Компания подключила новый сервис рассылки, поменяла CRM или начала передавать данные партнёрам. Юрист или маркетолог замечает: в политике конфиденциальности написано одно, а на практике происходит другое. Документ не обновляли с момента запуска сайта.
Ситуация распространённая. Политика — не разовый текст, который пишут один раз и забывают. Это живой документ, который должен отражать реальное положение дел.
Разбираемся, когда её нужно обновлять, как это сделать правильно и что будет, если этого не сделать.
Зачем нужно обновлять документы на сайте
Политика конфиденциальности описывает, как сайт работает с данными пользователей: что собирает, зачем, куда передаёт, сколько хранит. Если что-то из этого меняется — документ перестаёт соответствовать действительности.
Это создаёт проблему. Пользователь даёт согласие на условия, которые уже не действуют. Регулятор при проверке видит расхождение между документом и реальной практикой сайта.
Изменение законодательства
С 2022–2024 годов требования 152-ФЗ существенно ужесточились: выросли штрафы, появились новые обязательства по уведомлению Роскомнадзора, изменились правила трансграничной передачи данных. Политика, написанная в 2019–2020 году, почти наверняка устарела.
Изменение бизнес-процессов
Сайт начал собирать новые данные, подключил аналитику, добавил форму заказа или виджет чата. Все эти изменения должны быть отражены в политике конфиденциальности.
Смена юридического лица или реквизитов
Переименование компании, смена организационно-правовой формы, новый адрес или email для обращений — всё это тоже требует актуализации документа.
Когда изменения считаются существенными
Не каждая правка требует уведомления пользователей. Исправление опечатки или редактирование формулировки — технические правки. Другое дело — когда меняется суть того, с чем пользователь изначально соглашался.
Существенные изменения — это:
- Новые цели обработки данных. Раньше данные собирались только для обработки заявки, теперь ещё и для таргетированной рекламы или профилирования.
- Новые категории данных. Сайт начал собирать геолокацию, биометрию или данные о здоровье — это требует отдельного согласия.
- Привлечение новых третьих лиц. Данные теперь передаются новому подрядчику, партнёру или в зарубежный сервис. Пользователь давал согласие на конкретный список получателей — новых нужно добавить и уведомить об этом.
- Изменение срока хранения. Если раньше данные удалялись через год, а теперь хранятся три — это существенное изменение условий.
Важный принцип: обработка персональных данных должна соответствовать тому, на что пользователь давал согласие. Если условия изменились, прежнее согласие перестаёт покрывать новые действия с данными.
Пошаговый алгоритм внесения правок
Обновление политики — не просто редактирование текста. Нужно соблюсти несколько шагов, чтобы изменения имели юридический вес.
Подготовить новую редакцию текста
Внести все необходимые изменения в документ. Проверить, что перечень целей, категорий данных, получателей и сроков хранения соответствует тому, что реально происходит на сайте. Если политика писалась давно, удобнее составить её заново — по актуальной структуре, в соответствии с действующими требованиями к оформлению.
Зафиксировать дату вступления изменений в силу
В тексте политики должна быть указана дата последнего обновления. Это обязательный реквизит. Дата помогает пользователям понять, актуальна ли версия, которую они читают, и даёт ориентир при спорах.
Сохранить предыдущие версии
Архив старых редакций — это защита на случай претензий. Если пользователь утверждает, что соглашался на одни условия, а не на другие, нужно иметь возможность показать, что именно было написано в момент его регистрации или отправки формы. Старые версии можно хранить в виде файлов на сервере или в системе управления документами.
Опубликовать новую версию на сайте
Заменить текст на странице с политикой. Проверить, что ссылка в футере и под формами ведёт на актуальный документ. Подробнее о правилах размещения — в разделе о том, как правильно разместить политику конфиденциальности на сайте.
Уведомить пользователей
Если изменения существенные — оповестить тех, кто уже давал согласие. Как это сделать — в следующем разделе.
Способы уведомления пользователей об изменениях
Закон не прописывает конкретный способ уведомления — только то, что пользователь должен быть информирован об условиях обработки его данных. На практике используют несколько подходов.
