Если на сайте есть форма заявки, обратной связи, регистрации, подписки, оплаты, комментариев, личный кабинет, онлайн-чат или счетчики аналитики, владельцу сайта почти всегда нужна политика обработки персональных данных. Закон обязывает оператора опубликовать или иначе обеспечить неограниченный доступ к документу, который определяет его политику в отношении обработки персональных данных, а если данные собираются через интернет, доступ к политике должен быть обеспечен на страницах сайта, где идет сбор данных.
Проще говоря, если сайт собирает имя, телефон, email, адрес доставки, IP-адрес, cookie, данные заказа или любую информацию, по которой можно прямо или косвенно определить человека, политику лучше разместить. Это не «бумажка для галочки», а базовый документ, который проверяет Роскомнадзор, пользователи, контрагенты и иногда рекламные площадки.
Кому нужна политика персональных данных
Политика нужна не только крупным компаниям. Она нужна интернет-магазину, юридической фирме, клинике, онлайн-школе, сервису записи, сайту с формой «оставьте телефон», лендингу с заявками, блогу с подпиской и даже небольшому сайту ИП, если через него собираются данные посетителей.
Оператором персональных данных может быть компания, ИП, госорган или физлицо, если они организуют или осуществляют обработку персональных данных и определяют цели такой обработки. Поэтому логика простая: если вы решаете, зачем собираете имя, телефон и email посетителя, вы оператор.
Частая ошибка - думать, что политика не нужна, если сайт только «передает заявку менеджеру». Но именно в этот момент данные уже собираются и используются: их получает сайт, CRM, почта, мессенджер, оператор хостинга, сервис рассылок или телефонии. Значит, пользователю нужно заранее объяснить, кто и зачем обрабатывает его данные.
Политика и согласие - это не одно и то же
Политика обработки персональных данных - это информационный документ. В ней владелец сайта рассказывает, какие данные собирает, для каких целей, на каком основании, как хранит, кому передает и как пользователь может реализовать свои права.
Согласие на обработку персональных данных - это отдельное волеизъявление пользователя. Обычно его получают через чекбокс под формой: «Даю согласие на обработку персональных данных и соглашаюсь с политикой обработки персональных данных». Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
Нельзя заменять согласие одной ссылкой на политику. Политика объясняет правила, а согласие подтверждает, что человек разрешил обработку для конкретной цели. Например, для заявки на обратный звонок - одно согласие, для рекламной рассылки - отдельное. Особенно осторожно нужно быть с маркетингом: пользователь может согласиться на обработку данных для ответа на заявку, но это не значит, что ему можно бесконечно отправлять рекламу.
Что написать в политике обработки персональных данных
Универсальной формы политики нет, но есть обязательная логика. Документ должен быть понятен обычному пользователю и отражать реальную работу сайта, а не абстрактный шаблон «мы можем обрабатывать все что угодно в любых целях».
В политике обычно указывают:
- кто является оператором: название компании или ФИО ИП, ИНН, адрес, контакты;
- какие персональные данные собираются: имя, телефон, email, адрес, cookie, IP, данные заказа;
- цели обработки: ответ на заявку, заключение договора, доставка, регистрация, поддержка, рассылка;
- правовые основания обработки: согласие, договор, законная обязанность оператора;
- какие действия совершаются с данными: сбор, запись, хранение, уточнение, использование, передача, удаление;
- кому данные могут передаваться: хостинг, CRM, сервис рассылок, платежный агрегатор, курьерская служба;
- сроки хранения данных;
- права пользователя: запросить сведения, уточнить данные, отозвать согласие, потребовать удаления;
- порядок обращения к оператору;
- меры защиты данных;
- порядок изменения политики.
Если сайт использует cookie, метрики, пиксели, виджеты соцсетей или онлайн-чат, это тоже лучше описать. Сейчас многие проверки начинаются именно с сайта: есть форма, есть сбор cookie, но нет понятного уведомления и ссылки на политику.
