Политика конфиденциальности для сайта: как составить, образец и шаблон в 2026 году
- Политика конфиденциальности — обязательный документ для любого сайта, который собирает персональные данные (формы, Метрика, cookie)
- Штраф за отсутствие — до 60 000 ₽ для юрлиц, а в сумме с другими нарушениями — до 1 млн ₽
- 15 обязательных разделов по ст. 18.1 ФЗ-152 — от целей обработки до порядка уничтожения данных
- Шаблон нужно адаптировать — скопированная политика без привязки к реальным процессам = нарушение
- Что такое политика конфиденциальности и зачем она нужна
- Чем отличается от политики обработки персональных данных
- 15 обязательных разделов по ФЗ-152
- Файлы cookie в политике конфиденциальности
- Как добавить политику на Тильду и другие конструкторы
- 8 типичных ошибок
- Штрафы за отсутствие политики
- Чеклист
- Частые вопросы
Любой сайт, который собирает имена, телефоны, email-адреса или даже просто устанавливает Яндекс.Метрику, является оператором персональных данных. Статья 18.1 ФЗ-152 обязывает каждого оператора опубликовать на сайте документ, определяющий политику в отношении обработки персональных данных, и обеспечить к нему свободный доступ.
На практике этот документ чаще называют «политикой конфиденциальности» — термин пришёл из англоязычной практики (Privacy Policy). В этой статье разберём, что должен содержать документ, чем он отличается от политики обработки персональных данных, и как составить его правильно — с образцом структуры и типичными ошибками.
1. Что такое политика конфиденциальности и зачем она нужна
Политика конфиденциальности — публичный документ на сайте, который объясняет посетителям:
- Какие данные о них собираются
- Зачем (цели обработки)
- Кому могут быть переданы
- Как защищаются
- Как пользователь может управлять своими данными
Кому нужна: абсолютно любому сайту с формой обратной связи, регистрацией, подпиской на рассылку, онлайн-оплатой или даже просто установленным счётчиком аналитики (Яндекс.Метрика, VK Pixel). Все эти действия — обработка персональных данных.
Юридическое основание: п. 2 ст. 18.1 ФЗ-152 — оператор, осуществляющий сбор персональных данных с использованием сети Интернет, обязан опубликовать документ о политике обработки и обеспечить неограниченный доступ к нему.
2. Чем политика конфиденциальности отличается от политики обработки персональных данных
Это один из самых частых вопросов — и источник путаницы. Короткий ответ: по сути это один и тот же документ, просто с разными названиями.
| Параметр | Политика конфиденциальности | Политика обработки ПД |
|---|---|---|
| Происхождение | Англоязычная практика (Privacy Policy) | ФЗ-152, ст. 18.1 |
| Упоминание в законе | Нет (бытовое название) | Да («политика в отношении обработки персональных данных») |
| Размещение | На сайте (публично) | На сайте + внутренний локальный акт |
| Содержание | Для посетителей: что собирается, зачем, как защищается | Формальный документ по требованиям ст. 18.1 |
| На практике | Один документ с двойным названием | |
Оптимальный подход — единый документ под названием «Политика конфиденциальности и обработки персональных данных». Он закрывает и юридические требования, и ожидания пользователей. Подробный разбор формальных требований к документу — в статье «Политика обработки персональных данных для сайта».
