Политика конфиденциальности для сайта: структура, пример, шаблон 2026

Q: Можно ли использовать общий шаблон политики из интернета?

Использовать шаблон как основу - можно и нужно. Но обязательно адаптируйте его под свой сайт: укажите реальные данные, формы, сервисы, цели. Копирование чужой политики "как есть" - прямой путь к штрафу за несоответствие реальности.

Q: Нужна ли отдельная политика cookies или можно включить в политику конфиденциальности?

Можно включить раздел о cookies в политику конфиденциальности - это допустимо и удобно. Отдельный документ нужен, только если у вас сложная система cookies с десятками различных файлов.

Q: Как часто нужно обновлять политику конфиденциальности?

Обновляйте при любых изменениях в обработке данных: новые формы, сервисы, цели. Если ничего не меняется - рекомендуется пересматривать раз в год на предмет актуальности и изменений в законодательстве.

Q: Нужно ли получать согласие пользователя на политику конфиденциальности?

Политика - это информирование, а не согласие. Согласие на обработку данных получается через чекбокс в формах со ссылкой на политику. Сама политика должна быть общедоступна без дополнительных действий.

Q: Что делать, если политика уже есть, но она не соответствует требованиям?

Срочно доработайте её по чек-листу выше, обновите дату редакции и разместите на сайте. Если есть уведомление в РКН - обновите его в течение 10 дней. Лучше исправить самостоятельно, чем ждать проверки и штрафа.

Q: Обязательно ли указывать конкретные названия сервисов (Яндекс.Метрика, amoCRM)?

Да, обязательно. Общие фразы "используем сервисы аналитики" не соответствуют требованиям закона. Нужно указывать конкретные названия и назначение каждого сервиса.

Q: Как быть, если используется Google Analytics - это трансграничная передача?

Да, это трансграничная передача в США. Необходимо: 1) убедиться, что первичный сбор данных происходит на серверах в РФ; 2) описать передачу в политике; 3) получить согласие пользователя; 4) указать в уведомлении РКН. С 2023 года Роскомнадзор рекомендует использовать российские аналоги (Яндекс.Метрика).

Q: Может ли юрлицо и ИП использовать одинаковую политику?

Структура одинаковая, но реквизиты разные. Для ИП указывается: ИП Иванов Иван Иванович, ИНН, ОГРНИП, адрес регистрации. Для юрлица: ООО "Название", ИНН, ОГРН, юридический адрес.

Содержание

Что такое политика конфиденциальности и зачем она нужна
Обязательные разделы политики по ФЗ-152
Как описать состав и цели обработки персональных данных
Примеры описания состава данных
Цели обработки должны быть конкретными
Как учесть cookies, аналитику и рассылки в политике
Cookies
Аналитика и пиксели
Рассылки и CRM
Пример формулировки
Пример структуры политики конфиденциальности для коммерческого сайта
Трансграничная передача персональных данных: актуальный порядок на 2026 год
Типичные ошибки в политиках и за что штрафует Роскомнадзор
Топ-15 типичных ошибок
Примеры из реальной практики 2025-2026
Как обновлять политику конфиденциальности при изменениях на сайте
Когда обязательно обновлять политику
Как правильно обновлять
Как уведомить пользователей об изменениях
Готовый шаблон политики конфиденциальности
Политика конфиденциальности
1. Общие положения
2. Термины и определения
3. Состав персональных данных
4. Цели обработки персональных данных
5. Основания и действия с персональными данными
6. Сроки обработки и хранения персональных данных
7. Передача персональных данных третьим лицам
8. Трансграничная передача персональных данных
9. Права субъектов персональных данных
10. Cookies и веб-аналитика
11. Меры защиты персональных данных
12. Изменения в политике конфиденциальности
13. Контакты для обращений
Чек-лист проверки политики конфиденциальности
Заключение

Что такое политика конфиденциальности и зачем она нужна

Политика конфиденциальности — это основной публичный документ на сайте, где оператор персональных данных информирует пользователей о том, какие данные собирает, зачем, как хранит, передаёт и защищает.

Она обязательна по 152-ФЗ для любого сайта, который обрабатывает персональные данные (формы заявок, регистрация, аналитика, рассылки). Отсутствие политики или её некорректность — одно из самых частых оснований для штрафов.

