Как самостоятельно подготовить политику обработки персональных данных

Иван Корнев·07.05.2026·5 мин

Политика обработки персональных данных (ПОПД) — это обязательный публичный документ, который объясняет пользователям, какие их данные собирает сайт, зачем и как они защищаются. Чтобы подготовить корректный документ, нужно описать реальные процессы сбора информации (формы, cookies, аналитика), определить правовые основания (согласие, договор) и прописать порядок реализации прав пользователей на доступ и удаление данных. Отсутствие или неактуальность этого документа влечет штрафы со стороны регуляторов (в РФ — Роскомнадзора).

Зачем сайту нужна политика конфиденциальности

Документ выполняет две ключевые функции: юридическую и репутационную. С точки зрения закона (например, 152-ФЗ в России или GDPR в Европе), оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных. Это требование ст. 18.1 152-ФЗ.

Для бизнеса наличие понятной политики:

  • Снижает риски штрафов. Регуляторы проверяют наличие документа и его соответствие фактическим действиям сайта.
  • Повышает конверсию. Пользователи охотнее оставляют контакты, если видят прозрачные условия их использования.
  • Упрощает модерацию. Наличие политики часто требуется для подключения платежных систем, рекламных кабинетов и прохождения проверок app store.

Важно: Политика должна быть доступна с любой страницы сайта, обычно через ссылку в «подвале» (footer). Документ должен быть актуальным на момент сбора данных.

Структура идеального документа

Хотя закон не утверждает жесткого шаблона, практика показывает, что полноценная политика должна содержать следующие разделы. Вы можете использовать эту структуру как основу для своего «конструктора».

1. Общие положения

Здесь указывается:

  • Название компании или ФИО ИП (оператор данных).
  • Адрес и контакты для связи.
  • Цель документа (соблюдение прав субъектов персональных данных).
  • Определение терминов (что считается «персональными данными», «обработкой», «сайтом»).

2. Какие данные мы собираем

Перечислите конкретные категории данных. Избегайте общих фраз вроде «вся информация о пользователе». Лучше разбить на группы:

  • Предоставляемые пользователем: имя, email, телефон (при регистрации или заказе).
  • Автоматически собираемые: IP-адрес, данные cookies, тип браузера, геолокация (если используется).
  • Специальные категории: если вы собираете данные о здоровье, биометрию или политические взгляды (требует отдельного явного согласия).

3. Цели обработки

Для каждой категории данных укажите цель. Закон запрещает собирать данные «про запас».

  • Пример: Email собирается для отправки чеков и уведомлений о статусе заказа.
  • Пример: IP-адрес обрабатывается для обеспечения безопасности сайта и предотвращения атак.
  • Пример: Телефон нужен для курьерской доставки.

4. Правовые основания

Укажите, на основании чего вы обрабатываете данные:

  • Согласие субъекта (галочка в форме).
  • Исполнение договора (оферты).
  • Законные интересы оператора (аналитика, безопасность).
  • Требования законодательства (бухгалтерский учет).

5. Передача данных третьим лицам

Честно опишите, кому вы передаете данные. Это не нарушение, если передача необходима для оказания услуги.

  • Обработчики: хостинг-провайдеры, CRM-системы, сервисы рассылок, платежные шлюзы.
  • Госорганы: только по официальному запросу в случаях, предусмотренных законом.

Риск: Если вы используете зарубежные сервисы (например, аналитику или облачное хранение), убедитесь, что это не нарушает требования о локализации баз данных (для РФ первичный сбор должен происходить на серверах в России).

6. Сроки хранения

Укажите конкретные сроки или критерии их определения.

  • Плохо: «Храним сколько нужно».
  • Хорошо: «Данные учетной записи хранятся до момента ее удаления пользователем. Данные о заказах — 5 лет в соответствии с налоговым законодательством».

7. Права пользователя

Опишите механизм реализации прав:

  • Как запросить копию своих данных.
  • Как исправить неточности.
  • Как отозвать согласие на обработку (и что произойдет после отзыва, например, удаление аккаунта).
  • Контакты ответственного лица (DPO или юриста).

8. Использование Cookies

Кратко опишите, какие типы cookies используются (технические, аналитические, маркетинговые) и как пользователь может их отключить в настройках браузера.

Пошаговый алгоритм создания документа

Чтобы собрать политику как конструктор, выполните следующие шаги:

  1. Аудит точек сбора. Пройдите по всем формам на сайте (регистрация, подписка, корзина, обратный звонок). Запишите, какие поля запрашиваются.
  2. Проверка сторонних скриптов. Посмотрите, какие сервисы подключены к сайту (Яндекс.Метрика, Google Analytics, онлайн-чаты, пиксели соцсетей). Они также собирают данные.
  3. Формулировка целей. Для каждого пункта из шага 1 и 2 напишите, зачем вам эти данные. Если цели нет — уберите сбор данных.
  4. Выбор шаблона. Возьмите за основу типовую структуру (см. выше) и заполните её своими данными. Не копируйте политику конкурентов слепо — их процессы могут отличаться.
  5. Юридическая вычитка. Проверьте текст на соответствие текущему законодательству вашей юрисдикции.
  6. Публикация. Разместите документ на отдельной странице (например, /privacy-policy) и добавьте ссылку в футер и под всеми формами сбора данных.

Частые ошибки при составлении

ОшибкаПочему это плохоКак исправить
Копирование чужого документаВ тексте останутся названия чужих компаний, сервисов или неактуальные законы.Используйте свой реальный список сервисов и данных.
Отсутствие механизма отзываПользователь не понимает, как удалить данные. Это прямое нарушение прав субъекта.Добавьте email для запросов на удаление и опишите процедуру.
Размытые формулировкиФразы «мы можем передавать данные партнерам» без уточнения, каким именно, вызывают недоверие и вопросы регуляторов.Перечислите категории партнеров (логистика, платежи) или конкретные компании.
Игнорирование CookiesСбор технических данных без уведомления считается незаконным во многих юрисдикциях.Добавьте раздел о cookies или ссылку на Cookie Policy.

FAQ: Вопросы о политике конфиденциальности

Нужно ли получать отдельное согласие на каждый пункт политики? Нет, достаточно одного общего согласия (например, проставление галочки «Я согласен с политикой обработки персональных данных») при первом действии на сайте. Однако для специальных категорий данных или маркетинговых рассылок лучше получать отдельное, явное согласие.

Что будет, если не опубликовать политику? В РФ штраф для юридических лиц по ст. 13.11 КоАП может составлять от 60 000 до 500 000 рублей и выше, в зависимости от тяжести нарушения. Также возможна блокировка сайта по решению суда.

Можно ли сделать политику в формате PDF? Закон требует, чтобы документ был общедоступным. PDF-файл допустим, но текстовая HTML-страница предпочтительнее: она лучше индексируется поисковиками, быстрее грузится на мобильных и удобнее для чтения.

Как часто нужно обновлять документ? При любых изменениях в процессах обработки: подключили новую CRM, начали собирать телефоны, изменили поставщика хостинга. Рекомендуется проводить аудит раз в полгода.

Совет: Добавьте в конец политики дату последнего обновления. Это покажет пользователям и проверяющим органам, что документ актуален и компания следит за合规ностью.