Добавить в корзинуПозвонить
Найти в Дзене
Международный юрист | адвокат Тарасенко Василий
305 подписчиков

Политика конфиденциальности: почему это не просто текст с шаблона

12 мин
Самая дорогая фраза в digital‑бизнесе звучит безобидно: «Давайте возьмём политику конфиденциальности из интернета, поменяем название компании — и готово». Проблема не в самом шаблоне. Проблема в том, что политика описывает реальные процессы обработки данных, а не украшает футер сайта. Именно поэтому в материалах территориальных управлений Роскомнадзора среди типовых нарушений регулярно встречаются отсутствие документа о политике обработки персональных данных, отсутствие механизма получения согласия на сайте и некорректные сроки обработки данных. И тут важно начать с честности: в российском праве базовое требование называется не так, как в обиходе. Закон говорит не про красивую «privacy policy», а про документ, определяющий политику оператора в отношении обработки персональных данных. Оператор обязан опубликовать этот документ или иным образом обеспечить к нему неограниченный доступ. А если данные собираются через интернет, документ должен быть размещён именно в той сети и на тех страни
Оглавление

Самая дорогая фраза в digital‑бизнесе звучит безобидно: «Давайте возьмём политику конфиденциальности из интернета, поменяем название компании — и готово». Проблема не в самом шаблоне. Проблема в том, что политика описывает реальные процессы обработки данных, а не украшает футер сайта. Именно поэтому в материалах территориальных управлений Роскомнадзора среди типовых нарушений регулярно встречаются отсутствие документа о политике обработки персональных данных, отсутствие механизма получения согласия на сайте и некорректные сроки обработки данных.

И тут важно начать с честности: в российском праве базовое требование называется не так, как в обиходе. Закон говорит не про красивую «privacy policy», а про документ, определяющий политику оператора в отношении обработки персональных данных. Оператор обязан опубликовать этот документ или иным образом обеспечить к нему неограниченный доступ. А если данные собираются через интернет, документ должен быть размещён именно в той сети и на тех страницах сайта, через которые идёт сбор данных. Более того, такие документы не могут ограничивать права субъектов персональных данных.

То есть закон с самого начала смотрит на политику не как на декоративный текст, а как на публичную часть системы управления данными. И за отсутствие такой публикации есть отдельный состав в КоАП: часть 3 статьи 13.11. Для юридических лиц по этой норме предусмотрен штраф от 30 до 60 тысяч рублей, отдельно от других возможных нарушений.

Ошибка начинается даже не с шаблона, а с непонимания, кто вы и что вы делаете

Многие до сих пор думают, что оператор персональных данных — это только банк, маркетплейс или крупная IT‑платформа. Но по 152‑ФЗ оператором может быть практически любой: юридическое лицо, ИП и даже физлицо, если оно определяет цели обработки, состав данных и действия с ними. А персональные данные — это не только паспорт и СНИЛС. Это любая информация, относящаяся к прямо или косвенно определённому или определяемому человеку. При этом «обработка» — это не только сбор, но и запись, хранение, уточнение, использование, передача, удаление и уничтожение.

Из этого следует неприятная, но полезная мысль: сайт с формой обратной связи, CRM, email‑рассылкой, аналитикой, телефонией и личным кабинетом — это уже не «просто лендинг». Это полноценная инфраструктура обработки данных. И политика должна описывать именно её.

Почему шаблонный текст почти всегда врёт

Шаблон плох не потому, что он шаблонный. Шаблон плох тогда, когда он не совпадает с реальностью. А несовпадение в персональных данных — это не стилистическая неточность, а потенциальное нарушение.

Первая причина — основание обработки. Закон прямо говорит, что обработка допускается не только на основании согласия. Она может быть нужна для исполнения закона, исполнения договора, защиты жизненно важных интересов, реализации прав и законных интересов оператора и в ряде других случаев. Иными словами, не вся обработка строится на галочке «я согласен». Для доставки заказа у вас может быть договорное основание, а для маркетинговой рассылки — уже другая логика и нередко отдельное согласие.

