Политика конфиденциальности: как составить для сайта в 2026 году

Обновлено: март 2026 · 15 мин чтения

Политика конфиденциальности — обязательный документ для любого сайта, который собирает персональные данные. Без неё — штраф от 60 000 до 100 000 ₽ для юрлиц. Но просто скопировать шаблон из интернета недостаточно: Роскомнадзор проверяет, соответствует ли документ реальным процессам обработки данных на вашем сайте. Разбираем, как составить политику правильно.

Содержание

  1. 1. Что такое политика конфиденциальности и зачем она нужна
  2. 2. 12 обязательных разделов по 152-ФЗ
  3. 3. Чем отличается хорошая политика от плохой
  4. 4. Где и как разместить на сайте
  5. 5. Частые ошибки при составлении
  6. 6. Штрафы за отсутствие или несоответствие

1. Что такое политика конфиденциальности и зачем она нужна

Начнём с терминологии. В законодательстве и на практике используются два близких понятия, которые часто путают:

Политика конфиденциальности

Публичный документ, который объясняет пользователям сайта, какие данные собираются, зачем и как обрабатываются. Адресован посетителям сайта. Размещается в открытом доступе.

Политика обработки ПДн

Внутренний нормативный акт организации, описывающий все процессы обработки персональных данных. Регулируется ст. 18.1 152-ФЗ. Может включать информацию, которая не публикуется для пользователей.

На практике эти два документа часто объединяют в один. Закон этого не запрещает. Главное — чтобы документ отвечал требованиям ст. 18.1 152-ФЗ. Эта статья обязывает оператора персональных данных опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить неограниченный доступ к нему.

Зачем это нужно с точки зрения закона: ст. 18.1 прямо говорит, что оператор обязан «опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных». Проще говоря — если у вас на сайте есть хотя бы одна форма с полем «Имя» или «Email», вы обязаны разместить политику.

Помимо юридического требования, политика конфиденциальности — это инструмент доверия. Пользователи всё чаще обращают внимание на то, как сайт обращается с их данными. По данным исследований, 79% пользователей прекращают взаимодействие с компанией, если узнают о неправомерном использовании их данных.

2. 12 обязательных разделов по 152-ФЗ

Закон не даёт жёсткого шаблона, но из требований ст. 18.1, ст. 9 и ст. 14 152-ФЗ складывается обязательный минимум информации. Мы выделяем 12 разделов, которые должны присутствовать в качественной политике конфиденциальности:

1Сведения об операторе

Полное наименование организации или ФИО индивидуального предпринимателя, ИНН, юридический адрес, контактный email и телефон. Роскомнадзор в первую очередь проверяет, указан ли конкретный оператор — формулировка «администрация сайта» без реквизитов не подходит.

2Правовые основания обработки

На каком основании вы обрабатываете данные: согласие субъекта (ст. 9 152-ФЗ), исполнение договора, законный интерес оператора или требование закона. Для каждой цели обработки должно быть своё правовое основание. Если вы собираете email для рассылки — это согласие. Если для выполнения заказа — это договор.

3Цели обработки данных

Конкретный и исчерпывающий перечень целей: регистрация на сайте, оформление заказа, обратная связь, маркетинговые рассылки, аналитика поведения на сайте. Формулировка «для улучшения качества услуг» — слишком расплывчата. Каждая цель должна быть ясной и конкретной.

4Категории персональных данных

Перечислите все виды данных, которые вы собираете: ФИО, email, телефон, IP-адрес, cookie, данные об устройстве, геолокация, платёжные реквизиты. Полнота списка критична — если вы собираете данные, не указанные в политике, это нарушение.

5Способы обработки данных

Как именно вы обрабатываете данные: автоматизированная обработка, ручная, смешанная. Включая сбор, запись, систематизацию, хранение, уточнение, извлечение, использование, передачу и уничтожение. Если используете алгоритмы или ИИ для анализа данных — это тоже нужно указать.

6Сроки хранения данных

Для каждой категории данных укажите срок хранения или критерий определения этого срока. Например: «данные заказа хранятся 5 лет с момента исполнения договора», «cookie-файлы — 12 месяцев». По истечении срока данные должны быть уничтожены или обезличены.