Зачем она нужна:

информирует пользователей о целях обработки (ст. 18.1 152-ФЗ);
служит доказательством прозрачности для Роскомнадзора;
снижает риски споров с пользователями и повышает доверие к сайту;
помогает обосновать обработку данных без отдельного согласия в некоторых случаях;
снижает риск штрафов: от 30 000 руб. за недоступность политики до 6 000 000 руб. и выше за нарушение локализации или утечки данных (в редакции 420-ФЗ от 30.11.2024);
демонстрирует профессионализм и заботу о клиентах.

Обязательные разделы политики по ФЗ-152

Политика должна быть понятной для неспециалиста, без юридического жаргона и «воды». Минимальный набор разделов по требованиям закона:

Общие сведения об операторе: полное наименование (юрлицо, ИП), адрес, ИНН/ОГРН, контакты для обращений по ПДн (email, телефон);
Цели обработки персональных данных: конкретные, без расплывчатых формулировок вроде «для развития бизнеса»;
Состав персональных данных: категории (контактные, технические, поведенческие) и примеры;
Основания обработки по ст. 6 152-ФЗ: согласие субъекта, исполнение договора, выполнение требований закона, защита жизни/здоровья, осуществление полномочий госорганов, достижение законных целей оператора (пп. 1-7 ч. 1 ст. 6);
Действия с данными: сбор, запись, хранение, использование, передача, уничтожение;
Сроки обработки и хранения: до отзыва согласия, исполнения договора + 3 года, до достижения цели;
Права субъектов ПДн: доступ, исправление, блокировка, удаление, отзыв согласия, с описанием порядка реализации;
Меры защиты: общими словами — организационные и технические, без раскрытия секретов;
Трансграничная передача: если есть — страны, получатели, основания;
Поручения третьим лицам: хостинг, CRM, аналитика — перечень и подтверждение поручений;
Информация об изменениях: как пользователи узнают об обновлениях, дата последней редакции;
Контакты для вопросов: email, телефон, форма обратной связи для запросов по ПДн;
Специальные категории персональных данных (если обрабатываются). Если сайт работает с данными о здоровье, национальности, религиозных убеждениях, судимостях или использует биометрию — в политике должен быть отдельный раздел:
- какие конкретно специальные категории обрабатываются;
- на каком основании (как правило — только явное письменное согласие по ст. 10 152-ФЗ);
- какие меры повышенной защиты приняты;
- как субъект может отозвать согласие на обработку именно этих данных.
Отсутствие этого раздела при фактической обработке специальных категорий — нарушение ч. 2 ст. 9 и ст. 10 152-ФЗ.

Как описать состав и цели обработки персональных данных

В политике нужно честно и конкретно описать, какие данные вы собираете. Общие фразы вроде «все необходимые данные» не прокатят при проверке.

Примеры описания состава данных

Контактные: ФИО, телефон, email, мессенджер, должность, компания — из форм заявок и подписок;
Технические: IP-адрес, User-Agent, идентификаторы сессий и устройств — из логов и аналитики;
Поведенческие: посещаемые страницы, клики, время на сайте, добавленные товары — для аналитики и персонализации;
Для интернет-магазина: адрес доставки, история заказов, предпочтения по товарам, способы оплаты;
Для образовательных платформ: прогресс обучения, результаты тестов, сертификаты;
Для b2b-сервисов: название компании, ИНН, реквизиты, тарифный план, история платежей.

Цели обработки должны быть конкретными

обработка и исполнение заявок, заказов;
заключение и исполнение договоров;
маркетинговые рассылки и уведомления о новых продуктах;
аналитика посещаемости и эффективности рекламы;
персонализация контента и рекомендаций;
поддержка пользователей и обработка обращений;
улучшение качества услуг на основе обратной связи;
защита от мошенничества и обеспечение безопасности;
соблюдение требований законодательства (налоговая отчётность, бухгалтерский учёт).

Важно: каждую цель привязывайте к конкретным данным. Вместо общего «для связи» пишите «телефон и email для обратной связи по заявке и уведомлений о статусе заказа».

Как учесть cookies, аналитику и рассылки в политике

Cookies, аналитика и рассылки — один из самых «скользких» моментов. Их часто забывают описывать, а потом это вскрывается при проверках.

Cookies

Перечислите типы: технические (сессии, корзина), аналитические (Яндекс.Метрика), функциональные (сохранение настроек), рекламные (пиксели);
Укажите цели использования каждого типа cookies;
Укажите сроки хранения (например, 2 года для аналитики, до конца сессии для технических);
Опишите способы отключения (настройки браузера, cookie-баннер на сайте);
Добавьте таблицу с перечнем конкретных cookies: название, назначение, срок.