Вторая причина — согласие вообще не является универсальной магической кнопкой. По статье 9 152‑ФЗ согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Оно должно быть оформлено отдельно от иных документов, а обязанность доказать, что согласие действительно было получено или что были иные законные основания, лежит на операторе. Поэтому попытка «спрятать всё в одной длинной политике» — юридически слабая конструкция.

Третья причина — ограничение целей и минимизация данных. Статья 5 152‑ФЗ требует, чтобы обработка была законной и справедливой, ограничивалась конкретными, заранее определёнными и законными целями, а состав данных не был избыточным. Хранить данные дольше, чем этого требуют цели обработки, тоже нельзя: после достижения цели данные подлежат уничтожению или обезличиванию, если закон не требует иного. Поэтому шаблон с фразами вроде «мы можем собирать любую информацию для улучшения сервиса» — это не универсальность, а слабое место.

Четвёртая причина — права человека должны быть исполнимыми, а не декларативными. Субъект персональных данных вправе запросить информацию об обработке, потребовать уточнения, блокирования или уничтожения данных, если они неполные, устаревшие, незаконно полученные или не нужны для заявленной цели. По общему правилу сведения по статье 14 оператор должен предоставить в течение 10 рабочих дней, с ограниченной возможностью продления. А при достижении цели обработки или при отзыве согласия закон устанавливает сроки для прекращения обработки и уничтожения данных. Значит, хорошая политика — это ещё и описание того, как компания реально исполняет эти запросы.

Пятая причина — внешний текст должен совпадать с внутренними процессами. После изменений, вступивших в силу 1 сентября 2022 года, общий принцип в России такой: до начала обработки оператор уведомляет Роскомнадзор, кроме ограниченных исключений. Причём в уведомлении по каждой цели обработки нужно указывать категории данных, категории субъектов, правовое основание, перечень действий и способы обработки. Отдельно указываются сведения о трансграничной передаче и месте нахождения баз данных граждан РФ. Когда публичная политика говорит одно, а уведомление в реестре и реальные процессы — другое, шаблон перестаёт быть удобством и превращается в источник противоречий.

Политика — это не один документ на все случаи жизни

Вот здесь чаще всего и происходит подмена понятий. У бизнеса в голове обычно живёт одна сущность: «политика конфиденциальности». На практике рядом с ней часто существуют ещё несколько разных документов и интерфейсов.

Во‑первых, согласие и политика — не одно и то же. Политика объясняет правила обработки. Согласие фиксирует волеизъявление человека в тех случаях, когда именно согласие является основанием. Закон прямо требует отделять согласие от других документов.

Во‑вторых, политика не заменяет отдельное согласие на распространение персональных данных. Если компания публикует отзывы с именем, фотографией, кейсы с фамилией клиента, карточки сотрудников, врачей, преподавателей, экспертов — это уже не просто внутренняя обработка, а потенциально раскрытие данных неограниченному кругу лиц. По статье 10.1 согласие на такие действия оформляется отдельно от иных согласий; если из согласия не следует право на распространение, данные обрабатываются без права распространения; молчание или бездействие ни при каких обстоятельствах не считаются согласием на такую обработку.

В‑третьих, политика не заменяет точку уведомления в момент сбора данных. Это хорошо видно не только в России, но и в мировой практике. В Калифорнии закон прямо различает Notice at Collection и privacy policy: первое сообщение должно быть дано человеку в момент или до начала сбора, а privacy policy даёт более широкое описание практик и прав. Британский ICO отдельно рекомендует layered approach — когда человек сначала видит короткий первый слой с ключевой информацией, а затем при необходимости переходит к более подробному тексту. А Европейский совет по защите данных 19 марта 2026 года вообще запустил coordinated enforcement action, посвящённый прозрачности и информационным обязанностям по GDPR. Смысл очевиден: регуляторы во всём мире смотрят не только на наличие документа, но и на то, когда, как и понятно ли человеку объяснили обработку.

Почему «мы просто используем cookies» уже не работает

Ещё одна опасная иллюзия — считать, что cookies, пиксели, device ID и аналитические идентификаторы находятся где‑то вне темы персональных данных. На практике это уже давно не так просто. ICO прямо указывает, что к online identifiers относятся IP‑адреса и cookie identifiers, а EDPB отмечает, что информация в cookies может включать персональные данные — например, IP‑адрес, username, email или уникальный идентификатор. При этом даже там, где cookie не всегда квалифицируется как персональные данные, сами privacy‑rules всё равно остаются значимыми. Поэтому строчка «мы используем cookies для улучшения сервиса» без пояснения, какие именно инструменты стоят на сайте, что они собирают, кому передают и как это связано с правами пользователя, — это уже давно не серьёзный уровень прозрачности.

Именно тут шаблон особенно быстро расходится с реальностью. На сайте может стоять веб‑аналитика, сквозная аналитика, коллтрекинг, рекламные пиксели, антифрод, чат‑виджеты, виджеты записи, карты, видео‑плееры, формы от внешних сервисов. Но в шаблонной политике обычно написано что‑то вроде «мы можем передавать данные партнёрам для улучшения работы сайта». С юридической точки зрения это слишком расплывчато, а с пользовательской — просто нечестно.

Из чего на самом деле состоит рабочая политика

У хорошей политики нет обязательной «магической длины». Она может быть короче или длиннее. Но у неё есть обязательная логика. Минимально рабочий документ обычно отвечает на такие вопросы:

  1. Кто именно является оператором, каковы его реквизиты и как с ним связаться.
  2. Какие есть цели обработки — не одной общей фразой, а по процессам: заказ, обратный звонок, личный кабинет, рекрутинг, поддержка, аналитика и так далее.
  3. Какие данные обрабатываются для каждой цели и каких категорий субъектов они касаются.
  4. На каком правовом основании идёт обработка по каждой цели.
  5. Какие действия совершаются с данными и какими способами — автоматизированно, смешанно, с использованием сайта, CRM, сервисов поддержки и прочих инструментов.
  6. Кому данные передаются или предоставляются: подрядчикам, процессорам, платёжным сервисам, логистике, хостингу, аналитическим платформам — хотя бы по категориям, а лучше настолько конкретно, насколько это возможно и уместно.
  7. Каковы сроки хранения или критерии их определения.
  8. Каков порядок уничтожения или обезличивания по достижении цели или при иных законных основаниях.
  9. Какие права есть у пользователя и по какому каналу он может их реализовать.
  10. Есть ли трансграничная передача, где находятся базы данных граждан РФ, и как оператор учитывает требования к защите данных.

Заметьте: это уже не «текст из интернета». Это короткая публичная карта ваших реальных данных.

Несколько примеров, где шаблон ломается особенно быстро

Интернет‑магазин.

Для оформления заказа вы берёте имя, телефон, адрес доставки и платёжные данные. Для исполнения заказа это одна логика обработки. Для личного кабинета — другая. Для рекламной рассылки — третья. Для публикации отзыва с именем и фотографией — четвёртая, и там может понадобиться отдельный анализ по статье 10.1. Если всё это описано одной фразой «для оказания услуг и улучшения сервиса», документ фактически не отражает бизнес‑процесс.

Раздел “Карьера” на сайте.

Резюме, контакты, сопроводительные письма, результаты интервью, возможно, рекомендации и тестовые задания — это отдельный массив данных о кандидатах. Хранить его «на будущее без срока» нельзя просто потому, что так удобнее HR‑отделу: закон требует цели, сроки или критерии хранения и последующее уничтожение либо обезличивание при утрате необходимости.

Сервис с иностранными SaaS‑инструментами.