7Права субъектов персональных данных

Пользователь имеет право: получить информацию о своих данных (ст. 14), потребовать уточнения или удаления (ст. 21), отозвать согласие (ст. 9 ч.2), обжаловать действия оператора в Роскомнадзор. Укажите конкретный порядок реализации каждого права — куда писать, в какие сроки получит ответ.

8Трансграничная передача данных

Если данные передаются за пределы России (например, вы используете зарубежные сервисы рассылок, хостинг или аналитику), укажите страны и цели передачи. С 2025 года требования ужесточились: для передачи в «недружественные» юрисдикции нужно отдельное согласие и уведомление Роскомнадзора.

9Передача третьим лицам

Перечислите всех третьих лиц, которым передаются данные: платёжные системы, службы доставки, CRM, email-провайдеры, сервисы аналитики. Для каждого третьего лица — цель передачи и правовое основание. Формулировка «мы можем передавать данные партнёрам» без конкретики — нарушение.

10Меры защиты данных

Опишите технические и организационные меры: шифрование (SSL/TLS), ограничение доступа, логирование операций, резервное копирование, обучение сотрудников. Не нужно раскрывать детали инфраструктуры — достаточно общего описания принятых мер по ст. 19 152-ФЗ.

11Cookie-политика

Отдельный раздел (или отдельный документ) о cookie-файлах: какие типы используются (необходимые, аналитические, рекламные), какие данные собирают, срок жизни каждого cookie, как пользователь может управлять cookie в настройках браузера. Роскомнадзор рассматривает cookie как персональные данные, если они позволяют идентифицировать пользователя.

12Механизм получения согласия

Как именно вы получаете согласие: чекбокс в форме (не предустановленный), cookie-баннер, двойное подтверждение (double opt-in) для рассылок. Укажите, как пользователь может отозвать согласие — это должно быть так же просто, как и его дать (ст. 9 ч.2 152-ФЗ).

Все 12 разделов на вашем сайте?

Наш ИИ проверит политику конфиденциальности за 60 секунд и покажет, каких разделов не хватает.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

3. Чем отличается хорошая политика от плохой

Роскомнадзор при проверке не просто ищет документ на сайте — он сверяет содержание политики с реальными процессами обработки данных. Вот конкретные примеры:

Плохо

«Мы собираем персональные данные пользователей для улучшения качества обслуживания.»

Нет конкретики: какие данные, какие цели, какие сроки хранения.

Хорошо

«При оформлении заказа мы собираем: ФИО, email, номер телефона и адрес доставки. Данные обрабатываются с целью исполнения договора купли-продажи (ст. 6 ч.1 п.5 152-ФЗ) и хранятся 5 лет с момента последнего заказа.»

Конкретные данные, конкретная цель, правовое основание, срок хранения.

Плохо

«Мы можем передавать данные третьим лицам.»

Каким третьим лицам? С какой целью? На каком основании?

Хорошо

«Для обработки платежей данные банковской карты передаются ПАО «Сбербанк» (эквайринг). Для доставки заказов — ООО «СДЭК». Передача осуществляется на основании договоров поручения обработки ПДн.»

Конкретные получатели, цели передачи, правовое основание.

Ключевой принцип — политика должна отражать реальность. Если на сайте стоит Яндекс.Метрика, а в политике нет ни слова про аналитические cookie и сбор данных о поведении пользователей — это несоответствие, которое Роскомнадзор зафиксирует при проверке.

4. Где и как разместить на сайте

По ст. 18.1 152-ФЗ оператор обязан обеспечить «неограниченный доступ» к политике. На практике это означает несколько правил размещения:

Ссылка в футере каждой страницы. Стандартная практика — ссылка «Политика конфиденциальности» в подвале сайта. Пользователь должен попасть на документ максимум в 1 клик с любой страницы.

Отдельная страница. Политика должна быть на отдельной странице с собственным URL (например, /privacy или /politika-konfidencialnosti). Не прячьте текст в модальное окно или всплывающее меню — поисковые системы и Роскомнадзор должны иметь прямой доступ.