Аналитика и пиксели

Яндекс.Метрика — укажите, какие данные передаются (IP, события, ID пользователя), серверы в РФ;
Google Analytics — передача данных в США (с 2023 года использование ограничено РКН);
VK-виджеты, пиксели ВКонтакте — передача в социальную сеть для таргетинга;
MyTarget — рекламная платформа VK для ретаргетинга в Mail.ru, ОК, ВКонтакте;
Telegram Ads — рекламный пиксель Telegram для отслеживания конверсий из Telegram-каналов.
Коллтрекинг (Calltouch, CoMagic) — запись разговоров, номера телефонов;
Онлайн-чаты (Jivosite, Carrot quest) — история переписки, контакты.

Рассылки и CRM

UniSender, Sendsey — российские сервисы, данные в РФ;
amoCRM, Битрикс24 — российские CRM, локализация данных соблюдена;
Укажите, какие данные передаются (email, имя, телефон, история взаимодействий);
Подтвердите наличие договоров поручения на обработку данных;
Опишите цель передачи (рассылки, обработка лидов, напоминания).

Пример формулировки

Для Яндекс.Метрики:

«Мы используем сервис веб-аналитики Яндекс.Метрика (ООО «Яндекс») для анализа посещаемости сайта. Сервису передаются: IP-адрес, информация о действиях на сайте (просмотренные страницы, клики), технические параметры устройства. Данные обрабатываются и хранятся на серверах в Российской Федерации. Срок хранения cookies: 2 года. Вы можете отключить передачу данных в Яндекс.Метрику через настройки браузера или установив расширение для блокировки аналитики.»

Пример структуры политики конфиденциальности для коммерческого сайта

Вот типовая структура политики для интернет-магазина или сервиса с формами. Адаптируйте под свои данные.

Общие положения
ООО «Ромашка», ИНН 1234567890, ОГРН 1234567890123, адрес: 101000, г. Москва, ул. Ленина, д.1, офис 10. Контакты по вопросам персональных данных: pd@romashka.ru, телефон: +7 (495) 123-45-67.
Цели обработки персональных данных
Обработка и исполнение заявок на консультацию; исполнение заказов на товары; отправка маркетинговых рассылок и уведомлений; аналитика посещаемости сайта; персонализация контента и рекомендаций; техническая поддержка пользователей.
Состав персональных данных
Контактные данные: ФИО, телефон, email, город; данные для доставки: адрес доставки, ФИО получателя; технические данные: IP-адрес, User-Agent, cookie-файлы, идентификаторы сессий; поведенческие данные: история заказов, просмотренные товары, добавленные в корзину товары, время на сайте.
Основания и действия с персональными данными
Основания обработки: согласие пользователя (ст. 9 152-ФЗ), исполнение договора (ст. 6 152-ФЗ). Действия: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача третьим лицам, обезличивание, блокировка, удаление, уничтожение.
Сроки хранения персональных данных
Контактные данные из заявок: до отзыва согласия или 3 года после последнего взаимодействия; данные по заказам: 5 лет после исполнения договора (требование ст. 29 402-ФЗ «О бухгалтерском учёте»); для целей гражданско-правовых претензий достаточно 3 лет (ст. 196 ГК РФ) — ориентируйтесь на больший из сроков; данные для рассылок: до отзыва согласия; технические и аналитические данные: 2 года.
Передача персональных данных третьим лицам
Хостинг-провайдер Timeweb (договор поручения, серверы в РФ); CRM-система amoCRM (договор поручения, серверы в РФ); сервис email-рассылок UniSender (договор поручения, серверы в РФ); сервис веб-аналитики Яндекс.Метрика (серверы в РФ); службы доставки: СДЭК, Почта России (для исполнения договора доставки).
Трансграничная передача персональных данных
Трансграничная передача персональных данных отсутствует. Все данные обрабатываются и хранятся на территории Российской Федерации.
Права субъектов персональных данных
Вы имеете право: получить информацию о наличии и составе ваших данных; запросить уточнение, обновление неточных данных; отозвать согласие на обработку (заявка на pd@romashka.ru); запросить удаление данных (если нет законных оснований для хранения); обжаловать наши действия в Роскомнадзор или суд. Срок ответа на запрос: 30 дней с момента получения.
Cookies и аналитика
Технические cookies (сессии, авторизация) — необходимы для работы сайта, срок: до закрытия браузера; аналитические cookies (Яндекс.Метрика) — для анализа посещаемости, срок: 2 года; функциональные cookies (настройки сайта) — срок: 1 год. Управление cookies: через настройки вашего браузера или через cookie-баннер при первом посещении сайта.
Меры защиты персональных данных
Организационные меры: назначен ответственный за обработку ПДн; доступ к данным имеют только уполномоченные сотрудники; проводится регулярное обучение персонала. Технические меры: шифрование данных при передаче (SSL/TLS); разграничение прав доступа к базам данных; антивирусная защита серверов; резервное копирование; мониторинг несанкционированного доступа.
Изменения в политике конфиденциальности
Мы оставляем за собой право вносить изменения в политику конфиденциальности. При существенных изменениях мы уведомим вас по email (если вы подписаны на рассылку) или через уведомление на сайте. Дата последнего обновления: 17 февраля 2026 года. Актуальная версия всегда доступна по адресу: https://romashka.ru/politika-konfidentsialnosti/
Контакты для обращений
По всем вопросам, связанным с обработкой персональных данных, обращайтесь: email: pd@romashka.ru, телефон: +7 (495) 123-45-67, почтовый адрес: 101000, г. Москва, ул. Ленина, д.1, офис 10.

