Введение
Форма заявки, обратный звонок, подписка на рассылку, онлайн-чат, личный кабинет, Яндекс Метрика — для владельца сайта это обычные рабочие инструменты. Для закона это точки, где сайт может собирать и обрабатывать персональные данные пользователей.
В 2026 году политика конфиденциальности для сайта важна как часть общей системы: формы, согласия, cookies, CRM, коллтрекинг, рассылки, внешние виджеты и порядок хранения заявок должны быть связаны между собой. Если документ говорит одно, формы собирают другое, а заявки уходят в сервисы, которые нигде не описаны, у бизнеса появляются юридические и технические риски.
По 152-ФЗ персональные данные — это любая информация, которая относится к прямо или косвенно определённому человеку. Оператор обязан обеспечить доступ к документу, определяющему его политику обработки персональных данных; если сбор идёт через сайт, документ должен быть опубликован в интернете, в том числе на страницах, где собираются данные пользователей.
В статье разберём, кому нужна политика конфиденциальности на сайте, что в ней указать, какие документы и согласия нужны дополнительно, как разместить политику и почему при её разработке важно учитывать техническое устройство сайта.
Что такое политика конфиденциальности на сайте
Политика конфиденциальности на сайте — это публичный документ, в котором компания или ИП объясняет пользователю, как работает с его персональными данными. В юридической практике чаще используется название «политика в отношении обработки персональных данных» или «политика обработки персональных данных». В статье будем использовать оба варианта, потому что владельцы сайтов чаще ищут именно «политику конфиденциальности».
Хорошая политика отвечает на ключевые вопросы:
- кто собирает и обрабатывает данные;
- какие данные получает сайт;
- зачем они нужны бизнесу;
- куда могут передаваться;
- как долго хранятся;
- как пользователь может отозвать согласие, запросить изменение или удаление данных.
Например, пользователь оставляет имя и телефон в форме «Получить консультацию» — компания получает контактные данные для связи. Подключена аналитика — могут обрабатываться cookie-файлы, IP-адрес, сведения о браузере и действиях на страницах. Заявка автоматически уходит в CRM — этот сценарий тоже должен быть учтён.
Политика описывает общий порядок обработки данных. Согласие под формой фиксирует волю пользователя на конкретное действие. Согласие на рекламную рассылку закрывает отдельную задачу. Cookie-уведомление сообщает об использовании технических идентификаторов и аналитики.
Поэтому разработка политики начинается с проверки сайта: какие формы есть, какие поля в них используются, куда уходят заявки, какие скрипты подключены, какие сервисы получают данные. Только после этого документ отражает реальную работу сайта.
Кому нужна политика конфиденциальности для сайта
Политика конфиденциальности нужна сайту, если через него компания получает, хранит, передаёт или использует данные посетителей. В большинстве коммерческих проектов это происходит регулярно: пользователь оставляет заявку, подписывается на рассылку, пишет в онлайн-чат, оформляет заказ или просто взаимодействует с сайтом, где подключены аналитика и cookies.
Главный ориентир простой: если сайт помогает связаться с человеком или узнать что-то о его действиях, нужно проверить, возникает ли обработка персональных данных.
| Что есть на сайте | Какие данные могут собираться | Что нужно предусмотреть |
|---|---|---|
| Форма заявки | Имя, телефон, email, комментарий | Политика, согласие под формой |
| Обратный звонок | Телефон, имя | Согласие на обработку данных |
| Интернет-магазин | Контакты, адрес, состав заказа | Политика, согласие, оферта |
| Личный кабинет | Логин, email, история действий | Политика, регистрационные согласия |
| Подписка на рассылку | Email, имя | Отдельное согласие на рассылку |
| Яндекс Метрика и cookies | IP, cookie, действия на сайте | Cookie-уведомление, описание в политике |
| Онлайн-чат или CRM | Контакты, история обращений | Указать передачу данных сервисам |
Кому нужна политика конфиденциальности для сайта
Сайтам с формами заявок и обратной связи
Самый частый сценарий — обычная форма на сайте. Например:
- «Оставить заявку»;
- «Получить консультацию»;
- «Заказать звонок»;
- «Рассчитать стоимость»;
- «Задать вопрос»;
- «Получить коммерческое предложение».
