Короткий ответ
Политика обработки персональных данных нужна сайту, если он собирает или обрабатывает данные пользователей: имя, телефон, email, адрес доставки, данные аккаунта, обращения в чат, заявки, заказы, cookie, сведения о визитах, данные аналитики или CRM.
Хорошая политика не начинается с красивого шаблона. Она начинается с карты сайта: где пользователь вводит данные, какие поля есть в формах, куда уходят заявки, какие сервисы подключены, где хранятся данные и кто имеет к ним доступ.
Главная ошибка — написать общую политику “про email и телефон”, когда сайт фактически использует Метрику, пиксели, CRM, email-сервис, платежного провайдера, доставку, чат и рассылку. В таком случае документ не описывает реальную обработку данных.
Чем политика отличается от согласия и cookie policy
| Что это | Задача | Где размещается | С чем не путать |
|---|---|---|---|
| Политика обработки ПДн | Объясняет общие правила обработки данных оператором | Отдельная страница, футер, ссылки рядом с формами | Не заменяет согласие под формой |
| Согласие на обработку ПДн | Фиксирует конкретное действие пользователя | Рядом с формой, регистрацией, checkout | Не является всей политикой |
| Cookie policy | Объясняет cookie, localStorage, аналитику и пиксели | Cookie-баннер, футер, отдельная страница | Не заменяет политику ПДн |
| Оферта | Описывает условия сделки | Checkout, карточка товара, тариф, футер | Не является privacy-документом |
| Согласие на рекламную рассылку | Разрешает рекламные сообщения | Отдельный checkbox или форма подписки | Не подменяется согласием на ПДн |
Если у сайта есть и формы, и cookie, и оплата, документы должны работать вместе, но не сливаться в один непонятный текст.
Что говорит закон простыми словами
Статья 18.1 152-ФЗ требует, чтобы оператор опубликовал или обеспечил доступ к документу, определяющему политику в отношении обработки персональных данных. Если данные собираются через сайт, документ должен быть доступен на страницах сайта, где происходит сбор данных.
Для сайта это означает:
политика должна быть доступна не только “где-то в футере”;
ссылку на политику нужно ставить рядом с формами, регистрацией, checkout и другими точками сбора данных;
политика должна описывать реальные цели, данные, сервисы и сроки;
политика должна быть обновлена после изменений сайта;
в политике не должно быть ложных фраз вроде “третьим лицам не передаем”, если используются CRM, платежи, доставка или аналитика.С чего начать: карта обработки данных
Перед написанием политики откройте сайт и заполните таблицу.
| Точка сайта | Какие данные собираются | Зачем | Куда уходят | Что должно быть в политике |
|---|---|---|---|---|
| Форма заявки | Имя, телефон, email, сообщение | Ответить на заявку | Email, CRM, менеджер | Цель “обработка обращения”, поля формы, получатели |
| Регистрация | Email, пароль, имя, данные профиля | Создать аккаунт | База сайта, сервис авторизации | Данные аккаунта, срок хранения, удаление аккаунта |
| Checkout | ФИО, телефон, email, адрес, заказ | Оформить и исполнить заказ | Платежи, доставка, CRM | Договор, оплата, доставка, подтверждение заказа |
| Подписка | Email, имя, история рассылок | Отправлять письма | Email-сервис | Отдельная цель рассылки, отписка |
| Cookie и аналитика | ID браузера, cookie, страницы, события | Аналитика, безопасность, реклама | Метрика, GA, пиксели | Cookie, сервисы, цели, способы отказа |
| Чат | Имя, контакт, текст обращения | Поддержка | Чат-сервис, CRM | Поддержка, история переписки, доступы |
| Call tracking | Телефон, запись звонка, источник рекламы | Аналитика звонков и поддержка | Телефония, CRM | Запись звонков, источник, срок хранения |
Пока такая карта не собрана, политика будет угадывать, а не описывать сайт.
