Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024.

Зачем сайту политика конфиденциальности

Политика конфиденциальности — не формальность. Это обязательный документ для каждого сайта, который собирает хотя бы минимальные данные пользователей. А собирают их все: даже сайт-визитка с формой обратной связи уже обрабатывает персональные данные.

Согласно ст. 18.1 Федерального закона № 152-ФЗ, оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить неограниченный доступ к нему. На практике это означает ссылку в подвале каждой страницы сайта.

За отсутствие политики предусмотрен штраф по ч. 3 ст. 13.11 КоАП:

  • Для должностных лиц: 15 000 - 30 000 рублей
  • Для юридических лиц: 60 000 - 150 000 рублей

Но основная угроза — не сам штраф за публикацию, а то, что отсутствие политики тянет за собой другие нарушения: обработку без правовых оснований (штраф до 700 000 рублей) и отсутствие уведомления в РКН.

Обязательные разделы политики конфиденциальности

Роскомнадзор при проверке оценивает не просто наличие документа, а его содержание. Вот что обязательно должно быть:

1. Сведения об операторе

Полное наименование, ИНН, юридический адрес, контактные данные для обращений субъектов. Для ИП и самозанятых — ФИО и ИНН. Без этой информации политика считается формальной.

2. Цели обработки данных

Конкретные, не размытые формулировки. Не «для улучшения сервиса», а: «обработка заказов», «рассылка маркетинговых материалов при наличии согласия», «аналитика посещаемости сайта». Каждая цель должна быть связана с правовым основанием.

3. Перечень обрабатываемых данных

Полный список для каждой цели: ФИО, email, телефон, IP-адрес, cookie, данные о покупках. Указывайте все данные, которые реально собираете. Роскомнадзор сверяет содержание политики с фактическими формами на сайте.

4. Правовые основания обработки

  • Согласие субъекта — для маркетинговых рассылок, cookie аналитики
  • Исполнение договора — для обработки заказов, оказания услуг
  • Законный интерес оператора — для обеспечения безопасности, предотвращения мошенничества
  • Исполнение закона — для налоговой отчётности, бухгалтерии

5. Сроки хранения данных

Для каждой категории данных указывайте конкретный срок или событие, после которого данные удаляются. Например: «Данные заказов хранятся 5 лет с момента последней операции для целей бухгалтерского учёта».

6. Передача данных третьим лицам

Перечислите все сервисы, получающие данные ваших пользователей:

  • Аналитика: Google Analytics, Яндекс.Метрика
  • Реклама: Facebook Pixel, VK Pixel
  • CRM: AmoCRM, Битрикс24
  • Рассылки: SendPulse, Unisender
  • Платёжные системы: ЮKassa, Prodamus
  • Облачный хостинг: если серверы за рубежом — указать страну

7. Трансграничная передача данных

Если хотя бы один сервис хранит данные за пределами России (Google Analytics → США, Mailchimp → США), это трансграничная передача. Нужно указать страны, основания и меры защиты.

8. Права субъекта

Право на доступ, уточнение, удаление, блокирование данных. Обязательно укажите порядок обращения и сроки ответа: 30 дней на предоставление информации (ст. 20 ч. 3) и 7 рабочих дней на уточнение/уничтожение (ст. 21 ч. 1).

9. Порядок действий при инцидентах

С 2023 года обязательный раздел. Оператор обязан уведомить Роскомнадзор в течение 24 часов после обнаружения утечки и предоставить результаты расследования за 72 часа через pd.rkn.gov.ru/incidents/.

Три главные ошибки, которые допускают 80% сайтов

Ошибка 1: Шаблонная политика

Скопированная с другого сайта или сгенерированная бесплатным конструктором политика — это красный флаг для Роскомнадзора. Типичные признаки:

  • Упоминание данных, которые сайт не собирает
  • Отсутствие реальных реквизитов оператора
  • Ссылки на несуществующие страницы

Шаблонная политика Тильды — отдельная проблема. Она не содержит реквизитов оператора, не перечисляет конкретные сервисы и не соответствует актуальным требованиям. При аудите такая политика оценивается как «generic» — формально есть, по существу не работает.

Ошибка 2: Политика не соответствует реальности

На сайте стоят Google Analytics, Facebook Pixel, JivoSite и AmoCRM — а в политике про них ни слова. Роскомнадзор проверяет исходный код страниц и сверяет трекеры с текстом политики. Несоответствие = нарушение.

Ошибка 3: Политика спрятана

Ссылка только на странице с формой, а не в подвале всех страниц. Или ссылка ведёт на 404. Или документ доступен только после регистрации. Закон требует неограниченный доступ — это значит видимую ссылку на каждой странице.

Шаблон или персонализированная политика: что выбрать

Бесплатный шаблон подходит только как отправная точка. Его нужно серьёзно переработать под конкретный бизнес. Проблема в том, что для качественной переработки нужны юридические знания и понимание 152-ФЗ.

Юрист подготовит идеальный документ, но стоимость от 15 000 до 50 000 рублей, а срок — от нескольких дней до недели.

Автоматические сервисы — компромисс: юридически выверенный каркас, персонализированный под конкретный сайт на основе технического аудита. Сервис анализирует ваш сайт, находит все формы и трекеры, и генерирует политику, которая отражает реальную картину обработки данных. Стоимость от 4 990 рублей, время — 10 минут.

Как проверить свою политику за 30 секунд

Ответьте на 5 вопросов:

  1. Указаны ли полные реквизиты оператора (название, ИНН, адрес)?
  2. Перечислены ли все сторонние сервисы, которым передаются данные?
  3. Есть ли раздел про инциденты с указанием сроков 24/72 часа?
  4. Соответствуют ли указанные данные реальным формам на сайте?
  5. Доступна ли ссылка на политику из подвала каждой страницы?

Если хотя бы на один вопрос ответ «нет» — ваша политика нуждается в доработке.

Хотите полную проверку? Запустите бесплатный аудит сайта на соответствие 152-ФЗ →

Статья актуальна на апрель 2026 года. Нормативные акты: 152-ФЗ «О персональных данных» (ст. 18.1, 20, 21), КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024.