Форма заявки может вести в зарубежную CRM, поддержка — в иностранный helpdesk, маркетинг — в внешнюю email‑платформу, аналитика — в ещё один облачный сервис. Здесь недостаточно написать «мы используем сторонние сервисы». Нужен отдельный разбор вопроса о трансграничной передаче, а также учёт требований о месте нахождения баз данных граждан РФ и данных, которые оператор сообщает в Роскомнадзор. С 1 марта 2023 года для трансграничной передачи действует специальный порядок уведомления Роскомнадзора о намерении её осуществлять.

И вот здесь становится понятно, почему политика — это ещё и про деньги

Неправильная политика — это не только теоретический риск. В КоАП уже есть отдельные составы за непубликацию политики, за отсутствие или несвоевременное уведомление Роскомнадзора о начале обработки и за отсутствие или несвоевременное уведомление об инциденте с нарушением прав субъектов данных. По статье 21 152‑ФЗ оператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов, а в течение 72 часов — предоставить результаты внутреннего расследования. По действующей статье 13.11 КоАП за несвоевременное уведомление о начале обработки для юрлиц предусмотрен штраф от 100 до 300 тысяч рублей, а за несвоевременное уведомление об инциденте — от 1 до 3 миллионов рублей.

Но есть и вторая, менее очевидная цена: плохая политика почти всегда означает, что компания плохо понимает собственные данные. А это уже бьёт по маркетингу, продукту, службе поддержки, безопасности и управлению подрядчиками. Честная privacy‑архитектура почти всегда приводит к одному и тому же полезному эффекту: бизнес начинает собирать меньше лишнего, лучше различать цели обработки и быстрее отвечать на запросы пользователей. В этом смысле политика — не бюрократия, а зеркало зрелости процесса.

Как понять, что у вас не «текст для галочки», а нормальная политика

Есть очень простой тест. Если вы не можете быстро ответить хотя бы на один из этих вопросов, значит, документ ещё не готов:

— зачем нам каждое поле в каждой форме;
— на каком основании мы берём именно эти данные;
— кто реально получает к ним доступ;
— где физически или логически они хранятся;
— когда и по какому правилу они удаляются;
— как человек отзывает согласие или требует прекратить обработку;
— что мы делаем, если произошёл инцидент;
— что именно мы публикуем в открытый доступ и на каком основании.

Если на все эти вопросы есть реальные ответы, тогда шаблон действительно может быть полезен — но только как стартовая форма. Если ответов нет, шаблон будет не помощью, а маской.

Вывод

Политика конфиденциальности — это не «юридическая простыня», которую прикладывают к сайту для солидности. Это публичное описание того, что вы делаете с данными человека, зачем, на каком основании, кому их передаёте, сколько храните и как человек может на это влиять. В России эта логика завязана не только на публикацию документа, но и на уведомления Роскомнадзора, сроки ответа субъектам, уничтожение данных, правила при инцидентах и, в ряде случаев, отдельные согласия на специфические действия. А мировая практика движется в ту же сторону: меньше «стены текста», больше своевременной, понятной и многослойной прозрачности.

Поэтому честный вывод очень простой: шаблон не запрещён. Но шаблон без инвентаризации реальных процессов почти неизбежно врёт. А в теме персональных данных ложь начинается как экономия времени и заканчивается как юридический, операционный и репутационный риск.

Было интересно? Подпишитесь!

Если вам нужна профессиональная юридическая помощь по персональным данным — аудит обработки, подготовка политики конфиденциальности, согласий и всей документации под 152-ФЗ, а также сопровождение при проверках Роскомнадзора — подробнее об услугах можно узнать на сайте:
https://tarasenko.online/

#персональныеданные #политикаконфиденциальности #152фз #роскомнадзор #бизнес #юрист #правосайта #онлайнбизнес #cookies #защитаданных

Telegram: https://t.me/otvetfns

Сайт: https://tarasenko.online/

Безопасность и правопорядок
95,2 тыс интересуются