Как составить политику конфиденциальности для сайта в 2025 году

Прежде чем говорить о политике конфиденциальности, разберем основные понятия, которые с ней связаны. 

• Закон от 27.07.2006 № 152-ФЗ «О персональных данных». Это свод правил для урегулирования взаимоотношений сторон — владельцев данных и компаний, ИП, которые эти данные используют в коммерческих или иных целях.

• Роскомнадзор — надзорный орган, который следит за соблюдением прав субъектов персональных данных и тем, как компании выполняют требования закона № 152-ФЗ. Например, отвечает ли компания на запросы субъектов персональных данных, проводит ли меры по предотвращению утечек данных.

• Оператор ПД — это компания или предприниматель, сведения о которых включены в специальный реестр, который ведет Роскомнадзор. Операторы работают с данными клиентов, потребителей, пользователей, соискателей, сотрудников и т. д.

• Субъект персональных данных — физическое лицо, чьи данные собирают, накапливают, хранят и обрабатывают. Причем действия с данными операторы могут выполнять только с согласия их владельцев. 

• Согласие на обработку ПД — это добровольное разрешение человека использовать его данные. Например, адрес нужен, чтобы доставить товар; email — для рассылок; сведения о состоянии здоровья — для оказания медицинской помощи. 

Вот мы и подошли к главному: политика конфиденциальности — это документ, который определяет:

• Чьи данные собирают и с какой целью. Допустим, онлайн-школа собирает ФИО и email пользователей, которые хотят пройти онлайн-обучение.

• Какие данные собирают — те, которые нужны для оказания услуги. Собирать лишнюю информацию операторы не имеют права. Например, для рассылки достаточно email. Запрашивать в этом случае адрес проживания — запрещено.

• Кто оператор ПД — это может быть интернет-магазин, банк, сервис по оформлению электронных подписей и т. д.

• Как оператор обеспечивает защиту информации — какие меры предпринимает в случае происшествий, в каких базах хранит данные, как уничтожает данные после прекращения обработки.

У политики конфиденциальности есть несколько названий: политика обработки персональных данных, политика приватности. Какое бы из этих названий вы ни встретили, суть у каждого из этих документов одна.

Примечание: политику конфиденциальности не стоит путать еще с одним важным документом — положением об обработке персональных данных. 

• Положение об обработке ПД — это документ, который разрабатывается компанией для внутреннего пользования. Его изучают сотрудники.

• Политика конфиденциальности — для всеобщего пользования. Компания обеспечивает к нему доступ всем заинтересованным лицам любым способом. 

Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными

Консультация

Если на сайте собирают данные для продажи товаров, оказания услуг, аналитики, обязательно должна быть политика конфиденциальности. Где ее опубликуют — неважно: это может быть ссылка в футере сайта или онлайн-страница, специально отведенная под политику.

Признаки сайта, на котором должна быть политика:

• форма для сбора данных — пользователи указывают ФИО, адреса проживания, email, дату рождения;

• форма регистрации — пользователи регистрируют аккаунт, личный кабинет;

• форма обратной связи — пользователи оставляют номера телефонов для консультаций, получения устных инструкций;

• форма для отзывов — пользователи оставляют свои комментарии на сайте, при этом под отзывом видна фотография и имя человека;

• файлы cookie — это формы, которые «запоминают» посетителя сайта и упрощают его действия, например, при повторном входе не нужно вводить логин и пароль.

Есть несколько способов разработать политику конфиденциальности:

1. Самостоятельно. В интернете можно найти массу примеров и образцов политики. Найдите максимально приближенный к вам документ и адаптируйте его под свое направление. 

2. В онлайн-сервисе. Речь идет о конструкторах для составления документов. Подготовьте данные — цели обработки, категории субъектов ПД, категории данных, порядок и условия обработки — и внесите их в любой онлайн-конструктор. Система автоматически создаст документ на основании предоставленных сведений.

3. Заказать у специалистов. 

Типового шаблона политики не существует — каждый оператор ПД адаптирует текст документа под свое направление и цели. Цель политики — сделать взаимоотношения между владельцами сайтов и посетителями прозрачными. Нельзя использовать расплывчатые формулировки — только четкий и понятный текст.

Можно взять структуру политики из рекомендаций Роскомнадзора и разработать документ для конкретного сайта. 

Обязательные пункты:

1. Общие положения. Это общая информация о политике — зачем разработан документ, какие определения в нем используются, обязанность операторов по составлению политики и предоставлению к ней публичного доступа. 

2. Цели сбора данных. Операторы могут собирать персональные данные только в целях своей деятельности. Например, если цель — рассылка информационных писем, то достаточно запросить у пользователей адрес электронной почты.

3. Основания сбора ПД. В этом пункте оператор ссылается на федеральные законы, внутренние регламенты, договор с пользователями. Согласие, полученное от владельца данных, — это тоже основание для сбора данных, поэтому его включают в этот раздел.

4. Категории ПД и субъектов данных. Здесь указывают, чьи данные собирают для дальнейшего использования — клиентов, покупателей, сотрудников, посетителей сайта. 

5. Порядок и условия обработки. Пользователи должны понимать, как их данные будут использоваться и в течение какого времени. Если обработка предполагает передачу третьим лицам, нужно указать для этого законные основания. Также разъясняются и условия трансграничной передачи — если третьи лица находятся за границей и им будет передаваться информация о субъекте ПД.

