — обычно /privacy или /politika-konfidencialnosti. Страница должна быть открыта для индексации поисковыми системами и доступна без авторизации.
Мобильная версия
Если у сайта есть мобильная версия или приложение — политика должна быть доступна и там. Ссылка в футере мобильной версии обязательна. Скрывать её за многоуровневым меню не стоит.
Особенности для разных типов сайтов
Общие требования одинаковы для всех. Но содержание политики и акценты различаются в зависимости от того, что делает сайт.
Интернет-магазины
Самый широкий набор данных: имена, адреса доставки, телефоны, email, история заказов, иногда платёжная информация. Важно явно указать, кому данные передаются — курьерским службам, платёжным системам, партнёрам. Если передача происходит за рубеж, это трансграничная передача со своими требованиями.
Для интернет-магазина особенно важно прописать срок хранения данных о заказах: налоговое законодательство требует хранить часть документов не менее пяти лет, и это нужно отразить в политике.
Лендинги и сайты услуг
Как правило, данные минимальны: имя, телефон, email из формы заявки. Политика может быть короче, но должна содержать все обязательные разделы. Частая ошибка лендингов — вообще не иметь политики или использовать шаблон, скопированный с другого сайта с чужим названием компании.
Корпоративные сайты
Обычно собирают данные через форму обратной связи и, возможно, через форму вакансий. Резюме содержат широкий набор персональных данных, включая паспортные сведения и сведения об образовании — это нужно отдельно указать в политике, если сайт принимает резюме.
Сайты с личным кабинетом
Дополнительный аспект — хранение истории действий пользователя внутри кабинета. Политика должна описывать, какие данные сохраняются в профиле и как долго они хранятся после удаления аккаунта. Пользователь вправе потребовать полного удаления своих данных — порядок этой процедуры также должен быть прописан.
Распространённые ошибки при оформлении политики
Чужой шаблон без адаптации
Самая частая ошибка. Скопированный текст с другого сайта содержит название чужой компании, чужие реквизиты и описывает процессы, которые к данному сайту не имеют отношения. Роскомнадзор при проверке сразу видит несоответствие.
Политика не обновляется
Документ написали при запуске сайта и забыли. За это время подключили новые сервисы, сменили подрядчиков, изменили контакты. Политика описывает уже несуществующие процессы. Это вводит пользователей в заблуждение и создаёт юридические риски.
Несоответствие фактической деятельности
В политике написано «данные не передаются третьим лицам», но сайт использует Яндекс.Метрику, AmoCRM и сервис рассылок. Все они получают данные. Несоответствие между политикой и реальностью — серьёзное нарушение.
Документ недоступен без авторизации
Политику разместили внутри личного кабинета. Пользователь, не зарегистрированный на сайте, не может её прочитать. Это прямо противоречит требованию закона об открытом доступе.
Слишком общие формулировки целей
«Для улучшения качества сервиса» или «в коммерческих целях» — это не цели обработки в смысле 152-ФЗ. Цели должны быть конкретными: «для обработки заявок, поступивших через форму на сайте», «для направления рассылки по электронной почте».
Ответственность за нарушения
Административная ответственность за нарушения в сфере персональных данных регулируется статьёй 13.11 КоАП. Санкции существенно выросли с 2024 года.
| Нарушение | Штраф для организации |
|---|---|
| Отсутствие политики конфиденциальности на сайте | до 60 000 ₽ |
| Обработка персональных данных без согласия | 300 000 — 700 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ |
| Нарушения при трансграничной передаче данных | 100 000 — 300 000 ₽ |
| Утечка данных (при отсутствии должных мер защиты) | 1 000 000 — 3 000 000 ₽ |
Штрафы не начисляются автоматически. Роскомнадзор проводит проверку по факту обращения — от пользователя, конкурента или другого заинтересованного лица. Плановые проверки существуют, но охватывают ограниченное число организаций.
Помимо штрафов — репутационный ущерб. Публичное дело о нарушении требований обработки персональных данных наносит значительно больший урон доверию аудитории, чем стоимость самого штрафа.
Практический порядок разработки документа
Правильно разработанная политика отражает реальные процессы, а не придуманные. Поэтому начинать нужно не с текста, а с анализа того, что происходит на сайте на самом деле.
Анализ процессов обработки данных
Составить список: какие формы есть на сайте, какие данные они собирают, куда эти данные попадают. Перечислить все подключённые сервисы: аналитика, CRM, рассылки, чат, платёжные системы. Каждый из них получает какие-то данные.
Подготовка текста
На основе анализа составить документ. Можно использовать генератор политики конфиденциальности как отправную точку — но полученный текст нужно проверить и дополнить под конкретные процессы. Шаблон без редактирования не решает задачу.
Проверка соответствия
Перечитать готовый текст и сверить с реальностью: всё ли написанное соответствует тому, что происходит на сайте? Нет ли в политике сервисов, которых нет на сайте? Нет ли на сайте сервисов, которые не упомянуты в политике?
Публикация и размещение ссылок
Разместить документ на отдельной странице. Добавить ссылку в футер сайта. Проверить, что под каждой формой есть чек-бокс со ссылкой на политику. Убедиться, что страница доступна без авторизации и открыта для индексации.
Проверить сайт на соответствие требованиям
Убедиться, что сайт соответствует требованиям 152-ФЗ, можно с помощью автоматической проверки на SaitScan. Сервис анализирует наличие политики, корректность чек-боксов и другие параметры, влияющие на соответствие закону.
Частые вопросы
Можно ли использовать готовый шаблон политики конфиденциальности?
Нужна ли политика для сайта-визитки без форм?
Как часто нужно обновлять политику конфиденциальности?
Нужно ли уведомлять Роскомнадзор об обработке персональных данных?
Политика конфиденциальности и пользовательское соглашение — одно и то же?
Нужна ли отдельная политика для cookies?
Краткие выводы
Политика конфиденциальности нужна любому сайту, который собирает данные пользователей. Формы заявок, подписки, регистрация, счётчики аналитики — всё это обработка персональных данных, которая требует публичного документа.
Документ должен отражать реальные процессы: какие данные собираются, зачем, кому передаются и как долго хранятся. Скопированный шаблон без адаптации не работает.
Размещение — открытая страница на сайте, ссылка в футере, ссылка рядом с каждой формой. Документ должен быть доступен без авторизации.
Политика и согласие на обработку данных — два разных элемента, которые нужны одновременно. Политика объясняет правила. Согласие — подтверждение пользователя. Отсутствие любого из них — нарушение.