Трансграничная передача персональных данных: актуальный порядок на 2026 год

Если ваш сайт использует зарубежные сервисы, получающие персональные данные российских пользователей (Google Analytics 4, Meta Pixel, HubSpot, Mailchimp, Intercom и т.д.), вы осуществляете трансграничную передачу персональных данных и обязаны выполнить требования ст. 12 152-ФЗ.

Актуальный порядок (в редакции на 02.03.2026):

До начала передачи направьте в РКН уведомление через личный кабинет оператора на pd.rkn.gov.ru — Форма 2 (трансграничная передача). Именно Форма 2 — не перепутайте с Формой 1 (первичная регистрация оператора);
Указать в уведомлении: название иностранного получателя, страну, цель передачи,
категории передаваемых данных, правовое основание;
Получить подтверждение от РКН или дождаться истечения 10 рабочих дней без запрета;
Отразить факт передачи в политике конфиденциальности: указать, каким зарубежным сервисам передаются данные, с какой целью и на каком основании.

Обновление 2025-2026: с мая 2025 года РКН обновил формат заявления (письмо от 12.05.2025 N 25-44929). Если вы подавали уведомление о трансграничной передаче до мая 2025 года — рекомендуется проверить актуальность сведений в личном кабинете на pd.rkn.gov.ru и при необходимости подать обновлённую версию.

Типичные ошибки:

указывать Google Analytics, Meta Pixel или другие зарубежные сервисы в политике без подачи уведомления о трансграничной передаче в РКН — это нарушение ст. 12 152-ФЗ; VK Pixel (ВКонтакте) к трансграничной передаче не относится — это российская компания, передача данных оформляется договором поручения;
подавать Форму 1 (уведомление об обработке ПД) вместо Формы 2 (трансграничная передача) —
это разные документы с разными правовыми последствиями;
не обновлять уведомление при добавлении новых зарубежных сервисов на сайт.

Типичные ошибки в политиках и за что штрафует Роскомнадзор

Роскомнадзор штрафует не только за отсутствие политики, но и за несоответствие реальности и отсутствие ключевых сведений. По данным проверок 2025-2026 годов, большинство нарушений связаны с формальным подходом к документу.