Ссылка из каждой формы. Каждая форма, собирающая персональные данные, должна содержать ссылку на политику рядом с чекбоксом согласия. Текст: «Я согласен с политикой конфиденциальности», где «политикой конфиденциальности» — кликабельная ссылка.

Без авторизации. Документ не должен требовать регистрации, авторизации или каких-либо действий для просмотра. Любой посетитель (в том числе инспектор Роскомнадзора) должен прочитать его без препятствий.

Актуальная дата. Укажите дату последнего обновления документа. Если политика датирована 2019 годом, а на сайте с тех пор появились новые формы или сервисы — Роскомнадзор расценит это как несоответствие.

5. Частые ошибки при составлении

Анализируя тысячи сайтов, мы видим одни и те же ошибки. Каждая из них — потенциальный штраф:

!Скопирована у другого сайта без адаптации

Самая распространённая проблема. Владелец интернет-магазина копирует политику у SaaS-сервиса. В документе указаны процессы, которых нет на сайте, и не описаны те, которые реально есть. При проверке Роскомнадзор сравнивает политику с реальным функционалом сайта.

!Не указан конкретный оператор

«Администрация сайта», «Компания», «Мы» — без наименования, ИНН и адреса. Закон требует, чтобы субъект ПД знал, кто конкретно обрабатывает его данные. Без реквизитов оператора политика считается неполной.

!Устаревшие данные

Политику написали 5 лет назад, с тех пор добавили онлайн-оплату, CRM-систему, рекламные пиксели — а в документе ничего не изменилось. Политику нужно обновлять при каждом существенном изменении в обработке данных.

!Несоответствие реальным процессам

В политике написано «мы не передаём данные третьим лицам», а на сайте стоят 5 сторонних скриптов: Яндекс.Метрика, чат-бот, CRM-виджет, сервис email-рассылок, рекламный пиксель. Каждый из них получает данные пользователей — это передача третьим лицам.

!Нет раздела о cookie

Многие владельцы сайтов до сих пор не воспринимают cookie как персональные данные. Между тем Роскомнадзор прямо указывает: cookie, позволяющие идентифицировать пользователя, относятся к персональным данным. Отсутствие cookie-политики — распространённое нарушение.

6. Штрафы за отсутствие или несоответствие

Ответственность за нарушения в сфере персональных данных установлена ст. 13.11 КоАП РФ. Штрафы за проблемы с политикой конфиденциальности:

НарушениеСтатьяШтраф (юрлицо)
Отсутствие политики конфиденциальности13.11 ч.360 000 – 100 000 ₽
Обработка ПД без согласия субъекта13.11 ч.2150 000 – 500 000 ₽
Невыполнение требований к содержанию политики13.11 ч.360 000 – 100 000 ₽
Отказ предоставить информацию субъекту ПД13.11 ч.480 000 – 200 000 ₽
Повторное нарушение13.11штраф x2 – x3

На практике Роскомнадзор выносит предписания по нескольким нарушениям одновременно. Типичный сценарий: отсутствие политики (60–100 тыс.) + обработка без согласия (150–500 тыс.) + нарушение требований к защите (80–200 тыс.) = суммарный штраф может превысить 500 000 ₽.

Как Роскомнадзор находит нарушителей

  • Плановые проверки — по ежегодному плану, публикуется на сайте Генпрокуратуры
  • Жалобы пользователей — любой человек может подать жалобу через pd.rkn.gov.ru, и РКН обязан провести проверку
  • Мониторинг — РКН использует автоматические системы сканирования сайтов на наличие нарушений
  • Утечки данных — после инцидента проверяют всю цепочку обработки, включая политику
Тренд 2025–2026: Роскомнадзор наращивает количество проверок. В 2025 году количество штрафов за нарушения 152-ФЗ выросло на 40% по сравнению с 2024 годом. Особое внимание — e-commerce, финтех и сайты с онлайн-формами.

Проверьте свою политику конфиденциальности

Бесплатный AI-аудит за 60 секунд. Покажем, каких разделов не хватает и какие штрафы грозят.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

← 152-ФЗ простым языкомЧек-лист соответствия →Согласие на обработку ПДн →

Статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных.