+7 495 981-01-85 + Become a customer
Services Cases Content-hub
Blog
Back

What is a privacy policy and how to write one?

#Management 15 september 2025
Цифровая эпоха диктует свои правила. Каждый клик, лайк и сообщение оставляют цифровой след. История поисковых запросов, наравне с номером телефона, именем и электронной почтой, является личной информацией пользователя. Поэтому требует защиты.
Политика конфиденциальности (ее еще называют пользовательским соглашением, политикой приватности и др.) — документ, в котором владельцы веб-ресурсов объясняют, какие личные данные пользователей они собирают и с какой целью, что они делают дальше с этой информацией. То есть как обрабатывают, хранят и защищают ее. Этот документ помогает соблюдать законы о защите персональных данных и показывает людям, что компания уважительно относится к личной информации.
Чаще всего собирают данные:

  • персональные: имя, адрес электронной почты, контактный телефон, домашний адрес;
  • технические: IP-адрес, cookies, тип браузера;
  • платежные: номера банковских карт (если есть онлайн-оплата);
  • другие: история покупок, геолокация, интересующие пользователя товары.

  • Российские компании должны опираться на ФЗ-152 «О персональных данных» и пользовательские соглашения. Если же организация работает в Европе или продает продукцию европейским покупателям, нужно изучить GDPR (General Data Protection Regulation). Для сотрудничества с американскими пользователями стоит придерживаться требований CCPA (California Consumer Privacy Act) и региональных актов.

Какие основные понятия и термины используются в политике конфиденциальности

Персональные данные (ПДн)
Сведения, связанные с конкретным человеком, то есть физическим лицом, которое посещает сайт. Это данные:

  • по которым можно идентифицировать личность: имя, серия и номер паспорта, ИНН;
  • с помощью которых можно связаться с человеком: адрес электронной почты, телефон, домашний адрес, аккаунт в соцсетях; биометрические данные: отпечатки пальцев, фото лица;
  • цифровые данные при условии, что их можно связать с личностью: IP-адрес, cookies.

Обработка персональных данных
Реальные и возможные действия с личными данными. Например, их можно собирать через форму заявки или регистрации на сайте, хранить в базах данных (даже таблице Excel) и облачных сервисах в России, можно добавлять email в базу рассылок и отправлять пользователям рекламные сообщения. Также компания должна уничтожать сведения о человеке по его запросу или если истечет срок пользования информацией — это тоже относится к обработке.
  • Например, интернет-магазин собирает email для заказа, хранит его в CRM, использует для рассылки и удаляет при отказе от услуг.
Субъект персональных данных
Посетитель сайта, который предоставляет компании право обрабатывать его персональные данные. У субъекта есть большое количество собственных прав. Например, он вправе знать, какую информацию о нем собирает компания, где хранит, как защищает, с какой целью использует. Также пользователь может запросить сами данные, потребовать исправить в них ошибки и неточности, запретить компании обрабатывать данные в будущем.
Оператор персональных данных
Физическое или юридическое лицо, которое определяет, какие данные и зачем нужно собирать, как их обрабатывать, где хранить. Он защищает личную информацию пользователей, чтобы она не попала в руки третьим лицам, особенно мошенникам, запрашивает разрешение на обработку. А еще — общается с пользователями, например, исправляет неточности в данных по запросу.
  • Оператором может быть интернет-магазин, собирающий данные покупателей. Или работодатель, ведущий кадровый учет.
Cookies (куки)
Небольшие текстовые файлы, которые сайт сохраняет на устройстве пользователя для работы и аналитики. Они бывают разными:

  • необходимыми — без них сайт не работает, например, без корзины покупок человек просто не может купить нужный товар;
  • аналитическими, нужными для сбора статистики, например, Simple Analytics;
  • рекламными, например, трекинг для таргетинга.