Для внутренней настройки процессов полезно не только разместить политику, но и назначить ответственного за персональные данные. У нас на сайте есть подходящий документ - приказ о назначении ответственного за обработку персональных данных. Он пригодится компаниям, где заявки с сайта попадают в отдел продаж, кадровую службу, бухгалтерию или службу поддержки.
Где разместить политику на сайте
Ссылка на политику должна быть доступна пользователю до отправки данных. Самый безопасный вариант - разместить ее в подвале сайта и рядом с каждой формой, где человек вводит данные. Если форма находится на странице заявки, подписки, оплаты или регистрации, ссылка должна быть прямо возле кнопки отправки.
Плохой вариант: политика лежит где-то в разделе «Документы», но под формой ее нет. Еще хуже - когда форма собирает телефон, а рядом написано только «Нажимая кнопку, вы соглашаетесь с условиями», без ссылки на документ и без отдельного согласия.
Хорошая формулировка под формой может выглядеть так: «Нажимая кнопку, я даю согласие на обработку персональных данных и подтверждаю, что ознакомлен с Политикой обработки персональных данных». Слова «согласие» и «политика» лучше сделать ссылками на отдельные документы или хотя бы на отдельные страницы.
Нужно ли уведомлять Роскомнадзор
Во многих случаях оператор должен уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки. Уведомление можно сформировать и направить через портал персональных данных Роскомнадзора, в том числе с использованием ЕСИА: для электронной отправки нужна подтвержденная учетная запись, а при подаче от организации учетная запись должна быть привязана к этой организации на Госуслугах.
На портале Роскомнадзора есть электронные формы уведомлений, включая уведомление о намерении осуществлять обработку персональных данных, об изменении сведений и о прекращении обработки.
Не стоит думать так: «У меня маленький сайт, значит, РКН меня не найдет». Проверки могут начинаться с жалобы пользователя, утечки, рекламы, рассылки или автоматического анализа сайта. Если у вас есть формы сбора данных, политика и уведомление должны соответствовать реальности.
Что делать с отзывом согласия
Пользователь вправе отозвать согласие на обработку персональных данных. Поэтому в политике нужно написать, куда направлять такие обращения: email, почтовый адрес, форма обратной связи, личный кабинет. После отзыва оператор должен прекратить обработку, если нет другого законного основания продолжать ее, например обязанности хранить документы по налоговому или бухгалтерскому законодательству.
На сайте полезно заранее указать понятный порядок: как пользователь может запросить сведения о своих данных, исправить их, отозвать согласие или потребовать удаления. Для примера структуры обращения можно использовать отзыв согласия на обработку персональных данных. Если речь о споре с организацией, подойдет и жалоба на обработку персональных данных.
Важно! Этот документ можно скачать в КонсультантПлюс
Скачать в КонсультантПлюсБесплатный доступ к документуГлавный документ для сайта - не жалоба и не отзыв, а сама политика. Если нужно подготовить комплект под свой сайт, можно начать с шаблона политики, затем адаптировать его под формы, рассылки, CRM, платежи и cookie.
Какие штрафы грозят
Штрафы по персональным данным зависят от нарушения. За отсутствие опубликованной политики или непредоставление доступа к ней применяют статью 13.11 КоАП РФ. По одной из распространенных частей этой статьи штраф для юридических лиц составляет от 30 000 до 60 000 рублей, а при отдельных нарушениях обязанности предоставить информацию субъекту - от 40 000 до 80 000 рублей. Точные суммы зависят от состава нарушения и статуса нарушителя.
За обработку персональных данных без согласия, когда такое согласие обязательно, штрафы значительно выше. Для юридических лиц по статье 13.11 КоАП РФ могут применяться суммы от сотен тысяч рублей, а при повторности - еще больше. Поэтому опасно просто поставить форму заявки без чекбокса и надеяться, что «все так делают».
Отдельно нужно помнить про уведомление Роскомнадзора. С 2025 года появились специальные составы ответственности: для коммерческих организаций и ИП штраф за нарушение обязанности уведомить о намерении обрабатывать персональные данные составляет 100 000 - 300 000 рублей, а за нарушение обязанности уведомить об утечке персональных данных - 1 000 000 - 3 000 000 рублей.