Не путать с другими документами:
- Согласие на обработку ПД — отдельный документ (чекбокс у формы), которым пользователь даёт конкретное согласие
- Пользовательское соглашение — договор об условиях пользования сайтом (не про персональные данные)
- Cookie-политика — может быть отдельным документом или разделом политики конфиденциальности
3. 15 обязательных разделов по ФЗ-152
Статья 18.1 ФЗ-152 не даёт жёсткого шаблона, но Роскомнадзор при проверках оценивает наличие следующих блоков:
| # | Раздел | Что указать |
|---|---|---|
| 1 | Общие положения | Наименование оператора, ИНН, юр. адрес, контактный email |
| 2 | Правовые основания | ФЗ-152, ГК РФ, ТК РФ и другие применимые нормативные акты |
| 3 | Цели обработки | Конкретные цели: выполнение заказа, рассылка, аналитика, маркетинг |
| 4 | Категории ПД | ФИО, email, телефон, IP-адрес, cookie — перечень всего, что собираете |
| 5 | Категории субъектов | Клиенты, посетители сайта, подписчики, сотрудники |
| 6 | Способы обработки | Сбор, запись, хранение, использование, передача, удаление |
| 7 | Сроки хранения | Конкретные сроки для каждой цели (не «до достижения целей») |
| 8 | Порядок уничтожения | Как и когда данные удаляются после достижения целей |
| 9 | Передача третьим лицам | Кому, на каком основании (договор, согласие, закон) |
| 10 | Трансграничная передача | Если используете зарубежные сервисы: Google Analytics, Mailchimp и др. |
| 11 | Меры защиты | Организационные и технические меры безопасности |
| 12 | Права субъекта | Доступ, уточнение, блокирование, удаление, отзыв согласия |
| 13 | Порядок обращения | Как пользователь реализует свои права (email, форма, почта) |
| 14 | Cookies и счётчики | Типы cookie, какие сервисы используются, как управлять |
| 15 | Заключительные положения | Порядок внесения изменений, дата вступления в силу |
Важно: шаблонная политика, скопированная из интернета, не отражает реальных процессов вашего бизнеса. Роскомнадзор расценивает это как нарушение принципа минимизации — если в документе указаны данные, которые вы фактически не собираете, это вопрос при проверке.
4. Файлы cookie в политике конфиденциальности
Cookie-файлы могут быть персональными данными по ФЗ-152, если в совокупности с другими данными позволяют идентифицировать конкретного пользователя. На практике это почти всегда так — Яндекс.Метрика и Google Analytics привязывают cookie к профилю посетителя.
Что нужно сделать:
- Cookie-баннер — уведомление при первом визите с возможностью принять или отклонить. Не просто информационная плашка, а выбор пользователя
- Раздел о cookie в политике — описание типов cookie (необходимые, аналитические, маркетинговые), используемых сервисов, сроков хранения и способа отказа
Категории cookie:
| Тип | Примеры | Нужно согласие? |
|---|---|---|
| Строго необходимые | Авторизация, корзина, языковые настройки | Нет |
| Аналитические | Яндекс.Метрика, Google Analytics | Да |
| Маркетинговые | VK Pixel, рекламные сети, ретаргетинг | Да |
Использование зарубежных сервисов аналитики (Google Analytics, Facebook Pixel) — это ещё и трансграничная передача персональных данных. Об этом тоже нужно упомянуть в политике.
5. Как добавить политику на Тильду и другие конструкторы
Тильда — один из самых популярных конструкторов в России. Запрос «политика конфиденциальности Тильда» — более 2 000 показов в месяц. Вот пошаговая инструкция:
Шаг 1: Создайте страницу с текстом политики
Добавьте новую страницу → текстовый блок (T229 или TX01) → вставьте подготовленный текст. Опубликуйте страницу и скопируйте URL.
Шаг 2: Добавьте ссылку в футер
Блок BF301 или другой блок-футер → в текстовое поле добавьте ссылку «Политика конфиденциальности» на созданную страницу.
Шаг 3: Добавьте чекбокс согласия в формы
Настройки формы → Поля для ввода → Добавить поле → тип «Галочка» → текст: «Согласен с политикой конфиденциальности» со ссылкой на документ.
Внимание: Тильда предлагает бесплатный генератор политики. Это удобная отправная точка, но результат обязательно нужно адаптировать — указать реальные цели обработки, используемые сервисы и сроки хранения.
Для других конструкторов (WIX, Squarespace, WordPress) принцип тот же: отдельная страница с документом + ссылка в футере + чекбокс у каждой формы.
