Владелец сайта находит в почте письмо от Роскомнадзора. Там написано, что поступила жалоба: человек не может понять, зачем сайт собирает его данные и кто вообще за это отвечает. Политика конфиденциальности на сайте есть — но написана так, что разобраться в ней невозможно.
Такая ситуация случается регулярно. Документ формально присутствует, но содержит устаревшие формулировки, не отражает реальных процессов обработки данных или скопирован с другого сайта без адаптации.
Разбираемся, как проверить политику конфиденциальности по существу: что должно быть в документе, как выявить ошибки и что делать, если документ не соответствует требованиям закона.
Значение политики конфиденциальности в правовом поле
Политика конфиденциальности — не просто страница, которую никто не читает. По российскому законодательству это обязательный публичный документ для любого оператора персональных данных.
Оператором считается любое лицо или организация, которые собирают и обрабатывают сведения о физических лицах. Под это определение попадает практически каждый сайт с формой обратной связи, подпиской или личным кабинетом.
Обязательность документа закреплена в статье 18.1 Федерального закона 152-ФЗ: оператор обязан опубликовать политику обработки персональных данных и обеспечить к ней неограниченный доступ.
Информирование пользователей
Политика объясняет: кто собирает данные, с какой целью, как долго хранит и кому может передать. Без этого пользователь не может дать осознанное согласие.
Выполнение требований закона
152-ФЗ прямо обязывает оператора принять локальный акт, определяющий порядок обработки данных. Политика и является таким актом — для публичного размещения.
Защита при проверке
Наличие актуального документа — первый аргумент при жалобе или плановой проверке. Роскомнадзор запрашивает его одним из первых.
Доверие аудитории
Понятный документ без юридического тумана снижает тревожность пользователей. Особенно это важно для интернет-магазинов и сервисов, работающих с финансами или здоровьем.
Последствия отсутствия или неправильного оформления документа — не только штрафы. Роскомнадзор вправе потребовать прекратить обработку данных до устранения нарушений. Для работающего бизнеса это может означать остановку форм обратной связи и приёма заявок.
Штрафы за нарушение требований к политике конфиденциальности выросли с 2024 года и составляют от 30 000 до 100 000 рублей за отсутствие документа, и существенно больше — за грубые нарушения при обработке данных.
Методика проведения аудита текущей политики
Аудит политики — это не чтение документа «по диагонали». Это сравнение того, что написано, с тем, что реально происходит на сайте. Расхождения между текстом и практикой — главная причина претензий со стороны регулятора.
Проверку удобно вести в три этапа: сначала сравниваем документ с действующим законодательством, потом проверяем полноту перечня данных, затем оцениваем, понятно ли всё написано.
Проверка на соответствие актуальным нормам
Законодательство о персональных данных регулярно меняется. С 2022 по 2024 год требования к операторам ужесточались несколько раз: появились новые обязательства по уведомлению Роскомнадзора, изменились правила трансграничной передачи, выросли штрафы.
Политика, написанная три года назад и ни разу не обновлявшаяся, почти наверняка содержит устаревшие формулировки или не включает новые обязательные разделы.
На что смотреть при проверке соответствия нормам
Документ должен ссылаться на актуальную редакцию 152-ФЗ. Если в тексте упоминается «приказ Роскомнадзора» без номера и даты — это признак скопированного шаблона. Проверьте, учтены ли изменения 2022–2024 годов: уведомление об инцидентах, ограничения на трансграничную передачу, новые правила локализации данных.
Выявление избыточных и недостающих категорий данных
Распространённая ошибка — копировать перечень категорий персональных данных из чужого документа. В итоге в политике указываются «паспортные данные» и «сведения о состоянии здоровья», хотя сайт собирает только имя и email.
Обратная ситуация — сайт использует счётчики аналитики и пиксели соцсетей, которые собирают IP-адреса, данные об устройстве, историю просмотров. В политике это никак не отражено.