В России для работы с cookies нужно уведомление в политике конфиденциальности, а в Европе —согласие GDPR.
Согласие на обработку данных
Документ, подтверждающий, что человек разрешает компании обрабатывать данные. Согласие должно быть составлено так, чтобы человек понял, на что соглашается. Для каждой цели должен быть свой документ, например, подписчик готов получать рассылку, но не хочет видеть рекламу. Если человек решит, он может отозвать согласие.
Третьи лица
Компании или частные лица, которым оператор передает данные субъектов. Но нельзя просто так распространять сведения о пользователях. Так что в соглашении нужно указать, какие данные, кому и зачем передает оператор. Например, он может сотрудничать с платежной системой или сервисом рассылок. Третьи лица не имеют права передавать дальше и раскрывать полученную информацию — они гарантируют ее конфиденциальность.
Утечка данных (Data Breach)
Несанкционированный доступ к персональным данным из-за хакерской атаки, ошибки сотрудника или по другим причинам. При утечке оператор должен сообщить о ситуации в Роскомнадзор, уведомить пользователей, если утечка создает риски для них, и принять меры, например сменить пароли.
Анонимизация данных
Обработка данных так, чтобы нельзя было идентифицировать человека. Например, можно заменить Ф. И. О. пользователя на порядковый номер (ID-12345), использовать агрегированную статистику («60% пользователей — женщины»).
Другие определения
  • Конфиденциальность информации — гарантия того, что сведения о пользователе не попадут никому в руки без согласия самого пользователя.
  • Общедоступные данные — сведения, доступ к которым есть у всех, независимо от разрешения субъекта персональных данных. Например, это может быть телефон пользователя, если он размещен на сайте компании в разделе «Контакты». Также общедоступной по закону является информация из госреестра.
  • Шифрование — преобразование информации в зашифрованный вид для защиты от несанкционированного доступа.
  • Аутентификация — процедура проверки подлинности пользователя или устройства.
  • Авторизация — предоставление определенных прав доступа к информации.
  • Право на забвение — право человека без указания причин попросить удалить личную информацию о нем полностью или частично.
  • Нарушение конфиденциальности — разглашение или использование личных данных человека без его согласия.
На первый план выходит качество продукта, способного объединить коммуникации в одном месте и обеспечить пользователям быстрый доступ к тренерам и домашним заданиям. Конечно, I Love Supersport знали, чего хотят от своего приложения и какого результата ждут от подрядчика, протестировав некоторые гипотезы с помощью чат-бота и использовав полученные данные для проработки функционала будущего продукта. Он напоминал о тренировках, давал некий интерактив и сопроводительный контент, но всё-таки оставался недостаточно информативен. В штате было два бэк-энд разработчика, так что стартовали inhouse, а уже потом обратились к нам как к специалистам в области разработки мобильных приложений.

Зачем нужна политика конфиденциальности

Каждый посетитель интернет-ресурсов ежедневно создает огромный объем персональных данных. Например, заходит на сайт, используя аккаунт в социальных сетях, вводит номер карты при покупке товара, оставляет телефон и адрес при заказе еды на дом. Надо понимать, как распоряжаться этой информацией, чтобы защитить интересы пользователей и компаний.
Причины размещать политику конфиденциальности на сайте
1. Соблюдать законодательство. Во многих странах сбор и обработка персональных данных регулируются законами. В России это ФЗ-152 «О персональных данных», который требует информировать посетителей интернет-ресурсов. В Европе это GDPR, а в США — CCPA и региональные нормы. Если нарушить закон, последуют наказания: от штрафа до лишения свободы. Также Роскомнадзор может на время заблокировать ресурс.

2. Повышать доверие посетителей. Людям проще оставлять личную информацию, если они понимают: какие именно данные собирает сайт, для чего, что он с ними делает и кому передает. Например, интернет-магазин запрашивает email и геолокацию и передает платежным и маркетинговым сервисам, чтобы пользователь мог совершить заказ, а ресурс показывать подходящую рекламу.
3. Защищаться от споров и судов. Если пользователь пожалуется на незаконный сбор данных, компания сможет доказать, что он сам дал согласие (например, поставил галочку при регистрации). Когда такого согласия нет, компании грозит штраф.
4. Контролировать работу с данными. Политика помогает определить, какие данные можно собирать, а какие — нет. Еще в ней указано, у кого есть доступ к информации. Так, материалы могут смотреть и использовать не все сотрудники компании, а только ограниченный круг лиц. Это снижает вероятность, что сведения о пользователях сайта попадут третьим лицам. Если в политике написано, что компания не передает email рекламным партнерам, но сотрудник это делает, его можно наказать.
5. Подключать рекламу и работать с платежными системами. Без политики конфиденциальности разные сервисы и банки могут заблокировать рекламный кабинет или отказать в подключении платежей. Например, так делает Яндекс.Касса.
6. Обходить конкурентов. Клиенты боятся мошенников, поэтому даже простая фраза «Мы не храним данные вашей карты» увеличивает конверсию платежей. В итоге компании, которые открыто пишут о защите данных, выигрывают у тех, кто так не делает. Особенно важно говорить об охране сведений интернет-магазинам, медицинским и финансовым сервисам. Ведь там люди оставляют номера банковских карт, паспортные данные и информацию о здоровье.

