Политика конфиденциальности объясняет пользователю, какие персональные данные вы собираете, с какой целью, на каком правовом основании и как вы их защищаете. Для владельца сайта это — документ соответствия требованиям ФЗ-152 и рекомендациям Роскомнадзора, а также механизм минимизации рисков жалоб и штрафов. В этой статье: кратко о нормативной базе, практические требования Роскомнадзора, структурированный список обязательных разделов политики, где и как размещать документ, как его обновлять и разбор типичных ошибок.

 

Что такое Политика и зачем она нужна?

Согласно ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», оператор обязан опубликовать документ, определяющий его политику в отношении обработки ПДн. Его главные задачи:

• Информировать субъектов (клиентов):Четко и прозрачно рассказать, как вы используете их данные.
• Определить внутренние правила:Быть инструкцией для ваших сотрудников.
• Продемонстрировать легальность:Подтвердить контролирующим органам, что вы действуете в рамках закона.

Отсутствие этого документа или его несоответствие рекомендациям РКН — прямое нарушение ч. 3 ст. 13.11 КоАП РФ, влекущее штраф до 60 000 рублей.

 

Требования Роскомнадзора к Политике конфиденциальности

При разработке или актуализации Политики конфиденциальности необходимо руководствоваться не только буквой закона № 152-ФЗ, но и официальными разъяснениями надзорного органа.

Роскомнадзор разработал и опубликовал детальные Рекомендации по составлению данного документа. Эти рекомендации отражают позицию регулятора по поводу того, какая информация должна быть в Политике и как ее следует структурировать. Следование им значительно снижает риски получения предписания или штрафа, так как проверка со стороны Роскомнадзора будет осуществляться именно на соответствие этим установленным критериям.

Ключевые элементы, на которые Роскомнадзор рекомендует обратить особое внимание:

• Структура документа: Политика должна содержать четко выделенные разделы, такие как «Общие положения», «Цели обработки», «Правовые основания», «Состав и категории обрабатываемых данных» и другие.
• Конкретика вместо общих фраз: Для каждой цели обработки должен быть указан точный перечень данных, правовое основание, категории субъектов и сроки хранения.
• Правовые основания: Подчеркивается, что Федеральный закон № 152-ФЗ не является правовым основанием для обработки. Для каждой цели указать конкретную норму из ч. 1 ст. 6 152-ФЗ (согласие, договор, закон и т.д.).
• Взаимодействие с субъектами: В Политике должен быть детально прописан порядок реализации прав субъекта ПДн, включая процедуру отзыва согласия.
• Работа с третьими лицами: Обязательно раскрытие информации о передаче данных, включая трансграничную передачу, с указанием конкретных получателей и оснований.

Игнорирование этих методических рекомендаций Роскомнадзор расценивает как признак формального подхода к соблюдению законодательства о персональных данных, что ведет к повышенному вниманию при проверках.

Вывод: Используйте официальные Рекомендации Роскомнадзора как практический ориентир и проверочный чек-лист при создании или аудите вашей Политики конфиденциальности. Это позволит создать не просто формальный документ, а рабочий инструмент, соответствующий ожиданиям надзорного ведомства.

 

Разбор типичных ошибок в Политике и как их исправить

Здесь мы собрали самые частые и критичные ошибки, которые мы встречаем при аудите сайтов. Каждая из них — прямая дорога к предписанию или штрафу от Роскомнадзора.

Ошибка 1 — «копипаст» шаблона без адаптации

• Проблема: В Политике остались названия чужих компаний, несуществующие сервисы или цели обработки, которые не соответствуют реальной деятельности вашего бизнеса. РКН считает это предоставлением недостоверной информации.
• Решение: Проведите инвентаризацию всех процессов на вашем сайте, где собираются данные (формы заказа, обратной связи, подписки, корзина). Внесите в шаблон только те данные, цели и третьих лиц, которые используете именно вы.

