Политика конфиденциальности – это публично доступный документ, в котором оператор описывает, как и с какой целью он собирает, использует и защищает персональные данные пользователей сайта. Закон обязывает каждого оператора персональных данных опубликовать документ, определяющий его политику в отношении обработки ПДн. Иными словами, если на сайте собираются какие-либо личные сведения о посетителях, на этом же сайте должна быть размещена политика обработки персональных данных.
Хорошая политика конфиденциальности должна быть легкодоступна для пользователей (обычно на нее ставят ссылку в футере сайта или в разделе «Правовая информация»). В самом документе рекомендуется раскрыть следующие ключевые разделы:

• Общие положения – базовые понятия (что считается персональными данными, что такое их обработка, кто является оператором и т.д.).
  
  
• Цели обработки и правовые основания – зачем собираются данные и на каком основании (например, оформление заказа – основание: выполнение договора; рассылка новостей – основание: согласие пользователя).
  
  
• Перечень собираемых данных – какие конкретно персональные данные вы запрашиваете у пользователей (ФИО, email, телефон, адрес и пр.).
  
  
• Способы, сроки обработки и хранения – как обрабатываются данные (автоматизированно или нет), как долго хранятся, и как уничтожаются после достижения целей или отзыва согласия.
  
  
• Права пользователя и обязанности оператора – право субъекта данных отозвать согласие, запросить уточнение или удаление данных; обязанность компании обеспечить защиту данных и прочие меры.
  
  
• Контактные данные оператора – наименование организации (или ФИО ИП), адрес, email, телефон и иные контакты для связи по вопросам персональных данных.
  
  

Важно, чтобы политика отражала реальную практику обработки данных в вашей компании и была написана понятным языком. Размещение для галочки шаблонной «Политики конфиденциальности», не соответствующей фактическим процессам, может расцениваться контролирующими органами как отсутствие документа. Отсутствие же политики на сайте является прямым нарушением ч.2 ст.18.1 закона № 152-ФЗ, что может повлечь штраф для организации от 30 000 до 60 000 рублей. Чтобы избежать санкций, убедитесь, что актуальная версия политики конфиденциальности доступна на сайте для ознакомления всем посетителям.

Второй необходимый элемент соблюдения 152-ФЗ – получение согласия субъекта на обработку его персональных данных. Закон требует, чтобы такое согласие было «конкретным, информированным, сознательным и однозначным». Это означает, что пользователь добровольно и явно подтверждает разрешение на конкретные действия с его данными, будучи осведомлён о целях и условиях их использования.
На практике на сайте согласие обычно реализуется в виде чекбокса или отдельного поля, которое пользователь должен отметить при заполнении формы. Рядом с ним размещается формулировка, например: «Я даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности». Без установки этой «галочки» отправка формы блокируется. В тексте согласия (будь то всплывающее окно, пользовательское соглашение или ссылка рядом с формой) должны быть перечислены основные моменты:

• Перечень персональных данных, которые пользователь предоставляет и на которые распространяется согласие (например: имя, телефон, email и т.д.).
  
  
• Цели обработки данных – например, выполнение заказа, доставка товара, предоставление доступа к сервису, рассылка новостей.
  
  
• Срок действия согласия и способ его отзыва – часто указывается, что согласие действует до его отзыва, и описывается, как пользователь может его отозвать (например, направив письмо на определённый адрес).
  
  
• Информация об операторе – кто именно будет обрабатывать данные (название организации или ИП, адрес, контакты).
  
  

Обратите внимание: если на сайте собираются персональные данные, простого уведомления недостаточно. Пользователь должен именно дать разрешение на обработку – проставить отметку или иным способом явно согласиться. Например, при регистрации аккаунта или оформлении заказа должна стоять опция вроде: «Я соглашаюсь на обработку персональных данных».
Без надлежащим образом полученного согласия хранение и использование личной информации будет незаконным. Это подпадает под нарушение условий обработки данных (ч.1 ст.6 152-ФЗ), то есть обработка без правовых оснований. Санкция за такое нарушение значительно строже, чем за отсутствие политики: для юрлиц штраф до 300 000 ₽, а с 30 мая 2025 года – до 700 000 ₽ (при повторном нарушении – до 1,5 млн ₽). Проще говоря, если на вашем сайте есть формы и вы собираете данные без получения согласия пользователя, компания рискует получить серьёзный штраф.

Отдельного внимания заслуживают cookie-файлы. Это небольшие фрагменты данных, которые сайт сохраняет в браузере пользователя. Cookie часто используются для статистики, аналитики (например, Яндекс Метрика, Google Analytics) и персонализации контента. Несмотря на то что закон 152-ФЗ прямо не упоминает cookies, Роскомнадзор интерпретирует использование cookie как сбор персональных данных, если эти файлы содержат информацию, позволяющую идентифицировать пользователя. Например, уникальный идентификатор сессии, IP-адрес, данные о поведении на сайте – все это может считаться персональными данными при определённых условиях.
В связи с этим рекомендуется внедрить на сайте отдельную политику в отношении cookie. В ней прописывается: какие виды cookie используются (сессионные, постоянные, сторонние и т.д.), для каких целей происходит сбор данных через cookies (например, аналитика посещаемости, показ персонализированной рекламы), и как пользователь может отказаться от использования cookie (например, через настройки браузера или нажав определённую кнопку на сайте). Политику cookie, как правило, размещают по ссылке рядом с политикой конфиденциальности.
Помимо самой страницы с описанием cookie, сегодня распространена практика отображать всплывающий cookie-баннер при первом заходе на сайт. В баннере кратко сообщается, что на сайте используются cookie-файлы, и предлагается согласиться (либо настроить их использование). Такой баннер фактически выполняет роль получения согласия на обработку пользовательских данных через cookie. Отсутствие предупреждения о cookie и явного согласия пользователя может рассматриваться как обработка данных без законного основания. За это, как уже упоминалось, предусмотрены штрафы: сейчас до 100 тыс. ₽, а после вступления изменений – до 300 тыс. ₽ для организаций. Поэтому внедрение понятного баннера и подробной политики cookie – это не только вопрос удобства пользователя, но и вашей безопасности с точки зрения закона.

