Политика конфиденциальности — обязательный документ для любого сайта, где есть формы, подписки, аналитика или cookies. Её отсутствие — штраф до 100 000 ₽ для ООО и до 20 000 ₽ для ИП по ч. 3 ст. 13.11 КоАП РФ. В этой статье — полный шаблон, разбор 11 обязательных разделов и советы, как не получить штраф.
Просто скопировать политику с другого сайта — плохая идея. Чужой документ не описывает ваши цели, данные и процессы. Если РКН придёт на проверку, а в политике будут несоответствия реальности — это отдельное нарушение.
Зачем нужна политика конфиденциальности
По закону (152-ФЗ, ст. 18.1) оператор персональных данных обязан:
- Опубликовать политику обработки ПД
- Сделать её доступной на сайте (ссылкой в футере)
- Описать в ней конкретно: кто оператор, какие данные собирает, зачем, как хранит, как уничтожает, и каковы права пользователя
11 обязательных разделов политики
Это структура, которую требует 152-ФЗ. Если какого-то раздела нет — политика неполная и считается отсутствующей для целей закона.
1. Наименование оператора
Полное наименование организации, ОГРН/ОГРНИП, ИНН, юридический адрес. Для ИП: ФИО целиком, ИНН, адрес.
2. Цели обработки
Конкретные цели, для которых вы собираете данные: заключение договора, рассылка уведомлений, аналитика сайта, маркетинг. Расплывчато писать «для развития бизнеса» нельзя.
3. Перечень обрабатываемых данных
Категории данных: ФИО, email, телефон, адрес, cookies, IP, User-Agent, поведенческие данные. Нужно именно перечислить — не общими словами.
4. Правовое основание
Указать, на каком основании вы обрабатываете ПД. Варианты:
- Согласие субъекта (самый частый случай)
- Исполнение договора (купля-продажа, оказание услуг)
- Законный интерес оператора
- Исполнение закона (например, хранение чеков 3 года)
5. Способы обработки
Автоматизированная, неавтоматизированная или смешанная. Практически всегда — смешанная: часть обрабатывается вручную, часть программами.
6. Сроки хранения
Сколько храните ПД. Для большинства случаев — до достижения цели обработки, но не более 3 лет с последнего взаимодействия с клиентом.
7. Порядок уничтожения
Описание того, как вы уничтожаете данные по истечении срока или по запросу субъекта. Максимальный срок уничтожения — 30 дней с момента запроса.
8. Права субъекта ПД
Перечислить права пользователя:
- Получить информацию о том, какие данные вы храните
- Требовать уточнения, блокирования или удаления
- Отозвать согласие на обработку
- Обжаловать действия оператора в Роскомнадзор
9. Контакты ответственного за обработку ПД
ФИО, email, телефон лица, ответственного за организацию обработки ПД. Для ИП — сам ИП. Для ООО — обычно директор или назначенный приказом сотрудник.
10. Передача данных третьим лицам
Указать, кому передаёте данные:
- Яндекс.Метрика, Google Analytics (аналитика)
- Платёжные системы
- Службы доставки
- CRM-системы
- Email-рассыльщики
Также: осуществляется ли трансграничная передача (обычно — нет).
11. Меры защиты данных
Организационные и технические меры: HTTPS, ограничение доступа, регулярное обновление ПО, антивирусы, обучение сотрудников.
Проверьте свой сайт бесплатно
Введите адрес — за 30 секунд покажем все нарушения и суммы штрафов.
Готовый шаблон политики конфиденциальности
Ниже — базовый шаблон, который вы можете адаптировать под свой сайт. Замените значения в квадратных скобках на свои.
Шаблон — это старт, а не финиш. После подстановки ваших данных проверьте, что все 11 обязательных разделов реально есть, а цели и перечень данных соответствуют вашему сайту.
1. Общие положения
Настоящая Политика обработки персональных данных определяет порядок обработки и защиты персональных данных пользователей сайта [адрес]. Оператором ПД является [полное наименование], ИНН [ИНН], ОГРН [ОГРН], адрес [юридический адрес].
2. Цели обработки
Оператор обрабатывает ПД в следующих целях: [перечислить — заключение договоров, ответы на обращения, аналитика, маркетинг и т.д.].
3. Перечень ПД
Оператор обрабатывает: ФИО, email, телефон, адрес, IP-адрес, данные cookie, User-Agent, данные об устройстве и поведении на сайте.
... и так далее для всех 11 разделов.
Полный текст шаблона и генератор политики под ваш сайт мы выложим отдельно. А пока проверьте, есть ли у вашей текущей политики все 11 разделов — через форму ниже. Сервис подсветит пробелы.
Где разместить политику
- Отдельная страница. Стандартно — по адресу
/privacyили/policy. - Ссылка в футере сайта на каждой странице.
- Ссылка рядом с каждой формой, где собираются ПД — это требование, а не рекомендация. Без этого штраф до 100 000 ₽ отдельно за нарушение ч. 3 ст. 13.11.
Частые ошибки в политике конфиденциальности
- Копия с другого сайта без правок. Названия компании, ИНН и адреса не совпадают с реальностью — это грубое нарушение.
- Нет контактов ответственного. Пользователь не может реализовать свои права.
- Не перечислены сервисы аналитики. Если не упомянуты Яндекс.Метрика и Google Analytics, но вы их используете — это передача ПД третьим лицам без основания.
- Размытые формулировки целей. «Для улучшения качества сервиса» — недостаточно конкретно.
- Устаревшие сроки. «Хранятся бессрочно» — незаконно. Должны быть конкретные сроки.
Политика для Tilda, WordPress и других платформ
Платформы вроде Tilda предлагают готовые генераторы политики — это удобно, но их шаблоны часто неполные (не все 11 разделов). Проверьте сгенерированный текст по списку выше. Наш сервис бесплатно просканирует сайт (в том числе на Tilda) и покажет, каких разделов не хватает.