Благодаря политике конфиденциальности компания юридически защищена от судебных исков, повышает доверие пользователей, формирует положительный имидж, укрепляет позиции на рынке и увеличивает число клиентов. Люди спокойнее делятся личными данными, если знают, как организация будет использовать их, и могут в любой момент отозвать согласие.

Что входит в политику конфиденциальности

Политика конфиденциальности должна быть четкой, прозрачной и соответствовать законодательству. Есть разделы, которые нужно включить в нее.
Раздел Что именно включать Для чего нужен раздел
Общие положения Название документа и его цель. Здесь же можно указать термины и определения. Пользователь должен понимать, что представляет собой документ.
Политика приватности «Учи.ру»
Политика приватности «Учи.ру»
Информация об операторе Полное наименование организации. Добавьте адрес компании и контактные данные (email, телефон). Если за работу с данными отвечает конкретный человек, укажите его Ф. И. О., должность, телефон и график работы. Для повышения доверия: ИНН/ОГРН, лицензии, разрешения. Полное наименование организации. Добавьте адрес компании и контактные данные, например, адрес электронной почты и телефон. Так пользователи смогут связаться с вами. Если за работу с данными отвечает конкретный человек, то укажите его Ф. И. О., должность, телефон и график работы. Повысить доверие можно, если включить в документ ИНН/ОГРН — это подтвердит легальность вашей деятельности. Равно как лицензии и разрешения. Пользователь должен знать, кто обрабатывает его данные и как с ним связаться.
Политика приватности ВКонтакте
Политика приватности ВКонтакте
Перечень собираемых данных Все личные данные, которые собираете. Например, имя, адрес электронной почты, адрес фактического проживания человека. Если покупатель оплачивает товары на сайте, уточните, что собираете номера банковских карт. Это актуально, если вы не используете платежный шлюз. Компании часто собирают IP-адреса и cookies. Если это актуально для вас, включите такой пункт в перечень. Лучше указать все, чем что-то пропустить. Например, если вы отслеживаете предпочтения пользователя, чтобы предлагать актуальные товары, уточните и это. О сборе особых категорий данных сообщают отдельно. К таким относятся сведения о здоровье пользователей и биометрия. Пользователь должен понимать, какие данные собирает компания. Только так он может понять, соглашаться на обработку или нет.
Политика приватности «Госуслуг»
Политика приватности «Госуслуг»
Цель сбора данных Все цели, независимо от их количества. Если цель не указана, то собирать для нее данные нельзя. Например, если вы написали, что запрашиваете адрес только для доставки, то использовать его для подбора рекламы незаконно. Чаще всего сведения собирают, чтобы анализировать поведение людей, доставлять заказы или выполнять требования закона. Последнее, например, актуально, если данные нужно передать в налоговую службу. Дополнительно укажите сроки обработки, период использования информации и условия для прекращения. Пользователю должны быть понятны мотивы компании.
Политика приватности ФНС
Политика приватности ФНС
Порядок обработки данных Кто и как собирает данные. Вы можете получать их через форму регистрации на сайте, cookies или другим способом. Напишите, кто, кроме вас, имеет доступ к этой информации и зачем. Если данные передаются за границу, укажите, как обеспечиваете защиту сведений. Пользователь должен понимать, в какой момент компания получает его данные.
Политика приватности «Учи.ру»
Политика приватности «Учи.ру»
Правовые основания обработки Все документы, на которые опираетесь. Так, пользователь мог дать согласие при регистрации на сайте, мог подписать договор. Напишите, что соблюдаете ФЗ-152 «О персональных данных», а также GDPR — если работаете с европейскими клиентами, и CCPA — если работаете с американскими пользователями. Если в компании есть внутренние акты или отраслевые стандарты, укажите и их. Пользователь должен знать, что сбор данных — необходимость, а не прихоть.
Политика приватности ФНС
Политика приватности ФНС
Перечень третьих лиц Весь список третьих лиц, которым доступна личная информация пользователей. Уточните, почему вы передаете ее и как защищены сведения. Пользователь должен быть уверен, что его данные не попадают третьим лицам без необходимости.
Политика приватности Telegram
Политика приватности Telegram
Безопасность информации Места и сроки хранения, а также меры защиты информации. По закону, вы должны хранить личные данные пользователей на серверах и облачных хранилищах в РФ. К мерам защиты относятся SSL-шифрование, двухфакторная аутентификация, защита от DDoS-атак. Плюс отдельно напишите про обучение сотрудников, NDA (соглашение о неразглашении) и аудит безопасности. Расскажите, что будете делать при утечке. Например, уведомите Роскомнадзор и пользователей. Пользователь должен быть уверен, что вы принимаете все меры, чтобы его данные были защищены.
Политика приватности ФНС
Политика приватности ФНС
Права пользователей Все права. Они закреплены в законодательстве, но их лучше перечислить, чтобы пользователям не пришлось искать информацию самостоятельно. Вы должны предоставить право на доступ человека к его данным, право просить исправить информацию или удалить ее, перенести какие-то факты и др. Опишите, как человек может подать запрос на реализацию своего права, впишите свои контактные данные, срок рассмотрения заявлений. Пользователи должны знать, какие у них есть возможности.
Политика приватности ВКонтакте
Политика приватности ВКонтакте
Вариант реализации прав пользователей на «Авиасейлс»
Изменения в политике Порядок внесения изменений. Укажите, когда и почему вносите поправки в документ. И обязательно напишите, как будете сообщать об изменениях пользователям. Например, разместите баннер на сайте или отправите рассылку на почту. В оповещение добавьте дату, с которой изменения вступят в силу. В самом документе указывайте, на какую дату он актуален. Пользователь должен согласиться не только с первоначальным документом, но и со всеми изменениями в нем.
Политика приватности Telegram
Политика приватности Telegram
Контакты для вопросов Любые контакты: email, форма обратной связи или телефон службы поддержки. Укажите график работы и сроки ответов. Пользователь должен знать, к кому обратиться, если он хочет отозвать или скорректировать данные.
Политика приватности ФНС
Политика приватности ФНС
Пишите как можно проще. Да, это юридический документ, но он должен быть понятным любому читателю. Убирайте размытые фразы, все должно быть предельно ясно и конкретно.

