Политика конфиденциальности: как составить для сайта в 2026 году

Обновлено: июнь 2026 · 15 мин чтения

Политика конфиденциальности — обязательный документ для любого сайта в России, который собирает персональные данные. Без неё — штраф от 30 000 до 60 000 ₽ для юрлиц. Но просто скопировать шаблон из интернета недостаточно: Роскомнадзор проверяет, соответствует ли документ реальным процессам обработки данных на вашем сайте. Разбираем, как составить политику правильно.

Политика конфиденциальности или политика обработки персональных данных?

Для сайта важнее содержание, чем название. Документ может называться «политика конфиденциальности» или «политика обработки персональных данных», но он должен описывать реальные формы, cookie, аналитику, CRM, цели обработки и права пользователя по 152-ФЗ.

Проверить, какие данные собирает сайт

Содержание

1. Что такое политика конфиденциальности и зачем она нужна
2. 12 обязательных разделов по 152-ФЗ
3. Чем отличается хорошая политика от плохой
4. Где и как разместить на сайте
5. Частые ошибки при составлении
6. Штрафы за отсутствие или несоответствие

1. Что такое политика конфиденциальности и зачем она нужна

Начнём с терминологии. В законодательстве и на практике используются два близких понятия, которые часто путают:

Политика конфиденциальности

Публичный документ, который объясняет пользователям сайта, какие данные собираются, зачем и как обрабатываются. Адресован посетителям сайта. Размещается в открытом доступе.

Политика обработки ПДн

Внутренний нормативный акт организации, описывающий все процессы обработки персональных данных. Регулируется ст. 18.1 152-ФЗ. Может включать информацию, которая не публикуется для пользователей.

На практике эти два документа часто объединяют в один. Закон этого не запрещает. Главное — чтобы документ отвечал требованиям ст. 18.1 152-ФЗ. Эта статья обязывает оператора персональных данных опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить неограниченный доступ к нему.

Зачем это нужно с точки зрения закона: ст. 18.1 прямо говорит, что оператор обязан «опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных». Проще говоря — если у вас на сайте есть хотя бы одна форма с полем «Имя» или «Email», вы обязаны разместить политику.

Помимо юридического требования, политика конфиденциальности — это инструмент доверия. Пользователи всё чаще обращают внимание на то, как сайт обращается с их данными. По данным исследований, 79% пользователей прекращают взаимодействие с компанией, если узнают о неправомерном использовании их данных.

2. 12 обязательных разделов по 152-ФЗ

Закон не даёт жёсткого шаблона, но из требований ст. 18.1, ст. 9 и ст. 14 152-ФЗ складывается обязательный минимум информации. Мы выделяем 12 разделов, которые должны присутствовать в качественной политике конфиденциальности:

1Сведения об операторе

Полное наименование организации или ФИО индивидуального предпринимателя, ИНН, юридический адрес, контактный email и телефон. Роскомнадзор в первую очередь проверяет, указан ли конкретный оператор — формулировка «администрация сайта» без реквизитов не подходит.

2Правовые основания обработки

На каком основании вы обрабатываете данные: согласие субъекта (ст. 9 152-ФЗ), исполнение договора, законный интерес оператора или требование закона. Для каждой цели обработки должно быть своё правовое основание. Если вы собираете email для рассылки — это согласие. Если для выполнения заказа — это договор.

3Цели обработки данных

Конкретный и исчерпывающий перечень целей: регистрация на сайте, оформление заказа, обратная связь, маркетинговые рассылки, аналитика поведения на сайте. Формулировка «для улучшения качества услуг» — слишком расплывчата. Каждая цель должна быть ясной и конкретной.

4Категории персональных данных

Перечислите все виды данных, которые вы собираете: ФИО, email, телефон, IP-адрес, cookie, данные об устройстве, геолокация, платёжные реквизиты. Полнота списка критична — если вы собираете данные, не указанные в политике, это нарушение.

5Способы обработки данных

Как именно вы обрабатываете данные: автоматизированная обработка, ручная, смешанная. Включая сбор, запись, систематизацию, хранение, уточнение, извлечение, использование, передачу и уничтожение. Если используете алгоритмы или ИИ для анализа данных — это тоже нужно указать.

6Сроки хранения данных

Для каждой категории данных укажите срок хранения или критерий определения этого срока. Например: «данные заказа хранятся 5 лет с момента исполнения договора», «cookie-файлы — 12 месяцев». По истечении срока данные должны быть уничтожены или обезличены.

7Права субъектов персональных данных

Пользователь имеет право: получить информацию о своих данных (ст. 14), потребовать уточнения или удаления (ст. 21), отозвать согласие (ст. 9 ч.2), обжаловать действия оператора в Роскомнадзор. Укажите конкретный порядок реализации каждого права — куда писать, в какие сроки получит ответ.