Email-рассылка по базе клиентов
Самый надёжный способ. Письмо фиксируется, его можно отследить. В письме указывают, что именно изменилось, когда вступают в силу новые условия и как связаться, если есть вопросы. Тем, кто не хочет принимать новые условия, предлагают возможность удалить данные.
Баннер или поп-ап на сайте
Подходит, когда нет возможности написать каждому пользователю лично. Баннер появляется при входе на сайт и информирует об изменениях. Важно, чтобы он не был скрыт в углу экрана — пользователь должен его заметить.
Уведомление в личном кабинете
Для сайтов с авторизацией — при следующем входе пользователь видит сообщение об обновлении документа. Можно совместить с запросом на ознакомление: пользователь нажимает «Ознакомлен» и продолжает работу.
Нужно ли получать повторное согласие?
Зависит от того, насколько изменились условия.
| Ситуация | Нужно ли новое согласие? |
|---|---|
| Технические правки, редакторские правки | Нет |
| Добавлена новая цель обработки данных | Да |
| Данные передаются новому третьему лицу | Да |
| Добавлены новые категории персональных данных | Да |
| Обновлены реквизиты оператора | Нет (уведомить достаточно) |
| Изменился срок хранения данных | Да, если срок увеличен |
Когда новое согласие необходимо, его нельзя получить молчаливым согласием. Подходит только явное действие пользователя — отдельный чек-бокс или кнопка подтверждения. Подробнее о том, как правильно оформить такое согласие на обработку персональных данных для форм на сайте.
Юридические риски при некорректном обновлении
Несоответствие документа реальной практике — одна из самых частых причин претензий при проверках. Роскомнадзор смотрит не только на наличие политики, но и на её содержание.
Штрафы за нарушение порядка обработки данных
Если сайт обрабатывает данные в целях, не указанных в политике, или передаёт их третьим лицам без уведомления — это нарушение 152-ФЗ. С 2024 года штрафы за нарушение политики конфиденциальности для юридических лиц начинаются от 60 000 рублей и достигают 1 500 000 рублей при повторных нарушениях.
Признание согласия недействительным
Если пользователь давал согласие на условия, которые сейчас устарели, а новых условий ему не показывали — суд или регулятор могут признать такое согласие ненадлежащим. Это значит, что вся последующая обработка данных этого пользователя считается незаконной.
Репутационные последствия
Жалоба недовольного пользователя в Роскомнадзор — самый частый способ начала проверки. Пользователь, узнавший, что его данные передаются кому-то, о чём его не предупредили, вполне может обратиться к регулятору.
Чек-лист: проверьте свой сайт после правок
После обновления документа убедитесь, что всё сделано правильно. Пройдитесь по каждому пункту.
- В тексте политики указана дата последнего обновления
- Все цели обработки данных соответствуют тому, что реально происходит на сайте
- В политике перечислены все третьи лица, которым передаются данные
- Срок хранения данных указан и соответствует действительности
- Предыдущая версия документа сохранена в архиве
- Ссылка в футере ведёт на актуальную версию политики
- Ссылка под формами ведёт на актуальную версию политики
- Пользователи, которых касаются существенные изменения, уведомлены
- Если изменения существенные — получено новое согласие
- Реквизиты оператора в документе актуальны
Частые вопросы
Как часто нужно обновлять политику конфиденциальности?
Можно ли просто дописать изменения в конец текущей политики?
Обязательно ли уведомлять об изменениях всех пользователей или только зарегистрированных?
Нужно ли уведомлять Роскомнадзор об изменениях в политике?
Что делать, если пользователь не согласен с новыми условиями?
Главное
Политика конфиденциальности — рабочий документ, а не формальность при запуске сайта. Как только меняется что-то существенное в работе с данными, документ нужно обновить.
Порядок простой: подготовить новую редакцию, зафиксировать дату, сохранить старую версию, опубликовать и уведомить пользователей — если это необходимо.
Расхождение между тем, что написано в политике, и тем, что реально происходит на сайте — это и есть главный риск. Регулятор смотрит именно на это.