Владелец небольшого сайта — например, мастерской или частного преподавателя — нередко думает, что политика конфиденциальности нужна только крупным компаниям. Есть форма обратной связи с полем «Телефон», заявки приходят раз в неделю — зачем какие-то документы?
Но по российскому закону размер сайта и количество заявок значения не имеют. Если сайт собирает хоть какие-то данные о пользователях — он обязан опубликовать политику конфиденциальности. Без исключений.
Что такое политика конфиденциальности и зачем она нужна на сайте
Политика конфиденциальности — это документ, который объясняет пользователям, какие данные собирает сайт, зачем, как хранит и кому передаёт. Это не рекламный текст и не формальность — это обязательный элемент работы любого сайта, который взаимодействует с личной информацией посетителей.
Пользователь заходит на сайт и оставляет имя и email. Он вправе знать: куда эти данные пойдут, как долго будут храниться, может ли он их удалить. Политика конфиденциальности — это ответ на все эти вопросы, оформленный в виде отдельного документа.
Подробнее о том, что такое политика конфиденциальности и зачем она нужна, можно прочитать в отдельном материале.
Когда наличие документа становится юридической обязанностью
Ответ короткий: как только сайт начинает собирать персональные данные пользователей. А это происходит почти всегда — даже если владелец сайта об этом не думает.
Формы обратной связи и регистрации
Любое поле с именем, телефоном или email — это сбор персональных данных. Неважно, сколько форм на сайте и сколько заявок приходит в месяц. Факт сбора уже есть — значит, нужна политика и согласие на обработку персональных данных под формой.
Системы аналитики и файлы cookie
Если на сайте установлен счётчик Яндекс.Метрики или Google Analytics — он автоматически собирает данные: IP-адрес, действия пользователя, устройство. Это тоже персональные данные в понимании закона. Почему сайты запрашивают согласие на cookie — отдельная тема, но факт один: счётчик аналитики требует политики конфиденциальности.
Рассылки и личные кабинеты
Форма подписки на новости — это сбор email. Личный кабинет пользователя — это хранение имени, истории покупок, адреса. Все эти сценарии требуют опубликованной политики обработки данных.
Когда политика не нужна
Если сайт — это чисто информационный ресурс без каких-либо форм, без аналитики и без файлов cookie, то, строго говоря, собирать нечего. Но такие сайты — редкость. Даже простая кнопка «Написать нам» ведёт на email или в форму, что снова запускает обязанности оператора.
Требования Федерального закона № 152-ФЗ к операторам данных
Федеральный закон № 152-ФЗ «О персональных данных» устанавливает: любой, кто собирает и обрабатывает персональные данные граждан России, становится оператором и обязан соблюдать требования закона.
Это касается не только компаний. ИП, самозанятые, владельцы небольших сайтов — все, у кого есть хоть одна форма с личными данными.
Опубликовать политику конфиденциальности
Документ должен быть размещён на сайте и доступен любому посетителю — ст. 18.1 152-ФЗ прямо предписывает это операторам. Отдельная страница, ссылка в футере, открытый доступ без регистрации.
Получить согласие пользователя
До сбора данных пользователь должен дать согласие — явное, добровольное и информированное. Обычно это чек-бокс под формой со ссылкой на политику.
Уведомить Роскомнадзор
В большинстве случаев оператор обязан подать уведомление в Роскомнадзор о начале обработки персональных данных. Исключения есть, но их немного и они прямо перечислены в законе.
Обеспечить безопасность данных
Оператор отвечает за сохранность данных: должен использовать защищённое соединение, ограничить доступ к базам, не передавать данные третьим лицам без оснований.
О том, как устроена обработка персональных данных на сайте в целом — что входит в это понятие и какие действия с данными закон регулирует — можно прочитать подробнее.