6. 8 типичных ошибок в политике конфиденциальности
| # | Ошибка | Почему это проблема |
|---|---|---|
| 1 | Скопированный шаблон без адаптации | Указаны «лишние» цели и данные. РКН расценивает как нарушение принципа минимизации |
| 2 | Ссылка только в футере | Нет ссылки на политику непосредственно у форм сбора данных — РКН проверяет именно формы |
| 3 | Нет чекбокса согласия | «Используя сайт, вы соглашаетесь...» — не является явным согласием. Нужен активный (не предзаполненный) чекбокс |
| 4 | Не уведомили Роскомнадзор | Помимо политики, нужно подать уведомление о начале обработки ПД в реестр операторов. Штраф — до 300 000 ₽ |
| 5 | Избыточный сбор данных | Форма подписки запрашивает ФИО, телефон, адрес — для рассылки нужен только email |
| 6 | Нет cookie-баннера | С 2025 года РКН фиксирует отсутствие cookie-уведомлений как нарушение |
| 7 | Документ не обновляется | Политика составлена несколько лет назад, не учитывает изменения 2025–2026 годов |
| 8 | Нет сроков хранения | «До достижения целей обработки» — слишком расплывчато. Нужны конкретные сроки для каждой цели |
7. Штрафы за отсутствие политики конфиденциальности
Основная статья — ст. 13.11 КоАП (редакция с 30 мая 2025). Таблица штрафов:
| Нарушение | Юрлица | ИП | Статья |
|---|---|---|---|
| Нет политики на сайте | 30–60 тыс. ₽ | 10–20 тыс. ₽ | ч. 3 ст. 13.11 |
| Обработка без согласия | 300–700 тыс. ₽ | 100–300 тыс. ₽ | ч. 2 ст. 13.11 |
| Нет уведомления в РКН | 100–300 тыс. ₽ | 30–50 тыс. ₽ | ч. 10 ст. 13.11 |
| Итого (все 3 нарушения) | до 1 060 000 ₽ | до 370 000 ₽ |
Роскомнадзор квалифицирует действия оператора по нескольким составам одновременно. Отсутствие политики + отсутствие уведомления + обработка без согласия = сумма всех штрафов. При повторных нарушениях суммы увеличиваются кратно.
8. Чеклист: политика конфиденциальности для сайта
- Документ опубликован на отдельной странице сайта с постоянным URL
- Содержит все 15 обязательных разделов (таблица в разделе 3)
- Адаптирован под ваш бизнес: реальные цели, реальные данные, реальные сервисы
- Указаны конкретные сроки хранения для каждой цели обработки
- Есть раздел о cookie-файлах с перечнем используемых счётчиков
- Описана трансграничная передача, если используются зарубежные сервисы
- Ссылка на политику — в футере и у каждой формы сбора данных
- У каждой формы — активный чекбокс согласия (не предзаполненный)
- Cookie-баннер с возможностью принять/отклонить
- Подано уведомление в Роскомнадзор о начале обработки ПД
- Документ актуализирован — учтены изменения законодательства 2025–2026
Частые вопросы
Политика конфиденциальности и политика обработки персональных данных — это один документ?
По сути — да. Закон (ст. 18.1 ФЗ-152) требует «политику в отношении обработки персональных данных». «Политика конфиденциальности» — бытовое название того же документа, пришедшее из англоязычной практики (Privacy Policy). Главное — чтобы содержание соответствовало требованиям закона.
Какой штраф за отсутствие политики конфиденциальности на сайте?
За неопубликование политики: для юрлиц — от 30 000 до 60 000 ₽ (ч. 3 ст. 13.11 КоАП). Но если параллельно нет согласия на обработку и уведомления в РКН — штрафы суммируются и могут достигать 1 млн ₽ и более.
Можно ли использовать готовый шаблон политики конфиденциальности?
Шаблон — хорошая отправная точка, но его обязательно нужно адаптировать под ваш бизнес: указать реальные цели обработки, перечень собираемых данных, используемые сервисы (Метрика, CRM), сроки хранения. Шаблонная политика без адаптации — одна из самых частых ошибок при проверках РКН.
Нужна ли отдельная политика для cookie-файлов?
Отдельная cookie-политика не обязательна — достаточно подробного раздела о cookie в основной политике конфиденциальности. Но cookie-баннер (уведомление с возможностью согласия/отказа) нужен на каждом сайте, где установлены Яндекс.Метрика, Google Analytics или другие счётчики.
Как добавить политику конфиденциальности на сайт Тильда?
Три шага: 1) создайте отдельную страницу с текстом политики (блоки T229 или TX01); 2) добавьте ссылку на неё в футер; 3) в каждую форму добавьте чекбокс согласия со ссылкой на политику. Тильда также предлагает бесплатный генератор политики — но его результат нужно проверить и адаптировать.
Нужны документы по ФЗ-152 для сайта?
Сгенерируем 8 документов за 5 минут: политику конфиденциальности, согласие на обработку ПД, cookie-политику, уведомление в РКН и другие — адаптированные под ваш бизнес.
Сгенерировать документы — 4 990 ₽