6. Права пользователей. Посетители сайта должны понимать, что согласие на обработку они дают добровольно, в любой момент могут его отозвать, а при необходимости — направить запрос на разъяснение непонятных моментов. 

7. Защита данных. Владельцы сайтов разъясняют, как они обеспечивают сохранность и безопасность данных, какие действия предпринимают в случае утечек, как и в какие сроки оповещают пользователя о происшествии.

8. Использование файлов cookie. Пользователей информируют, что с помощью файлов cookie сайт собирает информацию о них — дату и время посещения сайта, логин и пароль для входа, геолокацию. 

9. Условия уничтожения данных. Операторы уничтожают информацию о пользователях, когда прекращают использовать ПД. Например, в политике было сказано, что данные обрабатываются в течение 1 года, и этот срок истек. 

Отдельным пунктом в политике конфиденциальности можно прописать, что пользователь соглашается на передачу своих данных. Лучше вынести форму согласия на сайте отдельной плашкой или всплывающим баннером.

В заключительном разделе укажите контакты оператора, чтобы пользователь мог оперативно связаться и задать вопросы об использовании своих личных данных. 

Получить бесплатную консультацию по регистрации в Роскомнадзоре и подготовке документов для работы с персональными данными

Консультация

Из ч. 2 ст. 18.1 закона № 152-ФЗ следует, что оператор ПД должен обеспечить публичный доступ к политике, то есть любой желающий может с ней ознакомиться. Владельцы сайтов размещают политику на своем ресурсе.

Обычно в «подвале» (футере) сайта публикуют ссылку, которая ведет на отдельную страницу. Пользователь может перейти по этой ссылке и изучить документ. 

Рекомендация: обеспечьте максимальный доступ к политике. Разместите ссылку на документ не только на главной странице сайта, но и внизу каждой страницы, где пользователь совершает действие. Например, расположите документ в футере главной страницы сайта, на странице заказа товаров, в разделе «О компании». 

Если владелец сайта не опубликовал политику или не обеспечил к ней доступ, то штрафы следующие:

• от 10 тыс. до 20 тыс. руб. — на ИП;

• от 30 тыс. до 60 тыс. рублей — на организацию.

Будет неприятно, если вы разметили политику, но перестала работать ссылка. Скорее всего, доказать свою невиновность не получится, придется заплатить штраф.   

Политика конфиденциальности — это не статичный документ, он не разрабатывается раз и навсегда. Если в компании происходят изменения, то их нужно отразить в политике:

• добавляются новые категории субъектов ПД;

• меняются цели — например, раньше компания не использовала рассылки, а сейчас внедрила этот маркетинговый элемент в свои процессы;

• появляются новые внутренние регламенты (основания для сбора данных);

• появилась необходимость передавать ПД третьим лицам;

• изменилось законодательство.

При любой такой ситуации политику следует обновлять.

Главное о политике конфиденциальности для сайта в 2025 году:

1. Учтите свое направление. Например, политика конфиденциальности для интернет-магазина и онлайн-школы будет отличаться. У них разные цели, категории данных и пользователи.

 2. Укажите обязательные пункты:

• общие положения — термины и назначение документа;

• цели сбора ПД (запрещено собирать данные пользователей вразрез с целями обработки);

• основания для обработки — законы, локальные НПА, согласие пользователей, договор с владельцами данных;

• категории ПД и пользователей — клиенты, покупатели, соискатели.

• порядок и условия обработки — меры по защите данных, действия оператора в случае происшествий, сроки использования ПД;

• условия прекращения обработки и уничтожения данных.

3. Обеспечьте пользователям максимальный доступ к документу, как это требует ч. 2 ст. 18.1 закона № 152-ФЗ. Разместите ссылку в футере каждой страницы — на главной, на странице заказа, в важных разделах сайта и везде, где часто бывают пользователи. 

4. Обновляйте политику конфиденциальности каждый раз, когда происходят изменения в вашей компании или меняется законодательство. Например, появляется необходимость передачи данных третьим лицам или расширился список категорий субъектов ПД.

Политика конфиденциальности — это не единственный документ, который разрабатывают владельцы сайтов и остальные операторы ПД. Порой получается весьма «увесистый» комплект — зависит от целей компании, количества категорий субъектов ПД, наличия сотрудников и т.д. 

Если вы сомневаетесь, какие документы нужны именно вам, или затрудняетесь составить политику обработки ПД, специалисты «Роском Онлайн» готовы помочь. Закажите подготовку одного документа или всего комплекта под конкретное направление. На сайте можно скачать чек-лист — более 60 документов, соответствующих закону № 152-ФЗ, и ссылками на НПА. Если у вас остались вопросы, то запишитесь на бесплатную консультацию.

Читайте также:

• Работа с какими персональными данными обязывает пройти регистрацию в Роскомнадзоре.

• Обработка персональных данных: в чем суть этой обязанности операторов ПД.

• Оператор персональных данных: перечень обязанностей по 152-ФЗ.

Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным

Организуйте в своей компании работу с персональными данными согласно требованиям закона

Заполните форму и получите чек-лист:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFJpk46k