Политика обработки персональных данных: как составить и адаптировать

Иван Корнев·03.05.2026·6 мин

Политика обработки персональных данных (ПОПД) — это обязательный публичный документ, который объясняет пользователям, какие их данные вы собираете, с какой целью и как защищаете. Чтобы документ был легитимным, он должен точно отражать реальные процессы на вашем сайте: от сбора email в форме подписки до использования файлов cookie. Ниже представлен актуальный образец структуры и инструкция по его адаптации под конкретный бизнес.

Зачем нужна политика и кто обязан её публиковать

Согласно законодательству (в РФ — 152-ФЗ «О персональных данных», в ЕС — GDPR), любой оператор, собирающий персональные данные (ПДн), обязан опубликовать документ, определяющий его политику в отношении обработки ПДн.

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу. На сайте это могут быть:

  • ФИО, телефон, email (при регистрации или заказе).
  • IP-адрес, данные о браузере и устройстве (через аналитику и cookie).
  • Платежные реквизиты (если не используются сторонние шлюзы, не передающие вам полные данные карты).

Отсутствие политики или её несоответствие реальным процессам влечет штрафы. Для юридических лиц в РФ штрафы за нарушения в сфере ПДн регулярно индексируются и могут достигать сотен тысяч рублей за каждый выявленный факт нарушения.

Документ решает две задачи:

  1. Юридическая: Выполняет требование закона о прозрачности обработки данных.
  2. Маркетинговая: Повышает доверие пользователей, демонстрируя серьезный подход к безопасности.

Структура документа: обязательные разделы

Универсального шаблона, подходящего всем без изменений, не существует, но есть минимально необходимая структура. Используйте этот каркас для создания своего документа.

1. Общие положения

Здесь указывается название компании (или ИП), статус оператора ПДн и цель документа.

Пример: «Настоящая Политика определяет порядок обработки и защиты информации о физических лицах, пользующихся услугами сайта [Название сайта]».

2. Какие данные мы собираем

Разделите данные на категории. Не пишите «мы собираем всё», будьте конкретны.

  • Предоставляемые пользователем: имя, телефон, email, адрес доставки.
  • Автоматически собираемые: IP-адрес, тип браузера, история посещений, файлы cookie.

3. Цели обработки

Для каждой категории данных укажите цель. Закон требует, чтобы цель была конкретной и законной.

  • Идентификация пользователя при регистрации.
  • Обработка заказов и доставка товаров.
  • Обратная связь и техническая поддержка.
  • Отправка маркетинговых рассылок (только при наличии отдельного согласия).
  • Улучшение работы сайта и анализ статистики.

4. Правовые основания

Укажите, на основании чего вы обрабатываете данные:

  • Согласие субъекта ПДн (галочка в форме).
  • Исполнение договора (оферты).
  • Законные интересы оператора (например, безопасность сайта).

5. Передача данных третьим лицам

Честно опишите, кому вы передаете данные. Это не нарушение, если пользователь предупрежден.

  • Службы доставки (для передачи адреса и телефона получателя).
  • Платежные агрегаторы (для обработки транзакций).
  • Сервисы аналитики (Яндекс.Метрика, Google Analytics).
  • CRM-системы и сервисы рассылок.

Если вы используете зарубежные сервисы (например, иностранные хостинги или аналитику), обязательно упомяните вопрос трансграничной передачи данных и мерах по обеспечению безопасности.

6. Срок хранения данных

Укажите общие принципы: «Храним данные до достижения целей обработки или до отзыва согласия», либо конкретные сроки, если они установлены законом (например, для бухгалтерских документов).

7. Права пользователя

Опишите, как человек может управлять своими данными:

  • Запросить копию своих данных.
  • Потребовать исправления неточностей.
  • Отозвать согласие на обработку (и указать, как это сделать).
  • Потребовать удаления данных.

8. Меры защиты

Общий блок о том, что вы делаете для безопасности: использование HTTPS, ограничение доступа сотрудников, регулярное обновление ПО.

Опишите, какие типы cookie вы используете (технические, аналитические, рекламные) и как пользователь может их отключить в настройках браузера.

10. Контактная информация

Укажите email или форму для связи по вопросам приватности.

