Политика обработки персональных данных
Политика обработки персональных данных — публичный документ оператора по части 2 статьи 18.1 152-ФЗ, где раскрыты состав, цели и защита собираемых данных. За отсутствие Роскомнадзор штрафует юрлицо на 30 000–60 000 рублей.
Определение политики обработки персональных данных
Политика обработки персональных данных — это публичный документ, в котором оператор раскрывает, какие данные пользователей он собирает, на каких основаниях, для каких целей и как их защищает. Требование её наличия закреплено частью 2 статьи 18.1 Федерального закона № 152-ФЗ: оператор обязан опубликовать документ о своей политике обработки данных и обеспечить к нему неограниченный доступ. На практике это страница на сайте, доступная из подвала. Отсутствие политики — самостоятельное нарушение, за которое Роскомнадзор штрафует юрлицо на 30 000–60 000 рублей по части 1 статьи 13.11 КоАП РФ.
Документ обязателен для любого сайта, где есть форма обратной связи, корзина, регистрация, подписка или счётчик аналитики — то есть практически для всех. С 30 мая 2025 года штрафы за нарушения в сфере персональных данных выросли в разы, а за утечку юрлицо рискует получить оборотный штраф.
Как работает и где размещается
Политика связывает три элемента: согласие пользователя, цели обработки и сроки хранения. Когда посетитель отправляет форму, он ставит галочку «Согласен с политикой» со ссылкой на документ — это и есть юридическое основание обработки. Без рабочей ссылки согласие считается непредоставленным, поэтому ссылку ставят в подвал сайта и рядом с каждой формой. Привести сайт к требованиям закона помогаем в рамках услуги приведение сайта к 152-ФЗ в BigPanda, а сами ссылки закладываем ещё на этапе разработки сайта.
| Элемент | Что указывают |
|---|---|
| Оператор | Наименование, ИНН, адрес, контакты ответственного |
| Цели обработки | Заявки, доставка, рассылка, аналитика |
| Состав данных | ФИО, телефон, e-mail, cookie, IP |
| Правовые основания | 152-ФЗ, согласие субъекта, договор |
| Права субъекта | Доступ, изменение, удаление, отзыв согласия |
Что входит в политику
Полноценный документ содержит общие положения и термины, перечень категорий данных, цели и правовые основания, порядок и сроки хранения, перечень действий с данными. Отдельно описывают передачу данных третьим лицам — службе доставки или платёжному провайдеру, — а также трансграничную передачу. Обязательны раздел о правах субъекта и порядок отзыва согласия. Шаблон из интернета без адаптации под процессы компании юридической силы почти не имеет.
Инструменты и пример
Базовый каркас можно собрать в конструкторе на сайте Роскомнадзора, но затем документ дорабатывают под конкретные формы и сервисы сайта. Проверяют, что ссылка на политику есть у каждой формы, что чекбокс согласия не проставлен заранее и что текст согласия отсылает к опубликованному документу. Пример: магазин подключил онлайн-кассу, доставку СДЭК и Яндекс.Метрику, но в политике упоминалась только обработка заявок. При проверке это трактуется как обработка данных вне заявленных целей. После аудита в документ добавили передачу данных перевозчику и платёжному оператору, описали cookie от Яндекс.Метрики — и нарушение сняли.
Связанные концепции
- 152-ФЗ — базовый закон, который и обязывает публиковать политику. Все формулировки документа опираются на его статьи: основания обработки, права субъекта, требования к согласию и локализации данных.
- Cookie-баннер — уведомление о сборе cookie, которое работает в связке с политикой. В тексте политики описывают, какие cookie ставит сайт, а баннер фиксирует согласие посетителя.
- SSL-сертификат — шифрует передачу персональных данных от браузера к серверу. Без https формы сбора данных уязвимы, а требование закона о безопасности формально не выполняется.
- Хостинг — площадка хранения данных. Для россиян первичная база должна находиться на серверах в РФ, поэтому выбор хостинга прямо влияет на соответствие закону.
- Согласие на обработку — отдельный юридический факт. Политика описывает правила, а согласие — конкретное разрешение субъекта. Чекбокс должен быть пустым по умолчанию.
- Уведомление в Роскомнадзор — с 2025 года почти все операторы обязаны подать уведомление о намерении обрабатывать данные. Оно дополняет политику, но не заменяет её.
Частые ошибки
- Скопировали чужой шаблон, не поменяв реквизиты оператора и цели обработки.
- Ссылку на политику разместили только на главной, а у форм её нет — согласие не подтверждается.
- Чекбокс согласия проставлен заранее: такое согласие считается непредоставленным.
- Не описали передачу данных доставке, платёжному провайдеру и сервисам аналитики.
- Документ написан один раз и не обновляется при подключении новых сервисов на сайте.
Частые вопросы
Обязательна ли политика для лендинга с одной формой?
Да. Как только сайт собирает имя, телефон или e-mail хотя бы через одну форму, владелец становится оператором персональных данных. Часть 2 статьи 18.1 152-ФЗ требует опубликовать политику и обеспечить к ней свободный доступ. Размер сайта значения не имеет: лендинг с единственной формой обратной связи подпадает под закон так же, как крупный магазин.
Какой штраф за отсутствие политики?
За неопубликованную или неполную политику Роскомнадзор штрафует по части 1 статьи 13.11 КоАП РФ: должностное лицо — до 12 000 рублей, юридическое — от 30 000 до 60 000 рублей. С 30 мая 2025 года санкции усилены, а за утечку добавлены оборотные штрафы, поэтому экономить на документе невыгодно.
Можно ли использовать готовый шаблон из интернета?
Шаблон годится только как каркас. Без указания реальных целей, состава данных и подключённых сервисов он не отражает действительность и при проверке трактуется против оператора. Документ нужно адаптировать под конкретный сайт — это входит в услугу приведения сайта к 152-ФЗ в BigPanda: мы изучаем формы и сервисы и приводим текст в соответствие.
Чем политика отличается от согласия на обработку?
Политика — это публичные правила оператора, единые для всех. Согласие — конкретный юридический факт: разрешение человека обработать его данные для названной цели. Политика существует на сайте постоянно, а согласие пользователь даёт каждый раз, отправляя форму с активной ссылкой на документ.
Где разместить ссылку на политику?
В подвале сайта на каждой странице и рядом с каждой формой сбора данных — у чекбокса согласия. Ссылка должна открывать документ за один клик. Если форма есть, а ссылки нет, согласие считается непредоставленным, и обработка данных лишается законного основания.
Нужно ли подавать уведомление в Роскомнадзор отдельно?
Да, это отдельная обязанность. С 2025 года почти все операторы должны уведомить Роскомнадзор о намерении обрабатывать данные через портал ведомства. Политика на сайте уведомление не заменяет. Помочь с обоими шагами можем в рамках сопровождения сайта в BigPanda.