Даже если форма состоит из двух полей — имени и телефона, сайт уже получает данные, по которым можно связаться с конкретным человеком. Это значит, что пользователю нужно объяснить, кто обрабатывает данные, зачем они нужны и как с ними будут работать.
Отдельно стоит проверить скрытые и дополнительные поля формы. Иногда в заявку вместе с именем и телефоном передаются страница отправки, UTM-метки, источник перехода, город, IP-адрес или техническая информация о браузере. Для маркетинга это полезно, но такие данные тоже лучше учитывать при описании обработки.
Интернет-магазинам и сайтам услуг
Интернет-магазин почти всегда работает с персональными данными. При оформлении заказа пользователь может передавать:
- имя и фамилию;
- телефон;
- email;
- адрес доставки;
- состав заказа;
- комментарий к покупке;
- данные для оплаты или сведения о платёжной операции.
Сайтам услуг политика тоже обычно нужна. Например, юридическая компания, медицинская клиника, строительная фирма, образовательный центр или B2B-подрядчик собирают заявки на консультации, расчёты, записи и обратную связь. Даже если сделка потом закрывается не на сайте, а через менеджера, первый контакт часто начинается именно с веб-формы.
В политике важно отразить реальные цели: обработка обращения, подготовка предложения, оказание услуги, исполнение договора, связь с клиентом, аналитика эффективности сайта.
Сайтам с регистрацией, личным кабинетом и онлайн-записью
Если на сайте есть регистрация или личный кабинет, объём данных обычно становится шире. Помимо контактов могут обрабатываться история заказов, обращения в поддержку, избранные товары, настройки профиля, документы, статусы заявок и другие сведения.
К этой группе относятся:
- интернет-магазины с аккаунтами покупателей;
- образовательные платформы;
- медицинские сайты с записью на приём;
- сервисы бронирования;
- личные кабинеты клиентов;
- закрытые разделы для партнёров или дилеров;
- B2B-порталы с доступом для сотрудников компаний.
Здесь особенно важно описать не только сбор данных, но и порядок доступа к ним. Пользователь должен понимать, как используются сведения из профиля, кто может их видеть и что делать, если он хочет изменить или удалить информацию.
Сайтам с аналитикой, cookies, чатами и CRM
Отдельная зона риска — сервисы, которые владелец сайта может не воспринимать как сбор персональных данных. Например, на сайте нет сложного личного кабинета, но подключены:
- Яндекс Метрика;
- рекламные пиксели;
- cookie-файлы;
- онлайн-консультант;
- виджет обратного звонка;
- коллтрекинг;
- CRM;
- сервис email-рассылок;
- сквозная аналитика.
Для бизнеса это нормальная инфраструктура сайта. Для политики конфиденциальности это означает, что нужно описать, какие данные собираются, зачем используются cookies и аналитика, а также куда могут передаваться заявки.
Например, если форма на сайте отправляет данные не только на почту менеджеру, но и в CRM, этот путь нужно учитывать. Если пользователь подписывается на рассылку, важно оформить отдельное согласие на рекламные сообщения. Если сайт использует cookies для аналитики и ретаргетинга, стоит объяснить это в политике или отдельном cookie-уведомлении.
Когда политика конфиденциальности может быть не нужна
Политика может не понадобиться сайту, который вообще не собирает данные пользователей. На практике это редкий сценарий: например, небольшой статичный сайт-визитка без форм, комментариев, регистрации, аналитики, cookies, онлайн-чатов, виджетов и внешних сервисов.