Для корректного аудита нужно пройти по всем точкам сбора данных: формы, чат-боты, аналитические сервисы, рекламные счётчики. Всё, что они собирают — должно быть указано в политике.
Частые несоответствия между политикой и реальностью
Сайт использует Google Analytics, но в политике об этом нет ни слова
Google Analytics передаёт данные за рубеж. Это трансграничная передача, которая требует отдельного упоминания и уведомления Роскомнадзора.
В политике указана одна организация, а на сайте работает другая
Смена юридического лица, ребрендинг или работа по франшизе — частые причины несоответствия. Оператором должна быть именно та организация, которая реально обрабатывает данные.
Цели обработки размыты или отсутствуют
Формулировка «в целях оказания услуг» слишком общая. Должны быть перечислены конкретные цели: обработка заявок, рассылка, аналитика посещаемости, персонализация рекламы.
Не указан срок хранения данных
152-ФЗ требует, чтобы данные хранились не дольше, чем нужно для достижения целей обработки. Если срок не прописан — это нарушение.
Оценка прозрачности: понятен ли документ пользователю
Закон прямо говорит, что политика должна быть «понятной». На практике это означает: обычный человек, не юрист, должен понять из документа, что именно происходит с его данными.
Если в политике написано «осуществляется систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение» — это формально правильно, но практически бессмысленно для читателя.
При аудите стоит проверить: понятно ли из документа, кому и зачем передаются данные, как пользователь может отозвать согласие, куда обращаться с вопросами.
Обязательные разделы современной политики конфиденциальности
152-ФЗ устанавливает перечень сведений, которые оператор обязан раскрыть. Отсутствие любого из них — повод для замечания при проверке. При анализе документа удобно проверять каждый раздел по отдельности.
Идентификация оператора
Полное наименование организации или ФИО индивидуального предпринимателя, ИНН, юридический адрес, контактные данные. Без этого непонятно, кто несёт ответственность за обработку данных.
Правовые основания обработки
Каждая цель обработки должна опираться на конкретное правовое основание: согласие субъекта, исполнение договора, выполнение требований закона. Общей фразы «на основании 152-ФЗ» недостаточно.
Цели и категории обрабатываемых данных
Перечень должен быть конкретным: имя, телефон, email, IP-адрес, данные cookie — только то, что реально собирается. И для каждой категории — конкретная цель.
Сроки обработки и хранения
Для каждой категории данных — свой срок. Данные для доставки заказа хранятся до исполнения договора. Данные из аналитических сервисов — пока работает счётчик. Срок «до отзыва согласия» допустим, но должен быть явно прописан.
Права субъектов персональных данных
Пользователь должен знать о своих правах: получить сведения об обработке своих данных, потребовать исправления, удаления, прекращения обработки. В политике должен быть указан конкретный способ реализации этих прав.
Меры по защите данных
Не нужно описывать конкретные технические системы. Достаточно указать общие меры: ограничение доступа, шифрование передачи данных, обязательства сотрудников о неразглашении, хранение на защищённых серверах.
Передача данных третьим лицам
Если данные уходят в CRM, сервис рассылок, рекламные платформы, службу доставки — это нужно указать. Не обязательно перечислять всех поимённо, но категории получателей должны быть названы.
При анализе удобно сверяться с образцом политики конфиденциальности — это помогает увидеть, каких разделов не хватает, и понять, как должны быть сформулированы отдельные положения.
Особенности работы с частными политиками для различных платформ
Единого шаблона политики, одинаково подходящего для всех сайтов, не существует. Интернет-магазин, мобильное приложение и корпоративный сайт-визитка — разные операторы с разными наборами данных и разными рисками.
Веб-сайты и лендинги
Для большинства сайтов ключевые точки сбора — формы обратной связи, подписки и чаты. Особое внимание — аналитическим счётчикам. Яндекс.Метрика, Google Analytics, пиксель ВКонтакте собирают данные о поведении пользователей и передают их третьим лицам.