Как составить документ

Есть несколько способов, начиная с самостоятельной разработки и заканчивая заказом у профессионалов. Рассмотрим все варианты с их плюсами и минусами.

Использование онлайн-генераторов Адаптация готового шаблона Заказ у юриста Работа с конструктором и юристом Заголовок 7
Кому подходит Малый бизнес, стартапы, блогеры. ИП, средний и локальный бизнес. Крупный бизнес, международные компании. Средний бизнес, стартапы на этапе масштабирования.
Стоимость До 5 000 руб. До 10 000 руб. От 15 000 до 100 000+ руб. От 5 000 до 20 000 руб.
Сроки До 15 минут. До 3 дней. До 7 дней. До 4 недель.
Надежность Низкая Средняя Высокая Высокая
Порядок действий
  1. Выберите онлайн-генератор.
  2. Выберите тип ресурса: сайт-визитка, приложение, интернет-магазин.
  3. Отметьте данные, которые собираете: Ф. И. О., email, геолокация.
  4. Укажите страну для соответствия местным законам.
  5. Получите готовый текст.
  6. Проверьте и скорректируйте документ.
  1. Возьмите за основу документ компании, которая работает в вашей сфере.
  2. Замените данные оператора (реквизиты).
  3. Отредактируйте разделы под ваш сбор данных и специфику организации.
  4. Проверьте ключевые элементы.
  1. Выберите юридическую компанию или консультанта.
  2. Предоставьте информацию о бизнесе.
  3. Разработайте индивидуальный документ.
  4. Согласуйте политику конфиденциальности.
Дальнейшие действия совершает юрист:

  1. Анализ бизнес-процессов.
  2. Разработка индивидуального текста.
  3. Согласование со всеми отделами.
  4. Регистрация в Роскомнадзоре.
  5. Подготовка сопутствующих документов (согласия, оферты).