Ошибка 2 — отсутствие информации об операторе, реквизитов документа

• Проблема: В документе не указаны полное наименование вашей компании, ИНН, ОГРН, юридический адрес и контакты для связи по вопросам ПДн. Также отсутствуют реквизиты самого документа (номер приказа, дата утверждения).
• Решение: Добавьте в раздел «Общие положения» все реквизиты вашей компании. Издайте приказ об утверждении Политики и укажите его номер и дату в начале документа.

Ошибка 3 – В политике не указаны  основания обработки

• Проблема: Непонятно, на каком основании вы обрабатываете данные. Упомянут только Федеральный закон № 152-ФЗ, который, как разъясняет РКН, не является правовым основанием.
• Решение: Для каждой цели обработки укажите конкретное основание из ч. 1 ст. 6 152-ФЗ. Например: «Обработка персональных данных для отправки заказа осуществляется на основании п. 5 ч. 1 ст. 6 152-ФЗ (исполнение договора)». Для рассылки — «...на основании п. 1 ч. 1 ст. 6 152-ФЗ (согласие субъекта)».

Ошибка 4 – В Политике нет целей обработки, категорий и перечня ПДн, категорий субъектов, способов и сроков обработки (п. 2 ч.1 ст 18.1 № 152-ФЗ)

• Проблема: Документ составлен общими фразами, что прямо нарушает требование закона о конкретности и достоверности информации.
• Решение: Добавьте в Политику структурированные разделы:
  • Цели: Список конкретных бизнес-задач.
  • Категории субъектов: Клиенты, подписчики, представители контрагентов.
  • Состав данных: Для каждой категории и цели — точный перечень данных (e-mail, телефон, ФИО и т.д.).
  • Сроки обработки: Конкретные периоды или условия удаления данных (например, «3 года с момента последней покупки»).

Ошибка 5 — нет механизма отзыва согласия и способов связи с оператором

• Проблема: Субъект ПДн не знает, как воспользоваться своими правами (отозвать согласие, уточнить данные). Это нарушение ст. 22 152-ФЗ.
• Решение: Добавьте в Политику отдельный раздел «Права субъекта ПДн». Четко опишите алгоритм действий для отзыва согласия и подачи запросов. Обязательно укажите актуальный e-mail и/или почтовый адрес, на который можно направить такое заявление.

Ошибка 6 - Политика противоречит данным в уведомлении РКН и реестре операторов

• Проблема: Цели обработки или перечень данных в Политике на сайте не совпадают с теми, что вы указали в Уведомлении, поданном в РКН.
• Решение: Запросите актуальную выписку из реестра операторов Роскомнадзора или найдите себя в нем через сайт РКН. Внесите правки в Политику на сайте, чтобы привести ее в полное соответствие с уведомлением.

Ошибка 7 – нет раздела о cookie и работе с метриками (если применимо)

• Проблема: Вы используете Яндекс.Метрику, Google Analytics или другие сервисы, которые собирают cookie (идентификаторы пользователей), но в Политике это никак не отражено.
• Решение: Добавьте раздел «Использование файлов cookie». Перечислите, какие именно cookie и с какой целью вы используете (например, аналитические, рекламные). Укажите, какие сторонние сервисы (Яндекс, Google) их обрабатывают.

Ошибка 8 – нет информации о передаче данных третьим лицам (если применимо)

• Проблема: Вы передаете данные клиентов логистическим компаниям, платежным агрегаторам, сервисам рассылок, но в Политике об этом ни слова.
• Решение: Создайте раздел «Передача персональных данных третьим лицам». Перечислите этих лиц, цели передачи и правовые основания.

Ошибка 9 – нет сведений о передаче ПДн за рубеж (если применимо)

• Проблема: Вы используете сервисы, чьи серверы находятся за пределами России (например, Google Analytics). Такая трансграничная передача требует отдельного раскрытия в Политике.
• Решение: Добавьте пункт о трансграничной передаче. Укажите, в какие страны и каким сервисам передаются данные. Обязательно убедитесь, что эти страны обеспечивают адекватную защиту прав субъектов ПДн (входят в утвержденный список РКН) или что передача основана на согласии субъекта.

