Политика обработки персональных данных для сайта: что обязательно включить

Почему политика — это не формальность

Политика обработки ПДн — это публичная оферта оператора по обращению с данными. Она:

• Раскрывает субъектам, как их данные собирают и обрабатывают
• Служит правовым основанием для согласий («ознакомлен с политикой»)
• Используется РКН при проверке как эталон, к которому привязывают факты
• Является основой для уведомления в реестр операторов

Если в политике написано «не передаём данные третьим лицам», а вы фактически передаёте данные в Яндекс.Метрику или курьерскую службу — это нарушение по ст. 13.11 КоАП.

9 обязательных разделов политики

1. Оператор и контактные данные. Полное наименование, ИНН, ОГРН, юр. адрес, контакты ответственного.
2. Цели обработки ПДн. Перечень всех целей с конкретикой — не «маркетинг», а «направление информационных рассылок клиентам».
3. Правовые основания. Ссылки на статьи закона по каждой цели: согласие (ст. 6 ч. 1 п. 1), договор (п. 5), закон (п. 2) и т. д.
4. Категории субъектов и ПДн. Клиенты / сотрудники / посетители сайта × ФИО / контакты / документы и т. д.
5. Порядок и сроки обработки. Когда собираем, как храним, когда уничтожаем.
6. Способы обработки. Автоматизированная и/или неавтоматизированная, с использованием CRM и т. д.
7. Передача третьим лицам. Конкретный список (банки, курьеры, аналитика, IT-подрядчики) + основания.
8. Меры защиты. Организационные и технические — без раскрытия деталей, но с указанием категорий.
9. Права субъекта. Все по ст. 14 ФЗ-152 + порядок обращения.

Где должна размещаться

• В подвале каждой страницы сайта. Ссылка «Политика обработки персональных данных» в footer — стандарт.
• На отдельной странице. URL вроде /politika-konfidentsialnosti/ или /privacy/.
• В формах сбора данных. Чекбокс с согласием + ссылка на политику.
• Без регистрации/авторизации. Доступ к политике должен быть свободным.
• В читаемом виде. Не PDF, не картинка — текст HTML.

5 типичных ошибок в политиках на сайтах

1. Шаблонные формулировки. «Мы заботимся о вашей конфиденциальности» — это не правовая формулировка. Нужны конкретные цели и категории.
2. Расхождение с реальностью. Заявлено «не передаём третьим лицам» — а на сайте подключена Яндекс.Метрика.
3. Отсутствие подписи / даты утверждения. Политика — внутренний документ оператора, утверждается приказом руководителя.
4. Устаревший текст. Ссылки на отменённые редакции 152-ФЗ, неактуальные ставки штрафов в обоснованиях.
5. Скрытая политика. Файл загружен на сервер, но нет ссылок из подвала / форм. Формально политики «нет».

Cookie-баннер — отдельная история

Cookie не подпадают под ФЗ-152 напрямую, но если cookie идентифицируют пользователя (например, через User-ID в системе аналитики), они становятся ПДн.

В 2026 году тренд: РКН рассматривает использование Яндекс.Метрики / Google Analytics через стандартные настройки как обработку ПДн и требует:

• Cookie-баннер с явным согласием
• Возможность отказа от non-essential cookie
• Указание в политике конкретных используемых счётчиков и их функций

Когда обновлять политику

• Запустили новый продукт / форму / источник трафика
• Изменили подрядчиков, обрабатывающих ПДн
• Добавили / убрали систему аналитики
• Изменился список целей обработки
• Вышла новая редакция 152-ФЗ (последняя крупная — ФЗ № 420-ФЗ от 30.11.2024)