8Трансграничная передача данных

Если данные передаются за пределы России (например, вы используете зарубежные сервисы рассылок, хостинг или аналитику), укажите страны и цели передачи. С 2025 года требования ужесточились: для передачи в «недружественные» юрисдикции нужно отдельное согласие и уведомление Роскомнадзора.

9Передача третьим лицам

Перечислите всех третьих лиц, которым передаются данные: платёжные системы, службы доставки, CRM, email-провайдеры, сервисы аналитики. Для каждого третьего лица — цель передачи и правовое основание. Формулировка «мы можем передавать данные партнёрам» без конкретики — нарушение.

10Меры защиты данных

Опишите технические и организационные меры: шифрование (SSL/TLS), ограничение доступа, логирование операций, резервное копирование, обучение сотрудников. Не нужно раскрывать детали инфраструктуры — достаточно общего описания принятых мер по ст. 19 152-ФЗ.

11Cookie-политика

Отдельный раздел (или отдельный документ) о cookie-файлах: какие типы используются (необходимые, аналитические, рекламные), какие данные собирают, срок жизни каждого cookie, как пользователь может управлять cookie в настройках браузера. Роскомнадзор рассматривает cookie как персональные данные, если они позволяют идентифицировать пользователя.

12Механизм получения согласия

Как именно вы получаете согласие: чекбокс в форме (не предустановленный), cookie-баннер, двойное подтверждение (double opt-in) для рассылок. Укажите, как пользователь может отозвать согласие — это должно быть так же просто, как и его дать (ст. 9 ч.2 152-ФЗ).

Все 12 разделов на вашем сайте?

Наш ИИ проверит политику конфиденциальности за 60 секунд и покажет, каких разделов не хватает.

3. Чем отличается хорошая политика от плохой

Роскомнадзор при проверке не просто ищет документ на сайте — он сверяет содержание политики с реальными процессами обработки данных. Вот конкретные примеры:

Плохо

«Мы собираем персональные данные пользователей для улучшения качества обслуживания.»

Нет конкретики: какие данные, какие цели, какие сроки хранения.

Хорошо

«При оформлении заказа мы собираем: ФИО, email, номер телефона и адрес доставки. Данные обрабатываются с целью исполнения договора купли-продажи (ст. 6 ч.1 п.5 152-ФЗ) и хранятся 5 лет с момента последнего заказа.»

Конкретные данные, конкретная цель, правовое основание, срок хранения.

Плохо

«Мы можем передавать данные третьим лицам.»

Каким третьим лицам? С какой целью? На каком основании?

Хорошо

«Для обработки платежей данные банковской карты передаются ПАО «Сбербанк» (эквайринг). Для доставки заказов — ООО «СДЭК». Передача осуществляется на основании договоров поручения обработки ПДн.»

Конкретные получатели, цели передачи, правовое основание.

Ключевой принцип — политика должна отражать реальность. Если на сайте стоит Яндекс.Метрика, а в политике нет ни слова про аналитические cookie и сбор данных о поведении пользователей — это несоответствие, которое Роскомнадзор зафиксирует при проверке.

4. Где и как разместить на сайте

По ст. 18.1 152-ФЗ оператор обязан обеспечить «неограниченный доступ» к политике. На практике это означает несколько правил размещения:

Ссылка в футере каждой страницы. Стандартная практика — ссылка «Политика конфиденциальности» в подвале сайта. Пользователь должен попасть на документ максимум в 1 клик с любой страницы.

Отдельная страница. Политика должна быть на отдельной странице с собственным URL (например, /privacy или /politika-konfidencialnosti). Не прячьте текст в модальное окно или всплывающее меню — поисковые системы и Роскомнадзор должны иметь прямой доступ.

Ссылка из каждой формы. Каждая форма, собирающая персональные данные, должна содержать ссылку на политику рядом с чекбоксом согласия. Текст: «Я согласен с политикой конфиденциальности», где «политикой конфиденциальности» — кликабельная ссылка.

Без авторизации. Документ не должен требовать регистрации, авторизации или каких-либо действий для просмотра. Любой посетитель (в том числе инспектор Роскомнадзора) должен прочитать его без препятствий.

Актуальная дата. Укажите дату последнего обновления документа. Если политика датирована 2019 годом, а на сайте с тех пор появились новые формы или сервисы — Роскомнадзор расценит это как несоответствие.

5. Частые ошибки при составлении

Анализируя тысячи сайтов, мы видим одни и те же ошибки. Каждая из них — потенциальный штраф:

!Скопирована у другого сайта без адаптации

Самая распространённая проблема. Владелец интернет-магазина копирует политику у SaaS-сервиса. В документе указаны процессы, которых нет на сайте, и не описаны те, которые реально есть. При проверке Роскомнадзор сравнивает политику с реальным функционалом сайта.