Самые крупные риски связаны с утечками. В статье 13.11 КоАП РФ появились отдельные штрафы за утечки персональных данных, размер которых зависит от масштаба инцидента. Для юридических лиц по крупным утечкам штрафы могут достигать миллионов рублей, а для самых серьезных случаев предусмотрен оборотный штраф от 1 до 3 процентов выручки, но не менее 20 млн и не более 500 млн рублей.
Если утечка уже произошла, оператор должен уведомить Роскомнадзор: первично - в течение 24 часов, с указанием информации об инциденте, предполагаемых причинах, возможном вреде, принятых мерах и лице для взаимодействия с регулятором.
Как избежать проблем с Роскомнадзором
Для небольшого сайта минимальный безопасный набор выглядит так: политика обработки персональных данных, согласие под каждой формой, отдельное согласие на рекламу и рассылки, уведомление Роскомнадзора при необходимости, порядок обработки обращений пользователей и понятное хранение данных.
Не копируйте политику конкурента без проверки. В чужом документе могут быть платежные сервисы, CRM, цели обработки и адреса, которых у вас нет. А у вас, наоборот, может быть онлайн-чат, рассылка или аналитика, которых в шаблоне не указали.
Проверьте сайт глазами пользователя. На каждой форме должно быть понятно, какие данные он передает, зачем, кому и где прочитать правила. Если есть галочка, она не должна быть заранее проставлена. Если есть рассылка, согласие на нее лучше отделить от обычной заявки.
Частые ошибки владельцев сайтов
Самая частая ошибка - разместить «Политику конфиденциальности» из интернета, где не указаны реальные оператор, ИНН, адрес, цели и сервисы. Такой документ создает иллюзию защиты, но при проверке быстро разваливается.
Вторая ошибка - один общий чекбокс на все случаи. Пользователь хочет получить консультацию, а его одновременно подписывают на рекламу, передают данные партнерам и включают в рассылку. Лучше разделять цели: заявка отдельно, реклама отдельно, cookie отдельно.
Третья ошибка - забыть про работников и клиентов вне сайта. Если компания обрабатывает персональные данные сотрудников, покупателей, подрядчиков и пользователей сайта, внутренние документы должны соответствовать всем этим процессам. Для кадровых и организационных вопросов можно использовать служебную записку о назначении ответственного за обработку персональных данных и приказ о создании комиссии по уничтожению персональных данных.
FAQ: политика обработки персональных данных на сайте
Нужна ли политика персональных данных, если на сайте только форма обратной связи?
Да, если через форму собираются имя, телефон, email или другие данные посетителя. Пользователь должен заранее видеть, кто и зачем будет обрабатывать его данные.
Можно ли назвать документ «Политика конфиденциальности»?
Можно, но лучше использовать официальный термин «Политика обработки персональных данных». Название «политика конфиденциальности» допустимо в быту, но внутри документа нужно раскрыть именно обработку персональных данных по 152-ФЗ.
Достаточно ли одной политики без чекбокса согласия?
Обычно нет. Политика информирует пользователя, а согласие подтверждает разрешение на обработку. Под формами лучше ставить отдельный чекбокс с ссылкой на политику и текст согласия.
Нужно ли уведомлять Роскомнадзор, если сайт маленький?
Размер сайта сам по себе не освобождает от обязанностей оператора. Если вы собираете персональные данные и не попадаете в исключение, уведомление Роскомнадзора может потребоваться до начала обработки.
Какой штраф за отсутствие политики на сайте?
Размер зависит от состава нарушения и статуса лица. По статье 13.11 КоАП РФ штрафы для организаций за нарушения в сфере персональных данных могут начинаться с десятков тысяч рублей, а за более серьезные нарушения, например обработку без согласия, неуведомление Роскомнадзора или утечку, доходить до миллионов рублей.