Топ-15 типичных ошибок

№	Ошибка	Почему это нарушение	Штраф
1	Расплывчатые формулировки: «данные для улучшения сервиса», «необходимая информация»	Не соблюдён принцип конкретности целей (ст. 5 152-ФЗ)	30 000 — 75 000 руб.
2	Отсутствие полных контактов оператора (нет адреса или email для обращений по ПДн)	Нарушение требований ст. 18.1 152-ФЗ	30 000 — 50 000 руб.
3	Не указана трансграничная передача при использовании Google Analytics, зарубежных CRM	Нарушение требований к информированию о трансграничной передаче (ч. 1 или ч. 3 ст. 13.11 КоАП в совокупности с ч. 5 ст. 12 152-ФЗ)	150 000 — 300 000 руб. (ч. 1) или 30 000 — 60 000 руб. (ч. 3)
4	Сайт использует cookies и аналитику, но в политике это не описано	Неполное информирование (ст. 18.1 152-ФЗ)	30 000 — 75 000 руб.
5	Не указаны права пользователей (доступ, исправление, удаление, отзыв)	Нарушение ст. 14 152-ФЗ	30 000 — 50 000 руб.
6	Политика недоступна: ссылка в футере ведёт на 404 или документ спрятан глубоко	Формальное наличие без реального доступа	30 000 — 50 000 руб.
7	Политика скопирована с другого сайта и не соответствует реальным процессам	Ложная информация для регулятора	50 000 — 150 000 руб.
8	Не указаны сроки хранения данных или написано «бессрочно»	Нарушение принципа ограниченного хранения (ст. 5 152-ФЗ)	30 000 — 75 000 руб.
9	Нет информации о мерах защиты персональных данных	Требование ст. 19 152-ФЗ не выполнено	30 000 — 50 000 руб.
10	Не описан порядок реализации прав пользователей (куда писать, какой срок ответа)	Формальное указание прав без механизма	30 000 — 50 000 руб.
11	Политика не обновлялась несколько лет, хотя на сайте появились новые формы/сервисы	Несоответствие документа реальности	30 000 — 75 000 руб.
12	Не указаны третьи лица, которым передаются данные (хостинг, CRM, рассылки)	Скрытая передача данных (ст. 6, 7 152-ФЗ)	30 000 — 75 000 руб.
13	Политика написана сложным юридическим языком, непонятным обычному пользователю	Формальное информирование, не выполняющее функцию	Предписание об устранении
14	Отсутствует дата последнего обновления политики	Невозможно определить актуальность документа	Предписание об устранении
15	Указаны неверные или несуществующие контакты для обращений по ПДн	Препятствование реализации прав субъектов	50 000 — 100 000 руб.

Смежное требование — 38-ФЗ: если на сайте размещается реклама или публикуется спонсорский контент, это регулируется отдельным законом о рекламе. Каждое рекламное объявление должно иметь токен erid и метку «Реклама». Политика конфиденциальности здесь ни при чём — но владелец сайта несёт ответственность за оба закона одновременно.

Примеры из реальной практики 2025-2026

Кейс 1: онлайн-школа иностранных языков, Москва

Политика конфиденциальности на сайте была скопирована с шаблона и содержала общие фразы: «обрабатываем необходимые данные для целей бизнеса». При проверке выяснилось, что школа собирает email, телефон, записывает уроки через Zoom (США), использует amoCRM и отправляет рассылки через зарубежный сервис. Ничего из этого в политике не было. Штраф: 75 000 рублей юрлицу + 10 000 рублей директору + предписание переделать документ за 15 дней.

Кейс 2: интернет-магазин детских товаров, Санкт-Петербург

Политика была на сайте, но ссылка в футере вела на страницу 404. При попытке найти документ через поиск на сайте — не находился. Формально политика существовала в файлах на сервере, но пользователи не могли её прочитать. Штраф: 40 000 рублей за недоступность обязательного документа.

Кейс 3: b2b-сервис для бизнеса, Екатеринбург

В политике не была указана трансграничная передача данных. Сервис использовал Google Analytics (США), Intercom для чата (Ирландия) и HubSpot CRM (США). При проверке по жалобе клиента РКН выявил нарушение требований о локализации и информировании о трансграничной передаче. Штраф по ч. 8 ст. 13.11 КоАП РФ за нарушение требований локализации составил 2 500 000 рублей (в диапазоне от 1 000 000 до 6 000 000 руб. для юрлиц, введён 420-ФЗ с 30.11.2024) + обязательство перенести базу данных в РФ.

Как обновлять политику конфиденциальности при изменениях на сайте

Политика конфиденциальности — не статичный документ, который написали один раз и забыли. Её нужно обновлять при любых изменениях в обработке данных.

Когда обязательно обновлять политику

Добавили новую форму на сайт (квиз, калькулятор, вебинар) — обновите раздел о составе и целях данных;
Подключили новый сервис (аналитика, CRM, чат, коллтрекинг) — добавьте в раздел о третьих лицах;
Изменили хостинг или переехали на другой сервер — проверьте локализацию и обновите информацию;
Запустили email-рассылку или push-уведомления — добавьте цель и основание обработки;
Изменились реквизиты компании (ИНН, адрес, название) — обновите раздел об операторе;
Появились новые права пользователей по закону — добавьте их описание;
Изменились сроки хранения данных — обновите соответствующий раздел.

Как правильно обновлять

Внесите изменения в текст политики на сайте с учётом новых реалий;
Обновите дату последней редакции в конце документа;
Если изменения существенные (новые цели, третьи лица, трансграничная передача) — уведомите пользователей:
- Через баннер на сайте «Мы обновили политику конфиденциальности»;
- Через email-рассылку (если есть база подписчиков);
- Через всплывающее окно при следующем входе в личный кабинет.
Обновите уведомление в Роскомнадзор в течение 10 рабочих дней, если изменились:
- Цели обработки данных;
- Категории обрабатываемых данных;
- Трансграничная передача;
- Третьи лица-обработчики.
Сохраните предыдущие версии политики с датами — они могут понадобиться при спорах или проверках;
Проверьте соответствие политики реальным процессам на сайте (формы, сервисы, cookies).

Как уведомить пользователей об изменениях

Вариант 1: Баннер на сайте

Разместите на 7-14 дней заметный баннер в верхней части сайта: «Мы обновили политику конфиденциальности. Ознакомьтесь с изменениями → [ссылка]»

Вариант 2: Email-уведомление

Отправьте письмо подписчикам: «Уважаемый пользователь, мы обновили политику конфиденциальности. Основные изменения: [краткий список]. Полный текст: [ссылка]. Продолжая пользоваться Сайтом после вступления изменений в силу, вы подтверждаете, что ознакомились с обновлённой политикой конфиденциальности. Если обработка ваших данных основана на согласии — при существенных изменениях целей или состава данных согласие будет запрошено повторно.»

Вариант 3: Модальное окно

При входе в личный кабинет показывайте всплывающее окно с кратким описанием изменений и кнопками «Я ознакомился» / «Читать полностью».

Готовый шаблон политики конфиденциальности

Ниже — универсальный шаблон политики, который можно адаптировать под свой сайт. Замените данные в [квадратных скобках] на свои.

Политика конфиденциальности

Дата последнего обновления: [17.02.2026]

1. Общие положения

[Полное наименование: ООО «Компания» / ИП Иванов И.И.], ИНН [1234567890], ОГРН [1234567890123], адрес: [индекс, город, улица, дом, офис] (далее — «Оператор») обязуется соблюдать конфиденциальность персональных данных пользователей сайта [ваш-сайт.ru] (далее — «Сайт»).

Настоящая политика конфиденциальности определяет порядок обработки и защиты персональных данных пользователей в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Термины и определения

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных);

Обработка персональных данных — любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокировку, удаление, уничтожение;

Пользователь — лицо, имеющее доступ к Сайту посредством сети Интернет.

3. Состав персональных данных

Оператор обрабатывает следующие категории персональных данных пользователей:

Контактные данные: [ФИО, телефон, email, город, должность, название компании] — из форм [заявки на консультацию, обратной связи, подписки на рассылку, регистрации в личном кабинете];

Технические данные: IP-адрес, тип и версия браузера (User-Agent), операционная система, идентификаторы устройств и сессий, cookie-файлы — автоматически при посещении Сайта;

Поведенческие данные: посещённые страницы, время нахождения на Сайте, источник перехода, действия на Сайте (клики, просмотры) — из систем аналитики;

[Дополнительные данные для вашей специфики: адрес доставки, история заказов, реквизиты и т.п.]

4. Цели обработки персональных данных

Персональные данные обрабатываются в следующих целях:

Обработка и исполнение заявок на [консультацию / товары / услуги];

Заключение и исполнение договоров;

Связь с пользователями для ответов на вопросы и предоставления информации;

Отправка информационных и маркетинговых рассылок (новости, акции, предложения);

Аналитика посещаемости Сайта и эффективности рекламных кампаний;

Персонализация контента и рекомендаций;

Техническая поддержка пользователей;

Защита от мошенничества и обеспечение безопасности;

Исполнение требований законодательства РФ.

5. Основания и действия с персональными данными

Правовые основания обработки:

Согласие субъекта персональных данных (ст. 9 ФЗ-152);

Исполнение договора, стороной которого является субъект (ст. 6 ФЗ-152);

Исполнение обязанностей, предусмотренных законодательством РФ.

Действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (предоставление, доступ), обезличивание, блокировка, удаление, уничтожение.

6. Сроки обработки и хранения персональных данных

Контактные данные из форм заявок: до отзыва согласия или [3 года] после последнего взаимодействия;

Данные для исполнения договоров: [5 лет] после исполнения договора (требование ст. 29 402-ФЗ «О бухгалтерском учёте»);

Данные для рассылок: до отзыва согласия или отписки от рассылки;

Технические и аналитические данные: [2 года] с момента сбора;

[Другие категории данных с указанием сроков].

После истечения сроков хранения персональные данные уничтожаются или обезличиваются.

7. Передача персональных данных третьим лицам

Оператор передаёт персональные данные следующим третьим лицам на основании договоров поручения на обработку персональных данных:

[Хостинг-провайдер: Timeweb] — для размещения Сайта и баз данных (серверы в РФ);

[CRM-система: amoCRM] — для обработки заявок и ведения клиентской базы (серверы в РФ);

[Сервис рассылок: UniSender] — для отправки email-рассылок (серверы в РФ);

[Система веб-аналитики: Яндекс.Метрика] — для анализа посещаемости (серверы в РФ);

[Коллтрекинг: Calltouch] — для отслеживания звонков (серверы в РФ);

[Службы доставки: СДЭК, Почта России] — для доставки заказов (только при оформлении заказа);

[Другие сервисы с указанием назначения].

Оператор не передаёт персональные данные иным третьим лицам без согласия пользователя, за исключением случаев, предусмотренных законодательством РФ.

8. Трансграничная передача персональных данных

[Вариант 1: Трансграничная передача персональных данных отсутствует. Все данные обрабатываются и хранятся исключительно на территории Российской Федерации.]

[Вариант 2: Оператор осуществляет трансграничную передачу персональных данных в следующих случаях:

Сервис [Google Analytics]: передача обезличенных аналитических данных в США на основании вашего согласия;

Сервис [название]: передача [каких данных] в [страну] на основании [согласия / договора поручения].

Первичный сбор и хранение персональных данных граждан РФ осуществляется на серверах, расположенных на территории Российской Федерации.]

9. Права субъектов персональных данных

Вы имеете право:

Получать информацию о наличии и составе ваших персональных данных у Оператора;

Требовать уточнения, обновления или исправления неточных или неполных данных;

Отозвать согласие на обработку персональных данных;

Требовать удаления ваших персональных данных (если нет законных оснований для их хранения);

Обжаловать действия Оператора в Роскомнадзор или суд.

Порядок реализации прав: направьте запрос на email: [pd@ваш-сайт.ru] или по адресу: [полный почтовый адрес]. Срок ответа на запрос: 30 дней с момента получения. Для идентификации личности может потребоваться предоставление копии документа, удостоверяющего личность.

10. Cookies и веб-аналитика

Сайт использует файлы cookie — небольшие текстовые файлы, которые сохраняются на вашем устройстве при посещении Сайта.

Типы используемых cookies:

Технические cookies (обязательные) — необходимы для работы Сайта (авторизация, корзина, сессии). Срок: до закрытия браузера;

Аналитические cookies — для сбора статистики посещаемости через [Яндекс.Метрику]. Срок: 2 года;

Функциональные cookies — для сохранения ваших настроек Сайта. Срок: 1 год;

Рекламные cookies — для показа персонализированной рекламы [если используются]. Срок: [указать].

Управление cookies: вы можете настроить или отключить cookies в настройках вашего браузера. Отключение обязательных технических cookies может привести к ограничению функциональности Сайта.

11. Меры защиты персональных данных

Оператор принимает организационные и технические меры для защиты персональных данных:

Организационные меры:

Назначен ответственный за организацию обработки персональных данных;

Доступ к персональным данным имеют только уполномоченные сотрудники;

Проводится регулярное обучение персонала;

Заключены договоры о неразглашении с сотрудниками.

Технические меры:

Шифрование данных при передаче (протокол SSL/TLS, HTTPS);

Разграничение прав доступа к базам данных и информационным системам;

Использование средств антивирусной защиты;

Регулярное резервное копирование данных;

Мониторинг попыток несанкционированного доступа;

Использование межсетевых экранов и систем обнаружения вторжений.

12. Изменения в политике конфиденциальности

Оператор оставляет за собой право вносить изменения в настоящую политику конфиденциальности. При внесении существенных изменений пользователи будут уведомлены [через баннер на Сайте / по email / при входе в личный кабинет].

Актуальная версия политики всегда доступна по адресу: [https://ваш-сайт.ru/politika-konfidentsialnosti/].

Продолжая пользоваться Сайтом после вступления изменений в силу, вы подтверждаете, что ознакомились с обновлённой политикой конфиденциальности. Если обработка ваших данных основана на согласии — при существенных изменениях целей или состава данных согласие будет запрошено повторно.

13. Контакты для обращений

По всем вопросам, связанным с обработкой персональных данных, обращайтесь:

Email: [pd@ваш-сайт.ru]

Телефон: [+7 (___) ___-__-__]

Почтовый адрес: [индекс, город, улица, дом, офис]

Реквизиты Роскомнадзора для обращений:

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), адрес: 109074, г. Москва, Китайгородский проезд, д. 7, стр. 2, официальный сайт: rkn.gov.ru

Чек-лист проверки политики конфиденциальности

Используйте этот чек-лист, чтобы убедиться, что ваша политика конфиденциальности соответствует требованиям закона.

№	Пункт проверки	Выполнено
1	Указаны полные реквизиты оператора: наименование, ИНН, ОГРН, адрес	☐
2	Указан email и/или телефон для обращений по вопросам ПДн	☐
3	Описаны конкретные цели обработки (не общие фразы)	☐
4	Перечислены все категории собираемых данных (контактные, технические, поведенческие)	☐
5	Указаны правовые основания обработки (согласие, договор, закон)	☐
6	Описаны действия с данными (сбор, хранение, передача, удаление)	☐
7	Указаны конкретные сроки хранения данных для каждой категории	☐
8	Перечислены все третьи лица, которым передаются данные (хостинг, CRM, аналитика)	☐
9	Если есть трансграничная передача — указаны страны, получатели, основания	☐
10	Описаны права пользователей (доступ, исправление, удаление, отзыв)	☐
11	Указан порядок реализации прав пользователей (куда обращаться, срок ответа)	☐
12	Описаны типы используемых cookies (технические, аналитические, рекламные)	☐
13	Указаны сроки хранения cookies и способы их отключения	☐
14	Описаны меры защиты персональных данных (общими словами)	☐
15	Указана дата последнего обновления политики	☐
16	Описан порядок уведомления пользователей об изменениях	☐
17	Политика размещена по постоянному URL на сайте	☐
18	Ссылка на политику есть в футере сайта и доступна с любой страницы	☐
19	Политика написана понятным языком без сложных юридических терминов	☐
20	Политика соответствует реальным процессам на сайте (формы, сервисы, cookies)	☐

Если хотя бы один пункт не отмечен — есть риск штрафа при проверке РКН. Доработайте политику перед публикацией.

Можно ли использовать общий шаблон политики из интернета?

Нужна ли отдельная политика cookies или можно включить в политику конфиденциальности?

Как часто нужно обновлять политику конфиденциальности?

Нужно ли получать согласие пользователя на политику конфиденциальности?

Что делать, если политика уже есть, но она не соответствует требованиям?

Обязательно ли указывать конкретные названия сервисов (Яндекс.Метрика, amoCRM)?

Как быть, если используется Google Analytics - это трансграничная передача?

Может ли юрлицо и ИП использовать одинаковую политику?

Заключение

Политика конфиденциальности — это не формальность, а ключевой документ, который защищает от штрафов и строит доверие с пользователями.

Составьте её по шаблону выше, наполните реальными данными вашего сайта, разместите в доступном месте и регулярно обновляйте при изменениях — и ваш сайт станет юридически устойчивым.

Правильно оформленная политика не только соответствует требованиям 152-ФЗ, но и помогает в маркетинге, показывая пользователям вашу прозрачность и ответственное отношение к их данным. Это вложение времени, которое окупается защитой от штрафов: от 30 000 руб. за недоступность политики до 6 000 000 руб. и выше за нарушение локализации (в редакции 420-ФЗ от 30.11.2024) — и повышением доверия клиентов.

Используйте чек-лист из этой статьи для проверки своей текущей политики или создайте новую на основе готового шаблона. Главное — не откладывайте: отсутствие или некорректная политика — один из самых частых поводов для штрафов Роскомнадзора в 2026 году.

< Согласие на обработку персональных данных на сайте: образец, чекбокс и доказательства

Уведомление в Роскомнадзор: когда подавать, как заполнить, что будет за отсутствие >