Структура политики ПДн для сайта
1. Кто оператор
Пользователь должен понимать, кто отвечает за обработку данных.
Указать:
полное наименование ООО или ФИО ИП;
ИНН/ОГРН или ОГРНИП;
адрес;
email для обращений по персональным данным;
сайт;
при необходимости — ответственного за организацию обработки ПДн.Плохой вариант:
Администрация сайта обрабатывает персональные данные пользователей.
Лучше:
Оператором персональных данных является ООО “...”, ИНН ..., адрес ..., email для обращений: ...
2. Какие данные обрабатываются
Не пишите только “имя и email”, если сайт собирает больше.
Разделите данные по сценариям:
| Сценарий | Примеры данных |
|---|---|
| Заявка | имя, телефон, email, сообщение, выбранная услуга |
| Аккаунт | email, пароль, имя, настройки профиля, история действий |
| Заказ | ФИО, телефон, email, адрес доставки, состав заказа, payment ID |
| Поддержка | текст обращения, вложения, история переписки |
| Рассылка | email, имя, статус подписки, история отписок |
| Аналитика | cookie, ID браузера, IP, страницы просмотра, события, источник перехода |
Не обязательно перечислять каждую техническую деталь как в инженерном логе, но пользователь должен понять, какие категории данных обрабатываются.
3. Цели обработки
Цель должна быть конкретной. “Для улучшения сайта” не объясняет заявку, оплату, доставку и рассылку.
Примеры целей:
ответ на заявку;
создание и использование аккаунта;
заключение и исполнение договора;
оформление заказа;
прием оплаты;
доставка;
поддержка;
направление сервисных уведомлений;
направление рекламных сообщений при отдельном согласии;
аналитика работы сайта;
обеспечение безопасности;
ведение бухгалтерского и налогового учета;
исполнение требований закона.4. Правовые основания
В политике стоит аккуратно разделить основания:
согласие пользователя;
исполнение договора;
требования закона;
законный интерес — если применимо и корректно для сценария;
иные основания, предусмотренные 152-ФЗ.Не нужно писать, что абсолютно вся обработка основана только на согласии. Например, обработка данных заказа может быть связана с исполнением договора, а рекламная рассылка — с отдельным согласием.
5. Третьи лица и сервисы
Большинство сайтов фактически использует внешние сервисы. В политике нельзя автоматически писать “мы не передаем данные третьим лицам”, если есть:
хостинг;
CRM;
email-сервис;
платежный провайдер;
служба доставки;
сервис аналитики;
рекламные пиксели;
онлайн-чат;
call tracking;
подрядчики поддержки;
бухгалтерия;
облачное хранение.Лучше писать категориями, если конкретные названия часто меняются:
Оператор может передавать данные сервисам, которые помогают принимать заявки, обрабатывать оплату, доставлять товары, отправлять сервисные уведомления, анализировать работу сайта и оказывать поддержку, в объеме, необходимом для соответствующей цели.
Если используются иностранные сервисы, отдельно проверить трансграничную передачу.
6. Cookie, Метрика, пиксели и аналитика
Если сайт использует Метрику, Google Analytics, рекламные пиксели, чаты, карты, видео или call tracking, политика должна хотя бы связать это с cookie policy или отдельным разделом.
Не писать:
Мы используем cookie для удобства пользователей.
Лучше:
Сайт может использовать cookie, localStorage и похожие технологии для работы сайта, аналитики посещений, безопасности, настройки интерфейса и оценки эффективности рекламы. Подробности о категориях cookie и подключенных сервисах описаны в политике cookie.
Если включен Вебвизор или запись сессий, это нужно проверить отдельно: не записываются ли поля с телефоном, email, адресом, комментарием или данными оплаты.