Помимо публично доступных документов (политики и согласий), закон 152-ФЗ обязывает оператора иметь внутренние организационно-распорядительные документы, регулирующие обработку и защиту персональных данных в компании. Эти документы не выкладываются на сайт, но должны быть разработаны и действовать внутри организации. При проверке Роскомнадзор обычно запрашивает их наличие и содержание.
Что входит в типовой комплект таких внутренних документов:

• Приказ о назначении ответственного за организацию обработки персональных данных – документ, которым руководитель компании назначает конкретное должностное лицо (или подразделение) ответственным за соблюдение закона 152-ФЗ.
  
  
• Положение об обработке и защите ПДн – внутренний регламент, описывающий порядок работы с персональными данными: как и где собираются данные, как систематизируются, где хранятся, кто имеет доступ, как защищаются, когда и как уничтожаются по завершении целей обработки. По сути, это и есть внутренняя «политика оператора» по обработке данных, детализированная под процессы компании. Причём закон требует разрабатывать локальные акты отдельно по каждой цели обработки, с указанием категорий собираемых данных, категорий субъектов, сроков хранения и т.д..
  
  
• Журналы учёта операций с персональными данными – например, журнал учета лиц, допущенных к обработке ПДн, реестр информационных систем и баз данных, где хранятся персональные данные, и тому подобные документы.
  
  
• Инструкции и соглашения с сотрудниками – это может включать должностные инструкции с обязанностями по защите ПДн, соглашения о неразглашении персональных данных, правила использования съемных носителей, паролей и прочие меры информационной безопасности.
  
  
• Политика оператора в отношении обработки ПДн – иногда так называют общий внутренний стандарт компании по работе с персональными данными. Фактически он пересекается с положением об обработке ПДн, упомянутым выше, и закрепляет цели, правовые основания, принципы обработки данных в организации.
  
  

Согласно п.2 ст.18.1 закона, оператор сам определяет необходимые меры для обеспечения выполнения требований, но обязан издать документы, устанавливающие правила обработки данных и меры по предотвращению нарушений. Эти внутренние акты должны регулярно пересматриваться и актуализироваться, особенно при изменениях законодательства или бизнес-процессов. На проверке оператор должен по требованию предоставить такие документы уполномоченному органу (Роскомнадзору) для подтверждения, что меры соблюдения закона приняты.Отдельно отметим: если организация собирает персональные данные через интернет, она должна уведомить Роскомнадзор о начале обработки ПДн, встав в реестр операторов (есть ряд исключений, но для большинства сайтов коммерческих организаций это актуально). С 2025 года за отсутствие установленной регистрации также введён штраф до 300 тыс. ₽. Поэтому убедитесь, что ваше юридическое лицо направило соответствующее уведомление, либо что вы подпадаете под исключения из этой обязанности.

Несоблюдение требований закона о персональных данных чревато серьёзными последствиями. Контролирующий орган (Роскомнадзор) при выявлении нарушений может применить как административные штрафы, так и ограничительные меры. Рассмотрим основные риски:

• Штраф за отсутствие политики конфиденциальности на сайте. Если компания не опубликовала документ о политике обработки ПДн (или спрятала его так, что доступ ограничен), это нарушение ч.3 ст.13.11 КоАП РФ. Для юридических лиц предусмотрен штраф от 30 000 до 60 000 рублей. Казалось бы, суммы не очень большие, но это только начало.
  
  
• Штрафы за отсутствие согласия или нарушение правил обработки. Если оператор фактически обрабатывает данные без необходимого согласия пользователя либо с превышением заявленных целей, наказание значительно суровее. По ч.2 ст.13.11 КоАП РФ штраф для организаций достигает 700 000 рублей (при повторном нарушении – до 1,5 млн). Например, отсутствие нужной галочки при сборе данных, сбор лишних данных, использование их не по заявленной цели – всё это может быть квалифицировано как обработка без законных оснований.
  
  
• Штрафы за прочие нарушения 152-ФЗ. Закон предусматривает санкции и за другие проступки: хранение данных за пределами РФ в нарушение требований локализации (штраф до 6 млн ₽), несвоевременное удаление данных по запросу субъекта, несообщение пользователю информации об обработке и т.д. Чем серьезнее и умышленнее нарушение – тем выше штрафы (в отдельных случаях и до 18 млн ₽ для крупных организаций).
  
  
• Блокировка сайта. При грубых нарушениях Роскомнадзор может пойти на крайнюю меру – ограничение доступа к сайту. На основании ст.15.5 закона № 149-ФЗ сайт, нарушающий закон о персональных данных, может быть внесён в реестр нарушителей, после чего провайдеры обязаны ограничить к нему доступ. Проще говоря, ресурс блокируется до устранения нарушений. Практика показывает, что разблокировка сайта после приведения его в порядок может занять несколько недель (в среднем около 30 дней), в течение которых бизнес несёт репутационные и финансовые потери.
  
  

Помимо государственных санкций, важен и репутационный риск. Публичный скандал из-за утечки или незаконной обработки данных способен подорвать доверие клиентов. Поэтому вложения в соблюдение 152-ФЗ – это вклад в устойчивость и надежность вашей компании.