Когда человек оформляет заказ в интернет-магазине, он оставляет свои данные: имя, адрес, телефон, email. Иногда — реквизиты карты. Всё это попадает в базы магазина, передаётся службе доставки, уходит в платёжную систему.
По российскому законодательству любой сайт, который собирает такие сведения, обязан объяснить пользователю, что с ними происходит. Этот документ называется политикой конфиденциальности — и его отсутствие грозит штрафом.
Ниже — что именно нужно написать в таком документе, как его оформить и куда разместить.
Создать политику конфиденциальности
Заполните форму ниже, и система сформирует готовый документ для вашего сайта
Зачем интернет-магазину нужна политика конфиденциальности
Федеральный закон № 152-ФЗ «О персональных данных» распространяется на все сайты, которые собирают информацию о пользователях — не только на крупные маркетплейсы, но и на небольшие магазины с двумя-тремя заказами в день.
Любой сайт с формой заказа автоматически становится оператором персональных данных. Это юридический статус, который влечёт конкретные обязанности: опубликовать политику, получить согласие покупателя, обеспечить сохранность данных.
Политика конфиденциальности — это не формальность для галочки. Это объяснение для покупателя: кто, зачем и как долго хранит его данные, кому их передаёт и как он может от этого отказаться.
Требование закона
152-ФЗ обязывает любого оператора ПДн опубликовать политику обработки персональных данных в открытом доступе. Это прямое требование статьи 18.1 закона.
Доверие покупателей
Покупатель перед вводом данных карты хочет понимать, кто этими данными владеет. Наличие политики — сигнал, что магазин работает легально.
Защита от штрафов
Роскомнадзор проверяет сайты и назначает санкции. Штраф за отсутствие политики — до 60 000 ₽, за обработку без согласия — от 300 000 ₽.
Основные разделы политики конфиденциальности
Документ не должен быть сложным. Главное — честно описать, что происходит с данными покупателей. Ниже — структура, которой достаточно для большинства интернет-магазинов.
Сведения об операторе
Полное наименование юридического лица или ФИО ИП, ИНН, адрес, контактный email. Покупатель должен понимать, к кому обращаться с вопросами о своих данных.
Какие данные собираются
Перечень конкретных данных: имя, фамилия, телефон, email, адрес доставки. Не стоит писать «любые данные» — нужен точный список того, что реально запрашивается.
Цели обработки
Зачем магазин собирает данные: для оформления и доставки заказов, для связи с покупателем, для отправки рассылок (если есть). Каждая цель — отдельным пунктом.
Сроки хранения и уничтожения
Как долго хранятся данные после исполнения заказа. Обычно — до момента отзыва согласия или до истечения сроков, установленных законом (например, бухгалтерские документы — 5 лет).
Права пользователей
Покупатель вправе получить доступ к своим данным, потребовать их исправления или удаления, отозвать согласие. Порядок — через email или письменное заявление.
Готовый шаблон
Если составлять документ с нуля сложно, можно воспользоваться образцом политики конфиденциальности и адаптировать его под реквизиты своего магазина.
Передача данных третьим лицам: службы доставки и платёжные системы
Интернет-магазин редко работает в одиночку. Он передаёт данные покупателей в курьерские службы, платёжные шлюзы, CRM-системы и сервисы email-рассылок. Всё это — третьи лица, и политика должна об этом говорить.
Если магазин пользуется иностранными сервисами — например, Stripe, Mailchimp или зарубежной CRM, — возникает трансграничная передача персональных данных. Это отдельный тип обработки, который требует уведомления Роскомнадзора.
| Кому передаются данные | Какие данные | Что указать в политике |
|---|---|---|
| Служба доставки | Имя, телефон, адрес доставки | Название или категория («курьерские службы»), цель — доставка заказа |
| Платёжный шлюз | Email, сумма заказа (не данные карты — они хранятся у шлюза) | Название системы, цель — обработка платежа |
| CRM-система | Имя, телефон, история заказов | Указать сервис или тип («системы учёта клиентов») |
| Сервис рассылок | Email-адрес | Название сервиса, цель — маркетинговые коммуникации |
Данные карты покупателя магазин не хранит — этим занимается платёжный провайдер. Но сам факт передачи данных в платёжную систему нужно отразить в политике.
Использование файлов cookie и маркетинговые рассылки
Большинство интернет-магазинов используют счётчики аналитики — Яндекс.Метрику, Google Analytics, пиксели ретаргетинга. Все они работают через файлы cookie и собирают данные о поведении пользователей на сайте.
Это тоже обработка персональных данных. В политике нужно указать, какие именно cookie используются и зачем: технические (нужны для работы сайта), аналитические (статистика посещений), маркетинговые (реклама).
