Политика обработки персональных данных на сайте: обязательные разделы и ошибки

У бизнеса часто есть «политика ПД» ради галочки: скачали шаблон, разместили в подвале сайта и забыли. Проблема в том, что для Роскомнадзора политика — это не формальность, а проверяемый документ, который должен соответствовать реальным процессам: какие данные вы собираете, зачем, где храните (CRM/почта), кому передаете (подрядчики), как человек может отозвать согласие и обратиться к оператору.

Если политика не соответствует факту, при проверке обычно возникает цепочка: запрос → предписание → срочные правки → риски штрафов по ст. 13.11 КоАП РФ.

✅ Хотите понять, что именно исправить на вашем сайте?
Провести аудит сайта на соответствие требованиям Роскомнадзора

Что обязана содержать политика: кратко по закону

Оператор должен обеспечить выполнение обязанностей по персональным данным, в том числе иметь документы и меры, подтверждающие соблюдение требований, — это закреплено в ст. 18.1 ФЗ-152. А сама политика должна быть в свободном доступе (обычно на сайте). (consultant.ru)

Роскомнадзор публикует рекомендации по составлению политики для сайта и типовые подходы к структуре. (old.rkn.gov.ru)

Обязательные разделы политики на сайте (чек-лист 2026) ✅

Ниже — блоки, которые должны быть в нормальной политике. Если чего-то нет — это почти всегда «красный флаг» при проверке.

1) Общие положения

• кто оператор (наименование, ОГРН/ИНН, адрес);
• на какие сайты/домены распространяется политика;
• определения (персональные данные, обработка и т.п.).

2) Цели обработки персональных данных

Цели должны быть конкретными, а не «ведение деятельности». Примеры целей:

• обработка заявок с сайта и обратной связи;
• заключение и исполнение договоров;
• кадровый учет;
• маркетинговые коммуникации (если есть рассылки).

3) Категории субъектов и перечень данных

• посетители сайта/заявители;
• клиенты/контрагенты;
• сотрудники/кандидаты (если сайт содержит вакансии/анкеты).
  
  Важно: перечислить, какие данные реально собираются: ФИО, телефон, e-mail, адрес, реквизиты договора, и т.д.

4) Правовые основания обработки

Обычно: согласие, договор, законные обязанности. Ошибка здесь — указывать всё подряд без привязки к целям.

5) Порядок и условия обработки

• какие действия выполняются (сбор, запись, хранение, уточнение, передача);
• где храните (CRM, почта, 1С, облака);
• используете ли автоматизацию.

6) Передача данных и третьи лица

Если есть подрядчики (хостинг, CRM, колл-центр, доставка), политика должна объяснять логику передачи и категорию получателей.

7) Сроки хранения и порядок уничтожения

Это почти всегда отсутствует в шаблонах. А Роскомнадзор часто задает прямой вопрос: «Сколько храните и почему?».

8) Права субъекта ПД и порядок обращений

• как направить запрос/обращение;
• куда писать;
• как отозвать согласие.

9) Меры защиты персональных данных

Без раскрытия «секретов безопасности», но хотя бы общий перечень организационных и технических мер (разграничение доступа, пароли, регламенты и т.п.). Это напрямую связано с обязанностями оператора. (consultant.ru)

10) Cookies / метрики / идентификаторы (если есть)

Если используете аналитику и технологии отслеживания, нужно корректно описать, что собирается и для чего. На практике именно этот блок часто становится причиной претензий.

Типовые ошибки в политике (из-за них и «придираются») ⚠️

Ошибка 1. Политика не совпадает с реальными формами на сайте

В политике «не собираем e-mail», а форма его требует. Или политика говорит «нет передачи третьим лицам», а заявки уходят в CRM/мессенджер.

Ошибка 2. Нет конкретных целей и сроков хранения

«Для улучшения сервиса» без пояснений — слабая цель. А отсутствие сроков хранения выглядит как «храним бесконечно».

Ошибка 3. Нет контактов оператора и процедуры обращений

Субъекту ПД должно быть понятно, куда писать и что он может требовать.

Ошибка 4. Шаблон “на всех”

Одинаковая политика на сайте интернет-магазина, клиники и B2B-услуг — почти гарантированно будет не про вас.

Ошибка 5. Политика есть, но нет остальных документов

Роскомнадзор смотрит не только политику: нужны внутренние документы, согласия, договорные условия с обработчиками и т.д. Нарушения по ст. 13.11 КоАП РФ возможны и без «утечек» — за сам факт несоблюдения требований к обработке. (consultant.ru)

📄 Если нужно быстро собрать правильный комплект под ваш бизнес:

Заказать разработку индивидуального пакета документов по 152-ФЗ

Практический чек-лист: проверьте свою политику за 10 минут ✅

• Политика опубликована на сайте и легко находится (в подвале/в меню).
• Указан оператор: реквизиты, адрес, контакты.
• Цели обработки конкретные и соответствуют вашим формам/CRM.
• Перечень данных совпадает с тем, что реально собираете.
• Описаны подрядчики/третьи лица и логика передачи.
• Есть сроки хранения и порядок удаления/уничтожения.
• Описан порядок обращения субъекта и отзыв согласия.
• Есть блок про cookies/метрики (если используете).
• Политика согласована с согласиями на сайте и внутренними документами.

🎁 Скачать чек-лист «Требования Роскомнадзора к операторам ПД в 2026»

Что делать бизнесу прямо сейчас

1. Сверьте вашу политику с чек-листом выше и с тем, что реально делает сайт/CRM.
2. Если политика «шаблонная» — переработайте её под ваши цели, формы и подрядчиков.
3. Проверьте сайт: чекбоксы, тексты согласий, cookies/метрики, корректность размещения политики.
4. Если есть риск проверки или уже пришел запрос — лучше закрыть вопрос комплексно.

✅ Получить консультацию по соблюдению обязанности оператора ПД

Марина Дадашева Ведущий специалист по работе с клиентами