Политика конфиденциальности: как правильно защищать данные пользователей

21.10.2025

8 минут

Политика конфиденциальности: как правильно защищать данные пользователей

#коммуникация

#клиентская база

Содержание

Если компания собирает данные пользователей в интернете, то она обязана разместить на сайте политику конфиденциальности. Иначе бизнесу грозят штрафы или блокировка сайта.

Собрали в статье всё, что нужно знать об этом документе: зачем его разрабатывать, где размещать и как составить текст так, чтобы избежать штрафов.

Что такое политика конфиденциальности и зачем она нужна

Любая организация, которая работает с личной информацией в интернете, считается оператором. Одно из обязательных требований к ним — иметь на сайте политику конфиденциальности.

Политика конфиденциальности — это документ, который поясняет, как бизнес работает с персональными данными (ПДн) пользователей в интернете. К ним относится информация, которая прямо или косвенно соотносится с конкретным человеком. Это могут быть имена, email-адреса и даже обезличенные данные о поведении в интернете.

Например, система веб-аналитики собирает данные обо всех посетителях сайта, чтобы компания затем могла настроить рекламу на этих пользователей. И хотя посетители не оставляют свои контакты, компания всё равно обрабатывает их персональные данные и использует информацию для маркетинговых целей.

Работу с личной информацией регулирует закон № 152-ФЗ «О персональных данных». Именно он обязывает опубликовать текст политики конфиденциальности на сайте и сделать так, чтобы доступ к документу был у любого пользователя.

Какому бизнесу необходима политика конфиденциальности

Политика конфиденциальности нужна, например, если:

Пользователь на сайте проходит регистрацию. Когда для входа нужен аккаунт, и от человека требуются личные данные.
Покупатель оформляет заказ в интернет-магазине или сервисе доставки. Для этого пользователь заполняет форму, где нужно указать адрес и прочие персональные данные.
Система веб-аналитики собирает информацию о действиях человека. Политика также нужна, если сайт обрабатывает cookie-файлы.
Рекомендательные алгоритмы помогают сделать выбор. Потому что для этого они собирают данные о поведении пользователей.
Вы получаете контакты через форму регистрации, обратной связи или подписки на рассылку. Даже простой вариант, где нужно ввести только имя и email, обязывает опубликовать документ.

Собрать контакты для рассылки по всем правилам поможет омниканальная CDP Sendsay. В ней можно создать на сайте форму подписки, добавив чекбокс со ссылкой на политику конфиденциальности и пользовательское соглашение.

Из формы данные пользователей попадают в единую базу, чтобы затем компания могла использовать информацию для рассылок по email, через SMS и мессенджеры.

→ Попробовать бесплатно

Почему политика конфиденциальности важна

Статистика показывает, что в России есть проблемы с хранением персональных данных.

1,5 млн записей с личными данными россиян попали к злоумышленникам в 2024 году

На 30% за год выросло количество утечек ПДн

48% жителей РФ считают, что скорее не защищены от утечки персональной информации

Политика конфиденциальности — один из инструментов, который помогает защитить персональные данные. Благодаря ему люди и госведомства понимают, как бизнес ведёт работу с личной информацией.

Пример политики на сайте платформы Sendsay

Пользователи знают, какие данные и зачем собирает организация. Это повышает уровень доверия: например, люди меньше опасаются оставлять контакты через формы обратной связи. Как следствие, это может увеличить конверсию в нужное действие и укрепить репутацию.
Ниже риск штрафа или блокировки сайта. Роскомнадзор регулярно проверяет, как организации соблюдают закон «О персональных данных». Если на сайте нет политики, компания заплатит штраф или столкнётся с временной блокировкой сайта до устранения нарушения.
Предприятие может вести бизнес с пользователями из других стран, если политика конфиденциальности соответствует Генеральному регламенту о защите данных (GDPR). Этот документ помогает сохранить персональные данные людей в Евросоюзе.

Что будет, если нет политики конфиденциальности

Штрафы. Если документа нет на сайте, то можно получить штраф:

для физлиц — от 1,5 до 3 тыс. рублей;
должностные лица — от 6 до 12 тыс. рублей;
ИП — от 10 до 20 тыс. рублей;
юрлица — от 30 до 60 тыс. рублей.

Отдельные штрафы предусмотрены, если не уведомить Роскомнадзор о начале обработки персональных данных. Подробнее об этом рассказывали в статье «Как маркетологу работать по 152-ФЗ и не потерять клиентов».

Блокировка сайта. Если Роскомнадзор выявил нарушения, по решению суда госорганы могут внести сайт в реестр нарушителей и заблокировать.

Как составить политику конфиденциальности

Универсального текста не существует — компании или предпринимателю нужно создать документ самому. Для этого есть три основных способа.

С помощью юристов. Чтобы учесть специфику компании и все тонкости законодательства, лучше разрабатывать политику с опытными юристами. Так меньше вероятность что-то напутать и получить штраф.
По шаблону. Можно взять за образец политику конфиденциальности другой компании и адаптировать её. Но лучше, чтобы юристы доработали и проверили текст. Бизнес даже внутри одной отрасли может различаться — если не учесть нюансы, есть риск не пройти проверку Роскомнадзора и заплатить штраф.
В конструкторе. Есть генераторы политики конфиденциальности, которые упрощают процесс её создания. Нужно заполнить информацию о компании, и сервис автоматические поставит данные в шаблон. Примеры таких конструкторов: Tilda, ProfiSet, A-position.