Перед тем как решить, что политика не нужна, стоит проверить сайт технически. Иногда владелец бизнеса уверен, что «мы ничего не собираем», а потом выясняется, что на сайте подключена Метрика, работает форма обратной связи, установлен виджет звонка или заявки уходят в CRM.
Минимальная проверка должна ответить на несколько вопросов:
- есть ли на сайте формы, через которые пользователь оставляет контакты;
- подключена ли веб-аналитика;
- используются ли cookies;
- есть ли онлайн-чат, квиз, калькулятор или обратный звонок;
- можно ли оставить комментарий или подписаться на рассылку;
- передаются ли данные в CRM, почту, коллтрекинг или другие сервисы.
Если хотя бы один пункт относится к сайту, вопрос политики конфиденциальности лучше не откладывать. Документ должен соответствовать тому, как сайт действительно работает, а не просто лежать в футере ради формальности.
Какие данные сайт обычно собирает у пользователей
Владельцы сайтов часто смотрят на персональные данные слишком узко: паспорт, адрес регистрации, медицинские сведения, банковские реквизиты. Для обычного коммерческого сайта чаще актуальны другие данные — те, которые пользователь оставляет в заявке или которые сайт получает через аналитику, формы и подключённые сервисы.
Чтобы политика конфиденциальности была полезной, сначала нужно составить карту данных: что собираем, где собираем, зачем используем и куда передаём.
Контактные данные
Самый распространённый набор — данные для связи с пользователем:
- имя;
- телефон;
- email;
- мессенджер;
- название компании;
- должность;
- город;
- комментарий к заявке.
Такие данные появляются в формах обратной связи, заявках на консультацию, формах расчёта стоимости, pop-up окнах, квизах и онлайн-чатах. Даже если сайт собирает только имя и номер телефона, этого достаточно, чтобы идентифицировать человека и связаться с ним.
Для политики важно указать не только сам перечень данных, но и цель обработки. Например: обработка обращения, подготовка коммерческого предложения, связь с потенциальным клиентом, запись на консультацию.
Данные заказа или обращения
Интернет-магазины, сервисные компании и сайты услуг часто собирают больше информации, чем обычная форма заявки. Например:
- состав заказа;
- адрес доставки;
- выбранная услуга;
- дата и время записи;
- комментарий клиента;
- история обращений;
- данные о статусе заявки;
- сведения, которые пользователь добавляет в личном кабинете.
Здесь важно не собирать данные «про запас». Чем больше лишних полей в форме, тем сложнее объяснить, зачем они нужны. Если для первичной консультации достаточно имени и телефона, не стоит сразу спрашивать дату рождения, адрес и дополнительные сведения, которые не влияют на обработку заявки.
Технические данные и cookies
Отдельная категория — технические данные. Они могут собираться без явного заполнения формы, когда пользователь просто открывает сайт и взаимодействует со страницами.
К ним обычно относятся:
- IP-адрес;
- cookie-файлы;
- данные браузера;
- тип устройства;
- операционная система;
- источник перехода;
- просмотренные страницы;
- действия на сайте;
- UTM-метки;
- примерное местоположение, если оно определяется аналитикой или сервисами сайта.
Эти данные нужны для аналитики, улучшения сайта, настройки рекламы, оценки эффективности каналов продвижения и защиты от технических злоупотреблений. В политике стоит отдельно описать, какие технологии используются и для чего. Особенно если на сайте подключены Яндекс Метрика, рекламные пиксели, сквозная аналитика или ретаргетинг.
Данные, которые передаются во внешние сервисы
Современный сайт редко работает изолированно. Заявка может одновременно уходить на почту менеджеру, в CRM, в Telegram-уведомление, в систему коллтрекинга и в сквозную аналитику. Пользователь видит только форму на сайте, но за ней может стоять целая цепочка сервисов.