 

Где разместить и как обновлять Политику конфиденциальности?

Разработать юридически безупречный текст — это только половина дела. Не менее важно обеспечить его доступность для пользователей и своевременно актуализировать.

• Требование закона: Согласно п. 2 ч. 1 и ч. 2 ст. 18.1 ФЗ-152, Политика конфиденциальности должна быть опубликована на сайте в открытом доступе. Особенно это касается тех страниц, где непосредственно собираются персональные данные (например, формы заказа, подписки или обратной связи).
• Лучшая практика: Разместите постоянную ссылку на Политику в футере (нижнем блоке) вашего сайта. Это стандартное и ожидаемое место, которое гарантирует, что документ будет доступен с любой страницы, а вы выполните требование закона без необходимости вручную отслеживать все точки сбора данных.
• Рядом с формами сбора данных (регистрация, подписка, обратная связь) — прямая ссылка и текст о том, что отправляя данные пользователь соглашается с политикой.

Актуализация документа

Политика конфиденциальности — это не статичный документ, а «живой». Вы обязаны обновлять ее при любых изменениях, в том числе при изменении целей или сроков хранения данных или при изменении законодательства.

Важное правило: Каждое обновление Политики должно сопровождаться изменением даты последнего обновления, которую необходимо указывать в начале документа. Это не только формальное требование, но и знак для пользователей и проверяющих органов о том, что вы следите за актуальностью документа.

 

 

 

 

Ответственный специалист

Кустов Василий Юрьевич

ответит на вопросы:

+7 (966) 240-71-17

г. Казань, ул. Спартаковская, д. 2 , этаж 2

 

 

Практический чек-лист для самопроверки

•  Адаптация: В тексте нет чужих названий и неиспользуемых сервисов.
•  Реквизиты: Указаны полное наименование, ИНН, ОГРН, адрес оператора и контакты для связи.
•  Основания: Для каждой цели обработки указано правовое основание из ст. 6 152-ФЗ.
•  Состав данных: Есть конкретные цели, перечни данных, категории субъектов и сроки обработки.
•  Права субъекта: Четко описан механизм отзыва согласия и подачи запросов.
•  Согласованность: Данные в Политике совпадают с уведомлением, поданным в Роскомнадзор.
•  Cookie: Если используются, есть раздел с их перечнем и указанием сервисов (Яндекс.Метрика и т.д.).
•  Третьи лица: Если данные передаются, все получатели перечислены.
•  Передача за рубеж: Если данные уходят за границу, этот факт указан в Политике.

 

Мы поможем вам сделать всё правильно и избежать рисков

Наша команда специализируется на защите бизнеса в цифровой среде. Мы не просто «составляем документы», а обеспечиваем полное правовое сопровождение вашей деятельности в интернете, чтобы вы могли спокойно развивать бизнес, не отвлекаясь на угрозы со стороны контролирующих органов.

Наши услуги в рамках данного направления:

1. Комплексный аудит сайта на соответствие 152-ФЗ «О персональных данных» и ФЗ «О рекламе». Мы проведем полную проверку вашего сайта, выявим все уязвимости и составим подробный отчет с пошаговым планом исправлений — точно такой, как был описан в этой статье.

2. Разработка индивидуальной Политики обработки ПДн.

   Мы не предлагаем шаблоны. Мы создаем уникальный документ, который:

   • На 100% соответствует новым рекомендациям Роскомнадзора.
   • Точно отражает все ваши бизнес-процессы по сбору и обработке данных.
   • Включает все обязательные разделы: от работы с cookie и метриками до передачи данных третьим лицам.
   • Юридически грамотно составлен и готов к любой проверке.

3. Разработка и интеграция всех необходимых форм согласий:

   • На обработку персональных данных для разных целей (заказ, обратная связь).
   • На получение рекламных рассылок (отдельное, в соответствии с ФЗ «О рекламе»).
   • На использование cookie-файлов.