Если сайт использует счётчики — в политике должен быть раздел о cookie и автоматически собираемых данных. Пользователь должен понимать, что его перемещения по сайту отслеживаются.
Подробнее о том, как оформить политику конфиденциальности на сайте с учётом аналитических инструментов — в отдельном руководстве.
Мобильные приложения
Мобильные приложения собирают больше данных, чем кажется: геолокацию, данные об устройстве, идентификаторы рекламы, историю действий внутри приложения. Всё это должно быть отражено в политике.
Дополнительное требование для приложений — политика должна быть доступна через магазин приложений (App Store, Google Play) ещё до установки. Пользователь должен иметь возможность ознакомиться с документом, не скачивая приложение.
Магазины приложений проверяют наличие и содержание политики при модерации. Отсутствие или формальный документ может стать причиной отказа в публикации.
Регулирование трансграничной передачи данных
Это отдельный и технически сложный раздел. Трансграничная передача — это когда данные российских пользователей обрабатываются на серверах за пределами России или передаются иностранным организациям.
Под это определение попадает использование Google Analytics, Mailchimp, Hubspot, AWS, любых иностранных CRM и облачных сервисов. Даже если данные «просто отправляются» через форму на иностранный сервис — это уже трансграничная передача.
С 2022 года порядок трансграничной передачи ужесточился: перед началом передачи оператор обязан направить уведомление в Роскомнадзор. Подробнее о правилах трансграничной передачи персональных данных — в отдельном материале.
В политике конфиденциальности трансграничная передача должна быть отражена явно: указано, в какие страны передаются данные и на каком основании это допустимо.
Поддержание актуальности документа
Политика конфиденциальности — не документ «написал и забыл». Он должен отражать реальное состояние обработки данных. Если на сайте появился новый сервис, сменился владелец или изменились цели сбора данных — документ нужно обновить.
Регламент периодического пересмотра
Практика показывает: проводить аудит политики не реже раза в год — оправданный минимум. Поводы для внеплановой проверки:
Изменения в законодательстве
Поправки к 152-ФЗ, новые постановления Правительства или приказы Роскомнадзора могут требовать обновления документа. Следить за изменениями удобно через официальный сайт регулятора.
Подключение новых сервисов
Добавили чат-бот, пиксель соцсети, новый рекламный счётчик или перешли на другую CRM — всё это меняет набор собираемых данных и получателей.
Изменение реквизитов оператора
Смена юридического лица, адреса, контактного email для обращений — всё это требует обновления документа. Несоответствие реквизитов — частая причина замечаний при проверке.
Запуск нового направления бизнеса
Если сайт начал собирать данные с новой целью — например, запустил программу лояльности или начал сегментировать аудиторию для персонализации — это новая цель обработки, которой раньше не было в политике.
Порядок уведомления пользователей об изменениях
Закон не устанавливает жёстких требований к формату уведомления об изменениях политики. Но практика выработала несколько рабочих подходов.
Минимальный стандарт — указать в документе дату последнего обновления и разместить изменённый документ на том же адресе. Пользователи, которые вернутся на сайт, увидят актуальную версию.
Если изменения существенные — например, данные теперь передаются новому третьему лицу или меняется цель обработки — рекомендуется уведомить пользователей дополнительно: через email-рассылку, баннер на сайте или уведомление в личном кабинете. При этом важно: если изменения требуют нового согласия — его нужно получить явно.
Как зафиксировать версию документа
Удобная практика — хранить архив предыдущих версий политики с датами действия. Это может понадобиться при споре с пользователем: чтобы доказать, что в момент сбора данных в документе были указаны именно эти условия.
Типичные ошибки при составлении и анализе
Большинство нарушений в политиках конфиденциальности делятся на два типа. Первый — юридические коллизии: когда формулировки противоречат закону или друг другу. Второй — разрыв между документом и реальностью: когда написано одно, а на сайте происходит другое.