Чаще всего данные передаются в:
- CRM;
- почтовые сервисы;
- сервисы email-рассылок;
- онлайн-чаты;
- коллтрекинг;
- платёжные системы;
- сервисы доставки;
- системы аналитики;
- хостинг и облачную инфраструктуру;
- подрядчикам, которые обслуживают сайт.
Для владельца сайта это повод проверить не только текст политики, но и техническую схему. Если в документе написано, что данные используются только для ответа на заявку, а фактически они попадают в CRM, рассылочный сервис и аналитику, политику нужно уточнять.
Что важно учитывать в 2026 году
К 2026 году политика конфиденциальности на сайте стала частью более широкой задачи: нужно не только опубликовать документ, но и привести в порядок формы, согласия, cookies, сторонние сервисы и уведомление Роскомнадзора. Поэтому при подготовке политики лучше идти от фактической работы сайта, а не от шаблона.
Политика должна быть доступна на сайте
По 152-ФЗ оператор обязан опубликовать или иным способом обеспечить неограниченный доступ к документу, который определяет политику в отношении обработки персональных данных. Если данные собираются через интернет, документ должен быть опубликован на сайте, где происходит сбор данных.
На практике это означает, что ссылку на политику стоит размещать:
- в подвале сайта;
- рядом с формами заявок;
- на странице регистрации;
- на странице оформления заказа;
- рядом с формой подписки;
- в интерфейсе личного кабинета, если он есть;
- в cookie-баннере или рядом с информацией о cookies.
Документ должен открываться без регистрации и лишних действий. Если ссылка спрятана, ведёт на битую страницу или доступна только с десктопной версии, это уже проблема реализации.
Согласие на обработку персональных данных оформляется отдельно
Согласие пользователя должно быть конкретным, предметным, информированным, сознательным и однозначным. Также с 2025 года в статье 9 152-ФЗ прямо закреплено требование, что согласие на обработку персональных данных оформляется отдельно от другой информации и документов, которые пользователь подтверждает или подписывает.
Для сайта это важный практический момент. Под формой не стоит размещать одну длинную фразу, в которую одновременно зашиты:
- согласие на обработку персональных данных;
- согласие на рекламную рассылку;
- принятие оферты;
- согласие с пользовательским соглашением;
- согласие на cookies.
Такой подход выглядит удобно для интерфейса, но создаёт риски. Лучше разделять разные действия: заявка на консультацию — одно согласие, рекламная рассылка — отдельное согласие, заказ услуги или товара — отдельная логика с офертой.
Нужно проверить уведомление Роскомнадзора
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о намерении обрабатывать персональные данные, кроме случаев, которые прямо предусмотрены законом. В статье 22 152-ФЗ также указано, что при изменении сведений оператор должен сообщать об изменениях в установленный срок.
На портале персональных данных Роскомнадзора можно сформировать и отправить уведомление в территориальный орган РКН. Формы уведомлений утверждены приказом Роскомнадзора № 180 от 28.10.2022.
Для владельца сайта это значит, что после подготовки политики нужно отдельно проверить:
- является ли компания оператором персональных данных;
- какие данные фактически обрабатываются;
- есть ли основания не подавать уведомление;
- подано ли уведомление ранее;
- не изменились ли сведения после запуска новых форм, CRM, рассылок или личного кабинета.
Здесь лучше не полагаться на старые привычки. У многих компаний сайт развивается постепенно: сначала появляется форма заявки, затем CRM, потом рассылка, онлайн-чат, рекламные пиксели и личный кабинет. Документы и уведомления при этом часто остаются в версии «как сделали при запуске сайта три года назад».
Cookies, аналитика и CRM тоже нужно учитывать
В 2026 году нельзя смотреть только на видимые формы. Иногда основные данные проходят через технические инструменты: cookie-файлы, аналитику, рекламные идентификаторы, коллтрекинг, CRM и сквозную аналитику.
