Политика конфиденциальности для сайта: зачем нужна, что должно быть внутри и штрафы в 2026

Политика конфиденциальности — это не «юридическая формальность для галочки», а прямая обязанность по ст. 18.1 152-ФЗ. Любой сайт, который собирает имя, телефон или email, обязан опубликовать такой документ. И это первое, что проверяет Роскомнадзор: политика публичная, её видно сразу, без всякой проверки. Нет политики — это красный флаг, за которым обычно тянется и всё остальное. Разберём с готовым примером, что должно быть внутри, как описать cookie и аналитику, чем политика отличается от согласия и как собрать её бесплатно за пару минут.

По закону оператор обязан обеспечить неограниченный доступ к документу о политике обработки персональных данных — в том числе на страницах сайта, через которые собираются данные. Открыть политику должно быть можно без регистрации и без ввода каких-либо данных.

Сколько стоит отсутствие политики

За отсутствие опубликованной политики предусмотрен штраф по ч. 3 ст. 13.11 КоАП:

• граждане — 1 500–3 000 ₽;
• должностные лица — 6 000–12 000 ₽;
• ИП — 10 000–20 000 ₽;
• юридические лица — 30 000–60 000 ₽.

Сумма скромнее, чем за обработку без согласия (там для юрлиц до 700 000 ₽). Но опасность не в этом штрафе, а в том, что отсутствие политики — сигнал к проверке: если нет даже базового документа, инспектор почти наверняка найдёт и более дорогие нарушения — отсутствие согласий или неподанное уведомление в Роскомнадзор.

Политика, политика обработки ПДн и согласие — в чём разница

• Политика конфиденциальности / политика обработки ПДн — публичный документ оператора о том, как он в целом обрабатывает данные. Именно его требует ст. 18.1. На практике эти два названия часто используют как синонимы.
• Согласие на обработку — разрешение конкретного человека на обработку его данных с конкретной целью (галочка на форме). Это другой документ.
• Сайту нужны оба: политика — общий публичный документ, согласие — на каждой форме.

Подробнее про согласие, его образцы и штрафы — в отдельной статье: Согласие на обработку персональных данных: как оформить на сайте.

Что обязательно должно быть в политике

Жёстко утверждённой формы у политики нет, но по требованиям 152-ФЗ и рекомендациям Роскомнадзора в ней должно быть детально прописано, какие данные, с какой целью и как обрабатываются. Рабочая структура выглядит так:

1. Общие положения и ссылка на то, что документ разработан в соответствии с 152-ФЗ.
2. Сведения об операторе: наименование (или ФИО), адрес, контакты.
3. Цели обработки персональных данных.
4. Категории субъектов и перечень обрабатываемых данных (имя, телефон, email и т.д.).
5. Правовые основания обработки.
6. Порядок и условия обработки: сбор, хранение, использование, передача третьим лицам.
7. Сроки хранения данных.
8. Права субъекта: доступ, изменение, отзыв согласия, удаление.
9. Использование cookie и метрик (если применяется).
10. Порядок обновления политики и дата актуальной редакции.

Готовый пример: как выглядит начало политики

Чтобы было понятнее, вот как может выглядеть вводный блок политики (подставьте свои реквизиты):

Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных Оператором — ООО «Ромашка» (ИНН 7700000000, адрес: г. Москва, ул. Примерная, д. 1). Оператор обрабатывает следующие данные: имя, номер телефона, адрес электронной почты, которые посетитель указывает в формах на сайте. Цели обработки: обработка заявок, связь с пользователем, исполнение договоров. Данные хранятся на серверах на территории РФ в течение срока, необходимого для достижения целей обработки.

Cookie и Яндекс.Метрика: что писать в политике

Почти на каждом сайте стоят cookie и системы аналитики — Яндекс.Метрика, счётчики, пиксели. Cookie, по которым можно идентифицировать человека, могут считаться персональными данными, поэтому в политике стоит отдельно описать: какие cookie вы используете, для чего (аналитика, корректная работа сайта), что применяется Яндекс.Метрика, и как пользователь может отключить cookie в браузере. На самом сайте дополнительно показывают cookie-уведомление — подробнее в статье про cookie-баннер по закону.

Передача данных третьим лицам: что нужно раскрыть

Многие забывают, что данные клиентов почти всегда уходят «наружу»: на хостинг, в CRM, в сервис рассылок, в платёжный шлюз, в системы аналитики. Всё это — обработка и передача данных, и её нужно отразить в политике: кому и для каких целей передаются данные. Важный момент по 242-ФЗ: первичный сбор и хранение данных граждан РФ должны идти с использованием баз данных на территории России, поэтому хостинг и CRM лучше выбирать российские.

Чем опасно скопировать чужую политику

Самая частая ошибка — взять политику с другого сайта «чтобы было». Проблема в том, что чужой документ описывает чужие цели, чужой перечень данных и содержит чужие реквизиты. Такая политика не отражает вашу реальную обработку, а значит, не защищает: при проверке расхождение между текстом и фактическими процессами — это нарушение. Политика должна быть про ваш бизнес, а не скопирована.

Где разместить политику на сайте

• Ссылка на политику — в подвале сайта (footer), доступна с любой страницы.
• Ссылка на политику — рядом с каждой формой, где собираются данные.
• Документ открывается без регистрации и без ввода данных.
• Лучше отдельная страница (например, /privacy), а не PDF-файл — так её проще найти и проиндексировать.

Частые ошибки

• Политики нет вообще или она спрятана так, что её не найти.
• Скопирована с чужого сайта вместе с чужими реквизитами и целями.
• Не указаны реальные цели обработки и перечень собираемых данных.
• Есть политика, но нет согласий на формах (нужно и то, и другое).
• Документ устарел и не отражает, какие данные на самом деле собираются.

Чек-лист: проверьте за 2 минуты

• Политика опубликована на отдельной странице — да/нет?
• Ссылка на неё есть в подвале и у форм — да/нет?
• Открывается без регистрации и ввода данных — да/нет?
• В тексте указаны ваши реальные реквизиты, цели и перечень данных — да/нет?
• Описаны cookie и передача данных третьим лицам — да/нет?
• Есть ссылка на 152-ФЗ и дата актуальной редакции — да/нет?

Важно: это обзорный материал, а не юридическая консультация. Под нестандартные ситуации (трансграничная передача, специальные категории данных, данные несовершеннолетних) формулировки стоит проверить с юристом и по действующей редакции 152-ФЗ.

Как закрыть вопрос быстро

Минимум для сайта — опубликованная политика, корректные согласия на формах и уведомление в Роскомнадзор. Политику можно собрать в конструкторе ниже, а если нужно привести сайт в соответствие целиком, этим займётся наша студия.