Риски отсутствия документа: штрафы и блокировки Роскомнадзора
Отсутствие политики конфиденциальности — это не просто формальное нарушение. Это основание для штрафа. Роскомнадзор проводит плановые и внеплановые проверки, а поводом для внеплановой может стать жалоба любого пользователя.
| Нарушение | Размер штрафа |
|---|---|
| Отсутствие политики обработки персональных данных на сайте | до 60 000 ₽ |
| Обработка персональных данных без согласия пользователя | 300 000 — 700 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ |
| Нарушение при трансграничной передаче данных | 100 000 — 300 000 ₽ |
Штрафы с 2024 года существенно выросли. Раньше отсутствие политики грозило суммой в несколько тысяч рублей — теперь санкции несопоставимо серьёзнее. Потратить один раз время на оформление документов значительно выгоднее, чем объясняться с регулятором.
Проверить, есть ли нарушения на конкретном сайте, можно через инструменты проверки защиты и обработки персональных данных.
Где и как правильно опубликовать политику, чтобы соблюсти закон
Закон требует, чтобы документ был доступен неограниченному кругу лиц. На практике это означает: политика должна быть на сайте, открыта без регистрации, и до неё должно быть легко добраться.
Отдельная страница сайта
Политика должна быть на отдельной странице — не в виде всплывающего окна, не в PDF-файле и не внутри другого документа. Стандартные адреса: /privacy, /politika-konfidencialnosti, /personal-data.
Ссылка в футере
Ссылка «Политика конфиденциальности» или «Политика обработки персональных данных» должна быть в нижней части каждой страницы сайта. Это минимальный стандарт доступности.
Ссылка рядом с каждой формой
Рядом с чек-боксом под формой обратной связи должна быть кликабельная ссылка на политику. Пользователь должен иметь возможность прочитать документ прямо в момент заполнения.
Открытый доступ без регистрации
Страница с политикой не должна требовать входа в аккаунт или каких-либо действий для просмотра. Документ должен быть доступен любому посетителю сайта.
О том, как правильно разместить политику конфиденциальности на сайте, — отдельный подробный материал с примерами оформления.
Типичные ошибки при составлении текста политики
Иметь политику конфиденциальности и иметь правильную политику — разные вещи. Большинство нарушений на практике связаны не с полным отсутствием документа, а с его некорректным содержанием.
Скопированный шаблон с чужими реквизитами
Политика скачана из интернета, но в ней осталось название другой компании или чужой email. Роскомнадзор при проверке обращает на это внимание: оператором указана организация, не имеющая отношения к сайту.
Не указаны цели обработки
В документе написано «обрабатываем данные», но не сказано — зачем. По закону цели должны быть конкретными: обработка заявок, отправка рассылки, регистрация в сервисе.
Не указаны третьи лица, которым передаются данные
Сайт использует CRM, сервис email-рассылок или передаёт данные партнёрам — а в политике об этом ни слова. Любая передача данных третьим лицам должна быть отражена в документе.
Политика не обновлялась после изменений
Компания сменила юридическое лицо, добавила новый инструмент аналитики или начала работать с иностранными сервисами — а политика осталась прежней. Документ должен отражать актуальное состояние дел.
Нет информации о порядке отзыва согласия
По закону пользователь вправе отозвать согласие на обработку своих данных в любой момент. В политике должно быть написано, как именно это сделать: написать на email, подать заявление, нажать кнопку в личном кабинете.
Если составлять документ с нуля сложно, можно воспользоваться генератором политики конфиденциальности — он формирует текст на основе параметров конкретного сайта.
Частые вопросы
Нужна ли политика конфиденциальности, если сайт сделан на Tilda или другом конструкторе?
Достаточно ли разместить политику в PDF-файле?
Можно ли использовать один документ для нескольких сайтов?
Нужно ли обновлять политику конфиденциальности?
Политика конфиденциальности и пользовательское соглашение — это одно и то же?
Можно ли законно работать без политики конфиденциальности
Нет. Если сайт собирает хоть какие-то данные пользователей — имена, телефоны, email, IP-адреса через счётчики — он обязан опубликовать политику конфиденциальности. Это прямое требование 152-ФЗ, которое не зависит от размера бизнеса и количества посетителей.
Составить документ не так сложно, как кажется. Главное — чтобы в нём были указаны реальный оператор, конкретные цели сбора данных и порядок отзыва согласия. Шаблон можно взять за основу, но его нужно адаптировать под свой сайт.
Посмотреть, как должен выглядеть готовый документ, можно в образце политики конфиденциальности для сайта.