7. Сроки хранения
Фраза “данные хранятся бессрочно” — плохой признак. Лучше указать сроки или критерии:
до достижения цели обработки;
до отзыва согласия, если обработка основана на согласии;
в течение срока действия аккаунта;
в течение срока исполнения договора;
в течение срока хранения бухгалтерских, налоговых или претензионных документов;
до истечения срока исковой давности;
до удаления аккаунта, если нет иных оснований для хранения.8. Права пользователя
Политика должна объяснять, как пользователь может:
получить информацию об обработке;
уточнить данные;
отозвать согласие;
потребовать прекращения обработки, если есть основания;
удалить аккаунт;
отписаться от рассылки;
задать вопрос оператору.Обязательно укажите рабочий email.
9. Безопасность
Не нужно обещать невозможное вроде “мы гарантируем абсолютную безопасность”. Лучше описать разумные меры:
ограничение доступа;
авторизация сотрудников;
технические и организационные меры;
резервное копирование, если используется;
договоры с подрядчиками;
контроль доступа к CRM и сервисам;
обновление документов при изменении сайта.Где разместить политику на сайте
| Место | Как разместить | Почему важно |
|---|---|---|
| Футер | Постоянная ссылка “Политика обработки персональных данных” | Пользователь может найти документ с любой страницы |
| Форма заявки | Ссылка рядом с согласием | Данные собираются именно здесь |
| Регистрация | Ссылка рядом с созданием аккаунта | Пользователь передает данные аккаунта |
| Checkout | Ссылка рядом с оплатой и офертой | Пользователь передает контактные и заказные данные |
| Cookie-баннер | Ссылка на cookie policy и/или политику ПДн | Пользователь узнает про аналитику и трекеры |
| Личный кабинет | Ссылка в настройках профиля | Пользователь может управлять аккаунтом и данными |
Частые ошибки
Политика не описывает реальные формы
В форме есть телефон, файл и комментарий, а политика говорит только про email.
Политика не знает про CRM
Заявка уходит в CRM, но документ пишет “третьим лицам не передаем”.
Cookie и пиксели подключены, но не описаны
На сайте стоит Метрика, рекламные пиксели, чат и call tracking, а политика молчит.
Политика есть, но ссылка рядом с формой отсутствует
Формально документ опубликован, но пользователь не видит его в момент передачи данных.
Согласие и политика перепутаны
В политике пытаются “получить согласие”, а рядом с формой нет отдельного понятного текста.
Сайт изменился, политика нет
Добавили оплату, CRM, рассылку, подписку, call tracking или иностранный сервис — политику нужно пересмотреть.
Чеклист политики ПДн
□ Указан реальный оператор.
□ Указан рабочий email для обращений.
□ Все формы сайта описаны.
□ Все основные категории данных описаны.
□ Цели обработки конкретны.
□ Основания обработки не свалены в одну фразу.
□ CRM, email, платежи, доставка и аналитика учтены.
□ Cookie и трекеры отражены или вынесены в cookie policy.
□ Сроки хранения указаны или описаны критериями.
□ Права пользователя описаны простым языком.
□ Политика доступна в футере.
□ Ссылка на политику есть рядом с формами.
□ Мобильная версия показывает ссылки.
□ Дата версии указана.
□ Политика обновляется при изменении сайта.На что опирается этот материал
- Федеральный закон № 152-ФЗ “О персональных данных”
- Статья 18.1 152-ФЗ о политике оператора
- Статья 9 152-ФЗ о согласии
- Статья 12 152-ФЗ о трансграничной передаче
- РКН — электронные формы уведомлений
- Яндекс Метрика о cookie и localStorage
- Google Analytics о запрете передачи PII
Что делать дальше
Сначала составьте карту обработки данных. Потом перепишите политику по этой карте. После этого проверьте интерфейс: ссылка на политику должна быть не только в футере, но и рядом с формами, регистрацией, checkout и другими точками сбора данных.
Если на сайте есть формы — откройте статью про согласие. Если есть Метрика, GA или пиксели — откройте чеклист по аналитике и cookie. Если есть оплата — проверьте оферту и возвраты.