Так в Tilda выглядит форма, которую нужно заполнить

В конструкторе ProfiSet в полях необходимо написать название сайта, компании и страну, а потом выбрать виды ПДн

В конструкторе от A-position меньше полей, чем в других генераторах

Что должно быть в политике конфиденциальности

Роскомнадзор рекомендует писать политику простым языком без канцеляризмов. В тексте нужно рассказать:

для каких целей компания обрабатывает данные;
каким будет объём ПДн;
планирует ли бизнес передавать данные третьим лицам;
через какое время удалит личную информацию.

Яндекс написал политику простым языком и сделал навигацию по разделам

Подробные рекомендации Роскомнадзор собрал в отдельном документе. Разберём подробнее каждый пункт.

Общие положения

Во вводном разделе нужно указать, зачем нужна политика, какие права и обязанности закрепляет документ, какие понятия встречаются в тексте. Например, нужно объяснить, что такое обработка персональных данных, оператор, субъект.

Так начинается политика в Tilda

Цели сбора персональных данных

Зависят от того, что компания планирует делать с персональными данными. Например, личная информация нужна бизнесу, чтобы:

предоставлять доступ к сервисам или материалам на сайте;
заключать, исполнять и прекращать действие договоров;
отправлять электронные письма.

Правовые основания

Это юридические документы об обработке ПДн. Например:

федеральные законы и нормативные акты, которые касаются работы компании или ИП;
устав организации;
договоры между оператором и субъектом персональных данных.

Объём персональных данных

Важно, чтобы содержание и объём персональных данных отвечали целям, которые обозначены в пункте выше. Это значит, что оператор не должен запрашивать и обрабатывать больше информации, чем ему нужно.

Например, если компании для обратного звонка нужен только телефон, не стоит запрашивать ссылки на аккаунты в мессенджерах.

Категории субъектов персональных данных

В законе нет списка категорий, на которые можно разделить субъектов ПДн — то есть людей, чьи данные обрабатывает компания. Оператор сам определяет, какие категории обозначить в политике. Например, «посетители сайта» или «соискатели, которые откликаются на вакансии в интернете».

Роскомнадзор рекомендует перечислить для каждой категории все виды персональных данных, которые обрабатывает оператор. Например, информацию о посетителях сайта он собирает, записывает и хранит, а контакты соискателей может ещё и передавать третьим лицам — в рекрутинговую компанию.

Порядок и условия обработки персональных данных

В этом разделе стоит перечислить список действий с ПДн, способы обработки и сроки. Подробнее — в инфографике ниже.

Что можно делать с ПДн	Способы обработки	Сроки обработки
Собирать; записывать; систематизировать; накапливать; хранить; уточнять: обновлять или изменять; извлекать; использовать; передавать: распространять, предоставлять, давать доступ; обезличивать; блокировать; удалять; уничтожать	Автоматизированный — в цифровом формате. Неавтоматизированный — на бумажных носителях	Дата с указанием числа, месяца и года или условие, после которого обработка ПДн прекратится

Исправление или удаление ПДн

Когда компания достигает целей, для которых собирает информацию, или пользователь отзывает согласие на её обработку, оператор должен уничтожить персональные данные.
Если данные неточные, оператор имеет право их обновить.

Информацию об этом следует включить в политику. Так пользователь будет знать, когда оператор обязан удалить ПДн или как действует для их обновления.

Ответы на запросы

Субъект ПДн или его представитель может запросить информацию о том, как обрабатываются его персональная информация. В этом случае компания обязана сообщить, что это за данные, и дать к ним доступ.

Роскомнадзор рекомендует разработать и включить в политику конфиденциальности один или несколько регламентов, которые объясняют, как отвечать на такие запросы.

Отрывок из регламента частной клиники

Где разместить политику конфиденциальности

По закону доступ к политике должен быть неограниченным — её нужно разместить так, чтобы любой пользователь интернета мог прочитать документ. Для этого:

Добавьте политику на каждую страницу, где собираете персональные данные. Например, можно разместить ссылку на неё в подвале сайта — тогда документ будет виден на всех страницах сайта.
Продумайте удобный формат, чтобы посетитель смог открыть политику на любом устройстве. Важно: документ должен быть доступен без скачивания.
Добавьте ссылку к каждой форме сбора персональных данных.

Так выглядит чекбокс при регистрации в сервисе Kaiten

В чём разница между политикой конфиденциальности и пользовательским соглашением

Политику иногда путают с другим обязательным документом — пользовательским соглашением. Это происходит потому, что в законе не указано, как именно назвать документ о работе с персональными данными.

Разница между ними в содержании: в политике бизнес просто описывает, зачем ему персональные данные посетителей, а в пользовательском соглашении регламентирует правила пользования сайтом. По сути, это договор с посетителем ресурса. Согласно закону, на сайте нужно опубликовать оба документа.

В таблице ниже собрали примеры, как стоит назвать политику.

✅ Правильно	❌ Неправильно
Политика конфиденциальности; политика обработки персональных данных; политика в отношении обработки персональных данных	Согласие на обработку персональных данных; пользовательское соглашение

Wildberries разместил на отдельной странице глобальную политику конфиденциальности, политику обработки персональных данных и пользовательское соглашение

Коротко о политике конфиденциальности

Если бизнес собирает персональные данные в интернете, нужна политика конфиденциальности — этого требует закон «О персональных данных».
Когда бизнес начинает обрабатывать данные пользователей, об этом следует сообщить в Роскомнадзор.
Если нарушить закон о персональных данных, можно получить штраф или уведомление о блокировке сайта.
Создать политику конфиденциальности можно с помощью юристов или воспользоваться шаблоном в конструкторе.
Документ нужно размещать на каждой странице, где компания или ИП собирают данные о пользователях.