!Не указан конкретный оператор

«Администрация сайта», «Компания», «Мы» — без наименования, ИНН и адреса. Закон требует, чтобы субъект ПД знал, кто конкретно обрабатывает его данные. Без реквизитов оператора политика считается неполной.

!Устаревшие данные

Политику написали 5 лет назад, с тех пор добавили онлайн-оплату, CRM-систему, рекламные пиксели — а в документе ничего не изменилось. Политику нужно обновлять при каждом существенном изменении в обработке данных.

!Несоответствие реальным процессам

В политике написано «мы не передаём данные третьим лицам», а на сайте стоят 5 сторонних скриптов: Яндекс.Метрика, чат-бот, CRM-виджет, сервис email-рассылок, рекламный пиксель. Каждый из них получает данные пользователей — это передача третьим лицам.

!Нет раздела о cookie

Многие владельцы сайтов до сих пор не воспринимают cookie как персональные данные. Между тем Роскомнадзор прямо указывает: cookie, позволяющие идентифицировать пользователя, относятся к персональным данным. Отсутствие cookie-политики — распространённое нарушение.

6. Штрафы за отсутствие или несоответствие

Ответственность за нарушения в сфере персональных данных установлена ст. 13.11 КоАП РФ. Штрафы за проблемы с политикой конфиденциальности:

Нарушение	Статья	Штраф (юрлицо)
Отсутствие политики конфиденциальности	13.11 ч.3	30 000 – 60 000 ₽
Обработка ПД без согласия субъекта	13.11 ч.2	300 000 – 700 000 ₽
Невыполнение требований к содержанию политики	13.11 ч.3	30 000 – 60 000 ₽
Отказ предоставить информацию субъекту ПД	13.11 ч.4	40 000 – 80 000 ₽
Повторное нарушение	13.11	по отдельной части КоАП

На практике Роскомнадзор выносит предписания по нескольким нарушениям одновременно. Типичный сценарий: отсутствие политики (30–60 тыс.) + обработка без согласия (300–700 тыс.) + отказ предоставить сведения субъекту ПД (40–80 тыс.) = суммарный штраф может превысить 800 000 ₽.

Как Роскомнадзор находит нарушителей

Плановые проверки — по ежегодному плану, публикуется на сайте Генпрокуратуры
Жалобы пользователей — любой человек может подать жалобу через pd.rkn.gov.ru, и РКН обязан провести проверку
Мониторинг — РКН использует автоматические системы сканирования сайтов на наличие нарушений
Утечки данных — после инцидента проверяют всю цепочку обработки, включая политику

Тренд 2025–2026: Роскомнадзор наращивает количество проверок. В 2025 году количество штрафов за нарушения 152-ФЗ выросло на 40% по сравнению с 2024 годом. Особое внимание — e-commerce, финтех и сайты с онлайн-формами.

Проверьте свою политику конфиденциальности

Бесплатный AI-аудит за 60 секунд. Покажем, каких разделов не хватает и какие штрафы грозят.

← 152-ФЗ простым языком Чек-лист соответствия →Согласие на обработку ПДн →

Вопросы и ответы

Можно ли скопировать политику конфиденциальности с другого сайта?

Формально — да, но Роскомнадзор проверяет соответствие документа реальным процессам обработки данных на вашем сайте. Скопированная политика не учитывает ваши цели, сервисы и категории данных — при проверке это квалифицируется как нарушение ст. 18.1 152-ФЗ.

Сколько разделов должно быть в политике конфиденциальности по закону?

Закон не устанавливает жёсткую структуру. Из требований ст. 18.1, ст. 9 и ст. 14 152-ФЗ складывается минимум из 12 обязательных разделов: от сведений об операторе до cookie-политики и механизма получения согласия.

Где на сайте размещать политику конфиденциальности?

Ссылка должна быть доступна с любой страницы — обычно в футере. Дополнительно ссылка размещается рядом с каждой формой сбора данных и в тексте чекбокса согласия. Документ должен открываться без регистрации и авторизации.

Какой штраф за отсутствие политики конфиденциальности на сайте?

От 30 000 до 60 000 ₽ для юрлиц по ст. 13.11 ч.3 КоАП. Если одновременно нет согласий, уведомления в РКН или есть другие нарушения, суммы считаются отдельно по соответствующим частям ст. 13.11 КоАП.

Нужно ли обновлять политику конфиденциальности при смене аналитического сервиса?

Да. Любое изменение в процессах обработки данных — новый сервис аналитики, платёжная система, CRM — требует актуализации политики. Несоответствие документа реальным процессам является самостоятельным нарушением.

Источники и ссылки

Практический следующий шаг

Политика должна совпадать с реальным сайтом

Перед тем как брать шаблон политики, проверьте формы, cookie, аналитику, CRM, оплату и подрядчиков. Иначе документ может описывать не то, что фактически происходит на сайте.

Проверить сайт бесплатно Заказать комплект документов

Персональные данные на сайте Формы, чекбоксы и согласия Конструктор согласия