  1. Сгенерируйте базовый вариант через сервис.
  2. Найдите юриста для проверки или доработки.
  3. Внесите правки по замечаниям.
Плюсы
  • Высокая скорость.
  • Низкая цена: базовые варианты могут быть бесплатными.
  • Автоматическое обновление шаблона при изменении законов.
  • Простота использования.
  • Учет отраслевой специфики, соответствие базовым требованиям.
  • Экономия времени и бюджета.
  • Возможность глубокой кастомизации.
  • Доступность шаблонов.
  • Полное соответствие законодательству.
  • Учет всех нюансов бизнеса.
  • Выполнение всех юридических требований.
  • Возможность получить дополнительные консультации.
  • Оптимальное соотношение цены и качества.
  • Относительно небольшие сроки.
  • Возможность получить развернутые комментарии.
Минусы
  • Шаблонность, так как документ не учитывает нюансы бизнеса.
  • Невозможность учесть специфические требования.
  • Необходимость юридической проверки.
  • Необходимость проверки юристом.
  • Риск упустить важные нюансы.
  • Риск использовать устаревшие шаблоны.
  • Высокая стоимость.
  • Длительные сроки разработки.
  • Возможное несоответствие ожиданиям.
  • Необходимость координировать процесс.
  • Зависимость качества документа от конкретного юриста.
Дополнительно Популярные сервисы

Хорошие рекомендации дает Роскомнадзор.

 Где взять шаблоны

  • Юридические сайты (например, garant.ru).
  • Примеры от конкурсов в вашей нише.
  • Документы похожих зарубежных компаний.

Когда нужен юрист

  • При работе с детскими данными.
  • При обработке медицинской информации.
  • При ведении международной деятельности.
  • При работе в нишах, связанных с финансами или биометрией.

Где найти юриста

  • Сервисы фриланса (Kwork, Upwork).
  • Юридические маркетплейсы (Правовед).
  • Специализированные студии (например, для IT-стартапов)

Конечно, можно полностью самостоятельно составить документ: вы будете контролировать его содержание и учтете специфику бизнеса. Но есть риск, что упустите важные детали.
Как правильно составить политику конфиденциальности
1. Проанализируйте информацию. Определите, что собираете, какими каналами пользуетесь, зачем это необходимо.

2. Составьте структуру документа. Изучите основные разделы и продумайте подробное наполнение.
3. Оформите документ. Он должен иметь четкую структуру, оставаться актуальным и не содержать двусмысленных формулировок.
4. Проверьте документ. Чаще всего необходима юридическая экспертиза, техническая проверка, проверка на соответствие целям компании.
5. Разместите документ. Важно, чтобы любой пользователь мог легко найти текст на сайте.
6. Уведомьте Роскомнадзор о начале работы с персональными данными. Это должны сделать все компании, использующие политику конфиденциальности. 7. Выберите ответственного за хранение. В штате должен быть человек, который отвечает за данные пользователей. Обычно это юрист или специалист отдела кадров.
8. Поддерживайте актуальность. Отслеживайте изменения в законодательстве, процессы обработки информации в компании, по мере необходимости обновляйте информацию об организации.

Данные пользователей надо хранить на серверах в России — это условие Роскомнадзора. В противном случае сайт заблокируют.
Кто должен готовить политику конфиденциальности
Если сайт компании делает подрядчик, то чаще всего над документом работают обе стороны. Подрядчик (разработчик сайта) готовит базовый документ, а точный перечень данных, цели обработки, реквизиты компании предоставляет заказчик (сама компания). Он же обеспечивает проверку на соответствие юридическим требованиям и утверждает окончательную версию. Когда все готово, подрядчик размещает готовый документ на сайте.
Разработчик может полностью взять на себя подготовку политики конфиденциальности, если он делает простой сайт, например, лендинг, блог, типовой интернет-магазин или проект с базовым сбором данных. Но даже в этом случае ответственность за содержание документа лежит на заказчике.