Юридические коллизии в формулировках
Некоторые стандартные фразы из шаблонных политик создают правовые проблемы, хотя на первый взгляд выглядят безобидно.
| Проблемная формулировка | В чём проблема | Как исправить |
|---|---|---|
| «Оператор вправе передавать данные третьим лицам без ограничений» | Противоречит принципу ограниченности — данные можно передавать только в рамках заявленных целей | Перечислить конкретных получателей или их категории и цели передачи |
| «Данные хранятся до ликвидации организации» | Не соответствует принципу минимизации хранения — данные должны удаляться по достижении цели | Указать конкретный срок или событие (исполнение договора, отзыв согласия) |
| «Продолжая использовать сайт, вы соглашаетесь с политикой» | Пассивное согласие не имеет юридической силы — согласие должно быть активным действием | Заменить на явный чек-бокс под формами сбора данных |
| «Оператор не несёт ответственности за действия третьих лиц» | Оператор несёт ответственность за выбор подрядчиков — отказ от ответственности незаконен | Указать, что передача третьим лицам осуществляется только на основании договора с обязательствами по защите данных |
Формальный подход против реальных бизнес-процессов
Самая распространённая проблема — политика написана «для галочки» и не отражает реальных процессов. Это создаёт не меньший риск, чем отсутствие документа: при проверке инспектор сравнивает текст с тем, как сайт реально работает.
Типичный пример: в политике написано «данные не передаются третьим лицам», а на сайте установлен Яндекс.Метрика. Технически Яндекс — третье лицо, которое получает данные о поведении пользователей. Несоответствие очевидно.
Другой пример: в политике указан способ отзыва согласия — «направить письменное заявление по адресу». Но у компании нет физического офиса, куда можно направить письмо, а email для обращений нигде не указан. Право пользователя формально прописано, но фактически нереализуемо.
Чек-лист для самостоятельного аудита политики
- Указаны полные реквизиты оператора (наименование, ИНН, адрес, контакты)
- Перечислены конкретные цели обработки — не общие фразы
- Список категорий данных совпадает с тем, что реально собирается
- Указаны все аналитические сервисы и рекламные счётчики
- Прописано правовое основание для каждой цели обработки
- Указаны сроки хранения данных для каждой категории
- Есть раздел о правах пользователей с конкретным способом их реализации
- Если данные передаются за рубеж — это отражено в политике
- Способ отзыва согласия реально работает (действующий email или адрес)
- Дата последнего обновления документа актуальна
- Политика доступна по прямой ссылке из футера сайта
- Нет формулировок, противоречащих действующей редакции 152-ФЗ
Провести проверку обработки персональных данных на сайте можно самостоятельно — или с помощью автоматизированных инструментов, которые выявляют типичные несоответствия.
Если после аудита стало понятно, что документ нужно переписать с нуля — удобнее всего начать с правильного размещения политики конфиденциальности на сайте, а уже потом доработать её содержание под реальные процессы.
Частые вопросы
Обязательно ли проводить юридический аудит политики или можно обойтись самостоятельной проверкой?
Можно ли использовать один документ для сайта и мобильного приложения?
Нужно ли получать новое согласие пользователей при обновлении политики?
Как часто Роскомнадзор проверяет политики конфиденциальности на сайтах?
Что делать, если политика была скопирована с другого сайта и содержит чужие реквизиты?
Достаточно ли разместить политику только на отдельной странице, или нужны дополнительные ссылки?
Главное
Анализ политики конфиденциальности — это не разовая задача. Документ должен отражать реальное состояние обработки данных: какие сервисы подключены, кому передаются данные, как долго хранятся.
Большинство ошибок в политиках сводятся к двум вещам: скопированный шаблон с чужими реквизитами или документ, который давно не обновлялся. Оба случая легко исправить.
Корректная политика — не гарантия отсутствия претензий, но весомый аргумент при любой проверке. Документ, который честно описывает то, как сайт работает с данными, защищает лучше, чем идеально сформулированный, но оторванный от реальности текст.