Для email-рассылок действует отдельное правило: согласие на рассылку должно быть явным. Нельзя автоматически подписывать всех, кто оформил заказ. Нужен отдельный чек-бокс или форма подписки с явным согласием.
Что написать о cookie в политике
Какие типы cookie используются: сессионные, аналитические, маркетинговые.
Какие сторонние сервисы устанавливают cookie: Яндекс.Метрика, Google Analytics, VK Pixel.
Как пользователь может отказаться от cookie — через настройки браузера или специальный баннер.
Пошаговая инструкция по внедрению политики на сайт
Написать документ — половина дела. Важно правильно разместить его на сайте и настроить формы так, чтобы покупатели давали явное согласие до передачи своих данных.
Создать отдельную страницу
Политика должна быть на отдельной странице сайта — не в PDF-файле и не во всплывающем окне. Обычный адрес: /privacy или /politika-konfidencialnosti. Страница должна быть доступна без регистрации и авторизации.
Добавить ссылку в футер
Ссылка «Политика конфиденциальности» должна быть в нижней части каждой страницы сайта. Это стандарт: покупатель, зашедший на любую страницу магазина, должен иметь к ней быстрый доступ. Подробнее о размещении — в статье как правильно разместить политику конфиденциальности на сайте.
Добавить чек-бокс под формой заказа
Рядом с кнопкой «Оформить заказ» должен быть незаполненный чек-бокс с текстом согласия и кликабельной ссылкой на политику. Отправить форму без его отметки — нельзя. Требования к согласию на обработку персональных данных описаны отдельно.
Проверить все формы на сайте
Кроме формы заказа — форма регистрации, форма обратной связи, поле подписки на рассылку. У каждой должен быть свой чек-бокс с согласием. Один чек-бокс «на все случаи» не считается.
Обновлять документ при изменениях
Подключили новый сервис рассылок, сменили CRM, начали работать с новой курьерской службой — политику нужно обновить. Устаревший документ с неверными реквизитами или отсутствующими партнёрами — тоже нарушение.
Образец текста политики конфиденциальности для интернет-магазина
Ниже — базовый шаблон, который можно адаптировать под конкретный магазин. Замените данные в квадратных скобках на реальные реквизиты.
Политика обработки персональных данных
1. Оператор персональных данных
[Наименование организации / ФИО ИП], ИНН: [XXXXXXXXXX], адрес: [юридический адрес], email: [email@example.com] (далее — Оператор).
2. Какие персональные данные собираются
При оформлении заказа Оператор собирает: фамилию, имя, отчество; номер телефона; адрес электронной почты; адрес доставки.
3. Цели обработки
Данные обрабатываются в целях: оформления и доставки заказа; обратной связи с покупателем; отправки информационных уведомлений о статусе заказа; направления маркетинговых рассылок (при наличии отдельного согласия).
4. Передача данных третьим лицам
Для исполнения заказа данные передаются: службам доставки — для организации доставки товара; платёжным системам — для обработки оплаты; сервисам email-рассылок — для отправки уведомлений. Все третьи лица обязуются соблюдать конфиденциальность полученных данных.
5. Сроки хранения
Данные хранятся в течение срока, необходимого для исполнения договора, и не более 5 лет — в целях соблюдения требований налогового и бухгалтерского законодательства. После истечения указанного срока данные уничтожаются.
6. Права пользователя
Покупатель вправе в любой момент запросить доступ к своим данным, потребовать их исправления или удаления, отозвать согласие на обработку. Для этого необходимо направить заявление на email: [email@example.com]. После получения отзыва Оператор прекращает обработку данных в течение 30 дней.
7. Файлы cookie
Сайт использует технические и аналитические cookie. Аналитика осуществляется с помощью [Яндекс.Метрика / Google Analytics]. Покупатель может отказаться от cookie в настройках браузера.
Частые вопросы
Нужна ли политика, если магазин работает только через маркетплейс?
Можно ли скопировать политику у другого магазина?
Нужно ли отдельное согласие на рассылку или достаточно одного чек-бокса при заказе?
Что будет, если покупатель потребует удалить его данные?
Как часто нужно обновлять политику?
Главное
Политика конфиденциальности для интернет-магазина — не сложный документ. В нём нужно честно описать, какие данные собираются, зачем, кому передаются и как долго хранятся.
Ключевые шаги: создать страницу с политикой, добавить ссылку в футер, поставить чек-бокс под каждой формой. Этого достаточно для большинства магазинов.
Документ нужно обновлять при любых изменениях в работе с данными — смене сервисов, новых партнёрах, расширении перечня собираемых сведений. Устаревшая политика не лучше её отсутствия.