У кого должна быть политика конфиденциальности

Документ о работе с личной информацией пользователей должны составлять и размещать на своих сайтах все компании и предприниматели, которые работают с персональными данными. Пусть у вас даже небольшой онлайн-проект, на котором посетители оставляют комментарии к статьям.
Размещайте документ, если на ресурсе есть:

  • формы заказов и заявок любого типа;
  • системы аналитики, использующие cookies (например, Яндекс.Метрика);
  • социальные виджеты с возможностью авторизации через соцсети;
  • контактные формы в мессенджерах;
  • системы обратного звонка;
  • разделы для комментариев и отзывов;
  • рассылки (email, SMS, push-уведомления).

Кто обязательно должен иметь политику конфиденциальности
1. Веб-сайты и мобильные приложения: интернет-магазины, сайты с формами обратной связи, сервисные компании с онлайн-заявками, блоги с комментариями и лендинги. Если вы собираете Ф. И. О., телефоны и адреса доставки, предлагаете подписаться на email-рассылку, зарегистрироваться и оставить комментарий, без политики не обойтись. Она нужна даже сайтам-визиткам, на которых нет ничего, кроме формы «Заказать звонок».

2. Компании и ИП, работающие с клиентскими данными: это банки, страховые компании, микрофинансовые организации, медицинские учреждения, HR-агентства. Как правило, они обрабатывают паспортные данные и финансовую информацию, ведут учет сотрудников и собирают данные о здоровье.
3. Сервисы, использующие аналитику и cookies. Если на сайте, например, стоит Яндекс.Метрика, а компания использует рекламные cookies для таргетинга, подготовьте политику.

Кому желательно иметь политику конфиденциальности
  • Компаниям, которые ведут бизнес-аккаунт и собирают данные клиентов через соцсети и мессенджеры.
  • Организациям, которые ведут бизнес в офлайне, но при этом собирают телефоны, имена, детали бронирований или другие данные. Так обычно делают гостиницы и рестораны, медицинские специалисты, юристы и магазины, предоставляющие дисконтные карты.
  • Фрилансерам, которые хранят данные клиентов в Excel или CRM (даже почту для рассылки счетов), используют email-рассылки.
Когда вы ведете личный блог и не собираете чужие данные, а на страничке у вас только текст и картинки без интерактива, политика не нужна. Но добавьте ее, если начнете использовать хотя бы один счетчик посещений.

Что будет, если не разместить на сайте пользовательское соглашение

Базовые принципы защиты личной информации закреплены в Конституции РФ. Каждый человек имеет право знать, какие сведения о нем собирают компании и зачем, и требовать, чтобы все данные оставались конфиденциальными. Поэтому, когда говорят о последствиях отсутствия политики конфиденциальности, в первую очередь имеют в виду административную ответственность, то есть штрафы. Их размер может составлять до нескольких миллионов рублей. Но об этом мы поговорим ниже. Есть и другие риски.
Ограничения в работе. Роскомнадзор может ограничить доступ к ресурсу, а при повторном нарушении даже заблокировать сайт. Также из-за судебных разбирательств деятельность компании-нарушителя может быть приостановлена на срок до 3 месяцев.
Проблемы с партнерами. Платежные системы, рекламные площадки и банки могут отказаться сотрудничать с компанией, которая не разместила на своем сайте политику конфиденциальности. Также на то, соблюдает ли организация требования законодательства, обращают внимание инвесторы.
Операционные сложности. Без политики конфиденциальности компании может быть запрещено собирать данные от клиентов и размещать онлайн-формы.
Угрозы безопасности. Без политики приватности сотрудники компании могут хранить информацию в открытых Excel-файлах и перепродавать данные клиентов. В итоге мошенникам будет проще найти нужные им сведения о других людях.
Репутационные потери. Пользователи стремятся не сотрудничать с организациями, которые не гарантируют безопасность личных данных. Поэтому компания может потерять доверие клиентов и партнеров и получить негативные отзывы. Еще хуже, если данными клиентов завладеют мошенники. Они могут шантажировать компанию и рассылать спам от ее имени.
  • Из-за всех этих последствий сложнее масштабировать бизнес, привлекать инвестиции и выходить на новые рынки.

Какая ответственность за нарушение политики конфиденциальности существует

Чаще всего нарушитель платит штраф. Но есть и другие меры наказания, например, исправительные работы или даже арест. Все зависит от ситуации.
Административная

Регулируется ст. 13.11 КоАП РФ и законами о персональных данных.