Как адаптировать образец под ваш сайт

Копирование чужой политики «как есть» — главная ошибка. Документ должен отражать вашу реальность.

Шаг 1. Аудит точек сбора данных

Пройдите по всему сайту и выпишите все формы:

  • Форма «Заказать звонок».
  • Корзина и чекаут.
  • Подписка на новости.
  • Регистрация в личном кабинете.
  • Форма обратной связи.

Для каждой формы определите: какие поля обязательные, какие добровольные, куда уходят данные.

Шаг 2. Проверка сторонних сервисов

Посмотрите, какие скрипты работают на сайте.

  • Если стоит Яндекс.Метрика — вы передаете данные в Яндекс.
  • Если используется чат-бот (Jivo, Chatra и др.) — оператор чата имеет доступ к переписке.
  • Если подключен виджет отзывов — данные могут обрабатываться платформой виджета.

Внесите всех этих участников в раздел «Передача данных третьим лицам».

Шаг 3. Настройка согласий

Политика работает в связке с формами сбора данных.

  • Под каждой формой должна быть галочка (чекбокс) «Я согласен на обработку персональных данных».
  • Слово «согласен» должно быть ссылкой на текст Политики.
  • Для маркетинговых рассылок лучше делать отдельную галочку, не объединенную с условиями оферты.

Не используйте предустановленные (уже отмеченные) галочки для маркетингового согласия. Согласие должно быть явным действием пользователя.

Шаг 4. Локализация и язык

Пишите простым языком. Избегайте сложных юридических конструкций, если они не требуются законом. Пользователь должен понять суть, не имея юридического образования. Если у вас международная аудитория, подготовьте версию на английском языке.

Частые ошибки при составлении политики

ОшибкаПочему это плохоКак исправить
Указаны несуществующие данныеВы пишете, что собираете «биометрию» или «паспортные данные», хотя на сайте только email.Удалите лишнее. Описывайте только то, что реально запрашиваете.
Нет механизма отзыва согласияПользователь не понимает, как удалить свои данные.Добавьте четкую инструкцию: «Напишите на email [email protected] с темой "Отзыв согласия"».
Скопирован документ конкурентаТам указано другое юрлицо, другие сервисы аналитики или неверный адрес.Полностью замените реквизиты и проверьте список партнеров.
Политика спрятана глубокоСсылка есть только в футере мелким шрифтом, либо её нет на страницах с формами.Разместите ссылку в футере на всех страницах и рядом с каждой формой сбора данных.
Игнорирование cookieНет уведомления о использовании файлов cookie.Добавьте баннер с предупреждением о cookie и ссылкой на политику.

FAQ: Часто задаваемые вопросы

Нужно ли регистрировать политику в Роскомнадзоре? Нет, сам текст политики регистрировать не нужно. Однако оператор обязан подать уведомление об обработке персональных данных в Роскомнадзор (внести себя в реестр операторов). Ссылка на политику должна быть на сайте.

Что будет, если использовать данные не для тех целей, что указаны в политике? Это нарушение принципа целевого ограничения. Например, если вы собрали телефон для доставки заказа, а потом начали звонить с предложениями услуг без дополнительного согласия. Это влечет штрафы и жалобы пользователей.

Достаточно ли ссылки на политику в подвале сайта? С точки зрения размещения документа — да, ссылка в футере обязательна. Но для получения согласия (галочки) ссылка должна дублироваться непосредственно возле кнопки отправки формы.

Как часто нужно обновлять политику? По мере изменения процессов на сайте. Если вы подключили новый сервис аналитики, изменили состав собираемых полей или сменили партнера по доставке — внесите изменения в политику и обновите дату публикации.

Резюме

  1. Не копируйте слепо. Возьмите за основу структуру, но наполните её данными вашего бизнеса.
  2. Будьте прозрачны. Честно напишите, какие данные берете и кому передаете.
  3. Свяжите документ с формами. Убедитесь, что пользователь дает согласие перед отправкой данных.
  4. Держите актуальность. Регулярно пересматривайте документ при изменении функционала сайта.

Корректно составленная политика обработки персональных данных — это не просто бюрократия, а инструмент снижения юридических рисков и повышения лояльности аудитории.