4. Приведение в порядение всей сопутствующей документации:

   • Аудит и редактирование Публичной оферты для интернет-магазина.
   • Разработка Регламента по работе с обращениями субъектов ПДн.
   • Подготовка документов для уведомления Роскомнадзора.

Условия сотрудничества:

• Сроки: Разработка полного пакета документов (Политика + формы согласий) — от 2 рабочих дней.
• Стоимость: Мы предлагаем фиксированную стоимость, которая обсуждается заранее и не меняется в процессе работы. Вы точно знаете, во сколько вам обойдется безопасность.
• Результат: Вы получаете не просто файлы, а полностью готовые к публикации на сайте документы, составленные с учетом специфики вашей ниши и вашего бизнеса.
• Конфиденциальность: Все условия сотрудничества и полученная от вас информация защищены соглашением о конфиденциальности (NDA).

 

🎁 Бесплатная первичная консультация:
Закажите бесплатный 15-минутный анализ главной страницы вашего сайта. Мы быстро проверим наличие критичных нарушений и дадим первоначальные рекомендации.

📋 Получить коммерческое предложение:
Ответьте на несколько вопросов о вашем бизнесе, и мы подготовим для вас персональное КП с фиксированной стоимостью и сроками.

 

Частые вопросы (FAQ) по Политике конфиденциальности

Вопрос: Достаточно ли просто скачать готовый шаблон Политики из интернета?
Ответ: Нет, это самая распространенная и рискованная ошибка. Шаблоны часто содержат чужие названия сервисов и цели обработки, не соответствующие вашей деятельности. Роскомнадзор расценивает это как предоставление недостоверной информации. Шаблон можно использовать как основу, но его необходимо полностью переработать и адаптировать под свой бизнес.

Вопрос: Нужно ли каждый раз запрашивать согласие пользователя, если я обновил Политику?
Ответ: Нет, запрашивать новое согласие при каждом изменении не требуется. Однако вы обязаны уведомить пользователей о существенных изменениях (например, об изменении целей обработки или списка третьих лиц) и опубликовать новую редакцию Политики на сайте с указанием даты обновления. Продолжение использования сайта после такого уведомления обычно считается принятием новых условий.

Вопрос: Что важнее: Политика на сайте или уведомление, поданное в Роскомнадзор?
Ответ: Данные должны полностью совпадать. Если вы в уведомлении для РКН указали одну цель обработки, а на сайте в Политике — другую, это прямое нарушение. При проверке сверяются именно эти документы. В первую очередь приведите Политику на сайте в соответствие с реальными процессами, а затем актуализируйте уведомление в Роскомнадзоре.

Вопрос: Мы используем только cookie Яндекс.Метрики. Надо ли это прописывать?
Ответ: Да, обязательно. Cookie — это данные, которые позволяют идентифицировать пользователя, а значит, их сбор относится к обработке персональных данных. В Политике необходимо указать, какие cookie и сторонние сервисы (Яндекс.Метрика, Google Analytics и т.д.) вы используете и с какими целями.

Вопрос: Что будет, если вообще не публиковать Политику конфиденциальности?
Ответ: Отсутствие Политики на сайте, где собираются персональные данные, является прямым нарушением ч. 2 ст. 18.1 № 152-ФЗ. За это предусмотрена административная ответственность по ст. 13.11 КоАП РФ и может быть вынесен штраф до 100 тыс. рублей для юридических лиц.

 

Отзывы клиентов и благодарственные письма

 

 

ЗАКАЖИТЕ ЮРИДИЧЕСКИЕ УСЛУГИ  В  НАШЕЙ КОМПАНИИ

+79662407117

Telegram: https://t.me/Sofist_law

Мы работаем по предварительной записи пн-пт с 09 до 18

Юридическая компания "Софист" г. Казань, ул. Спартаковская, д. 2, этаж 2