Нарушение Штраф для физических лиц Штраф для должностных лиц Штраф для юридических лиц Заголовок 5 Заголовок 6 Заголовок 7 Заголовок 8 Заголовок 9
Обработка личной информации без согласия 10 000 – 15 000 рублей 100 000 – 300 000 рублей 300 000 – 700 000 рублей Нужен блок с табличкой для статей на вихре Нужен блок Нужен блок Нужен блок с табличкой для статей на вихре Нужен блок
Обработка личной информации в случаях, не предусмотренных законодательством РФ 10 000 – 15 000 рублей 50 000 – 100 000 рубле 150 000 – 300 000 рублей
Неопубликование политики конфиденциальности или ограничение доступа к ней 1 500 – 3 000 рублей 6 000 – 12 000 рублей 30 000 – 60 000 рублей
Утечка данных из-за халатности 1 500 – 4 000 рублей 8 000 – 20 000 рублей 50 000 – 100 000 рублей
  • Если компания нарушает закон повторно, размер штрафа увеличивается.
Дополнительно Роскомнадзор может заблокировать сайт до устранения нарушений, приостановить деятельность компании, запретить работать с личными сведениями или аннулировать лицензию.
Гражданско-правовая
Меры наказания прописаны в ст. 151 ГК РФ и законе «О защите прав потребителей». Чаще всего речь идет о возмещении убытков, если они есть. Но пользователь может требовать компенсировать моральный вред. Фиксированной суммы здесь нет — все решает суд.
Уголовная
Она наступает, если доказано, что данные собирались незаконно, кто-то раскрыл конфиденциальную информацию, украл личные сведения и т. п. Меры наказания прописаны в ст. 137, 272, 274 УК РФ. Так, за незаконный сбор данных можно лишиться свободы на срок до двух лет. А за взлом систем — до семи.
  • Компания должна устранить нарушение и его последствия и уведомить Роскомнадзор. И, конечно, сделать все, чтобы не было повторных нарушений.
Ответственность при работе с иностранными клиентами
Компании обычно подчиняются законам страны, в которой зарегистрированы и находятся физически. Однако если бизнес целенаправленно работает с иностранными пользователями, могут применяться международные нормы. Так бывает, если:

  • сайт явно направлен на пользователей из другой страны, например, есть версия на иностранном языке, цены указаны в валюте, а компания рекламирует товары на иностранных площадках;
  • компания хранит или обрабатывает данные на иностранных серверах;
  • у бизнеса есть представительство или филиал в другой стране.

В этом случае нужно изучить законодательство соответствующей страны и придерживаться его.
Если же сайт полностью российский, но его случайно посетил пользователь из другой страны, то компания несет ответственность только по российскому законодательству.

Как правильно разместить политику приватности на сайте

Нельзя просто разместить документ в одном из подразделов сайта. Надо выполнить несколько условий:
  • политику должно быть легко найти на сайте — пользователь не должен проваливаться в подразделы, чтобы почитать документ, выпадающие меню тоже не подойдут;
  • политика должна быть видна всем — и авторизованным пользователям, и тем, кто просто случайно зашел на сайт;
  • политика должна быть видна на всех страницах — независимо от того, в каком разделе находится пользователь;
  • политика должна быть размещена на самом сайте — никаких редиректов на другие домены.
Чаще всего документ размещают в главном меню или футере сайта. Также его можно разместить в разделе типа «Правовая информация», в форме регистрации и сбора данных. У пользователя не должно быть шансов не увидеть политику.
Она должна представлять собой отдельную HTML-страницу. Это не должен быть документ в формате .pdf или картинка. Позаботьтесь о версии для печати и проверьте, адаптирована ли политика конфиденциальности под мобильные устройства.
Регламентированных требований по оформлению документа нет. Например, вы можете использовать любой шрифт, главное — чтобы он был читабельным. Разделите текст на логические блоки, используйте подзаголовки и списки, выделяйте важные моменты, добавляйте содержание и ставьте якорные ссылки при необходимости.
Фотография

Политика приватности и сообщение об использовании cookies на «Учи.ру»

Фотография

Фотография

Фотография

Сообщение о cookies на «Авиасейлс»

Когда надо обновлять политику конфиденциальности

Важно регулярно актуализировать документ, чтобы он оставался юридически значимым и защищал бизнес от рисков. И лучше хранить все версии с датами.
Обязательно обновляйте политику конфиденциальности, если:

  • изменилось законодательство;
  • компания начала собирать новую информацию, например, геолокацию для более актуальных рекламных предложений;
  • компания начала сотрудничать с новыми подрядчиками, например, платежными системами;
  • сменился оператор персональных данных.

Актуальность политики конфиденциальности лучше проверять каждые 3–6 месяцев.
Об изменениях нужно уведомить всех пользователей. Например, разместить на сайте баннер, отправить уведомление по email, отображать обновления при запуске сайта или мобильного приложения. А с Роспотребнадзором изменения можно не согласовывать.
Какие законы отслеживать
В банковской и медицинской сфере можно отслеживать нормативные акты, регулирующие требования к защите информации.

Какие типичные ошибки при работе с политикой конфиденциальности компании допускают чаще всего

Политика конфиденциальности — не формальность, а юридически значимый документ. Ошибки в нем могут привести к штрафам, судебным искам или потере доверия клиентов.
Юридические ошибки
1. Нет обязательных разделов. Например, информации об операторе, целях обработки и правах пользователей.
Неправильно: «Мы собираем данные для улучшения сервиса».

Правильно: «Мы обрабатываем ваш email для отправки заказов и рассылки новостей. Вы всегда можете отписаться.

2. Документ не соответствует законодательству. Например, не зарегистрирован в Роскомнадзоре.
Технические ошибки
1. Документ некорректно размещен на сайте. Например, ссылка скрыта в глубине меню, документ не индексируется, так как сохранен в формате .pdf.

2. Информация устарела. Например, в него не добавили новый платежный сервис, которым пользуется компания, или указаны старые реквизиты. Обновите информацию и укажите дату составления документа.
3. Документ медленно загружается.
4. В документе есть неработающие ссылки.

Ошибки в содержании
1. Размытые формулировки. Противоречий тоже быть не должно.
Неправильно: «Мы можем использовать ваши данные для маркетинга». Правильно: «Мы отправляем рекламные письма 2 раза в месяц. Вы можете отписаться в любой момент».
2. Избыточный сбор данных. Например, компания собирает геолокацию, но не уточняет зачем. Или запрашивает паспортные данные для простой подписки на новости.
3. Неправильная работа с cookies. Например, компания не предупреждает, что собирает их, и не дает отказаться.
Ошибки безопасности
1. Нет защиты данных. То есть в документе нет упоминания о SSL-шифровании и не указаны меры против утечек. Обязательно добавьте в политику фразу типа «Мы храним данные в зашифрованном виде и регулярно проводим аудиты безопасности».

2. Данные передаются третьим лицам без гарантии безопасности.

Неправильно: «Мы можем передавать данные партнерам».

Правильно: «Данные передаются только подрядчикам, заключившим с нами NDA».

Неудобная навигация по документу, отсутствие версии для слабовидящих, некорректное отображение на мобильных устройствах тоже считаются ошибками.
Проверьте, все ли положения прописаны, есть ли ответственные лица, грамотно ли вы распределили обязанности между ними, соответствует ли документ положению дел в компании, есть ли у вас необходимые и указанные в политике конфиденциальности средства защиты информации. Уделите внимание обратной связи, она тоже должна быть.
  • Чтобы избежать ошибок, нужно не только отслеживать изменения в законодательстве и компании. Но и обучать персонал, чтобы он оперативно реагировал и грамотно выстраивал работу с пользователями.

Reach out to us
to start discussing your project

Content-hub

# Management 01 september 2025
What is a lead magnet: examples, types, instructions for creating, templates

AGIMA Editorial
# Management 23 april 2025
10 Best Cloud Storage Services for Business

AGIMA Editorial
# Management 23 may 2025
Effective tools and techniques for goal setting and planning

AGIMA Editorial
0 / 0

About

Our approach

Cases

Become a client

Content-hub

Careers at AGIMA

Contacts

Rus Eng

© 2025 AGIMA. All rights reserved.
Privacy Policy
+7 495 981-01-85

We use our own and (third-party) cookies for analytical purposes and to show you personalised content based on a profile prepared from your browsing habits. By continuing to use the site, you agree to the terms of using cookies.