Перед обновлением политики стоит проверить:
- какие счётчики и скрипты подключены на сайте;
- используются ли cookies для аналитики, рекламы или персонализации;
- какие формы отправляют данные в CRM;
- какие уведомления уходят в почту, Telegram или мессенджеры;
- кто имеет доступ к заявкам;
- где хранятся данные после отправки формы;
- есть ли сторонние подрядчики, которые обслуживают сайт и могут видеть заявки.
На сайтах на Битрикс это особенно актуально: формы могут быть связаны с CRM, почтовыми шаблонами, инфоблоками, модулями, обработчиками событий и внешними интеграциями. Поэтому политику конфиденциальности лучше обновлять вместе с технической проверкой сайта. Тогда документ описывает реальную схему обработки данных, а не абстрактную модель, которая давно не совпадает с тем, как всё устроено.
Какие документы нужны сайту кроме политики конфиденциальности
Политика конфиденциальности описывает общий порядок работы с персональными данными. Для сайта этого часто недостаточно: рядом с формами, подписками, заказами и cookie-баннерами нужны отдельные документы или элементы интерфейса. Они решают разные задачи, поэтому их лучше не смешивать в одну длинную фразу под кнопкой.
| Документ или элемент | Для чего нужен | Где используется |
|---|---|---|
| Политика конфиденциальности / политика обработки ПДн | Объясняет, какие данные собираются, зачем и как обрабатываются | Отдельная страница сайта, ссылка в футере и рядом с формами |
| Согласие на обработку персональных данных | Фиксирует согласие пользователя на конкретную обработку данных | Под формами заявок, регистрации, заказа |
| Согласие на рекламную рассылку | Нужно для отправки рекламных писем, SMS, сообщений и рекламных звонков | Отдельный чекбокс или отдельная форма подписки |
| Cookie-уведомление или cookie-политика | Сообщает об использовании cookies, аналитики и похожих технологий | Баннер, всплывающее уведомление, отдельный раздел политики |
| Оферта или пользовательское соглашение | Регулирует условия покупки, заказа услуги или использования сервиса | На странице заказа, оплаты, регистрации, в футере |
| Уведомление Роскомнадзора | Выполняет обязанность оператора, если она применима | Не размещается как обычная страница сайта, оформляется отдельно |
Какие документы нужны сайту кроме политики конфиденциальности
Согласие на обработку персональных данных
Согласие нужно там, где пользователь передаёт данные через форму: оставляет заявку, заказывает звонок, регистрируется, отправляет вопрос, записывается на услугу. Текст согласия должен быть понятным и связанным с конкретным действием.
Для формы заявки обычно достаточно короткой формулировки рядом с чекбоксом и ссылки на полный документ. Важно, чтобы пользователь понимал:
- какие данные он передаёт;
- кто их получает;
- для какой цели они используются;
- где можно прочитать политику обработки данных.
В 2026 году особенно важно не объединять согласие с другими подтверждениями. По 152-ФЗ согласие на обработку персональных данных должно быть оформлено отдельно от иной информации и документов, которые пользователь подтверждает или подписывает.
Согласие на рекламную рассылку
Если компания планирует отправлять пользователю рекламные письма, SMS, сообщения в мессенджерах или делать звонки рекламного характера, нужно отдельное согласие на рекламу. Его не стоит прятать внутри согласия на обработку персональных данных.
Например, пользователь может оставить телефон, чтобы менеджер связался с ним по заявке. Это ещё не означает, что он согласился получать регулярные рекламные сообщения. Для рассылок и рекламных коммуникаций лучше использовать отдельный чекбокс или отдельную форму подписки.
Закон о рекламе допускает распространение рекламы по сетям электросвязи только при предварительном согласии абонента или адресата. При этом обязанность доказать получение согласия лежит на рекламораспространителе.
Cookie-уведомление или cookie-политика
Cookies помогают сайту запоминать настройки пользователя, собирать статистику, анализировать поведение на страницах, связывать визиты с рекламными кампаниями и улучшать интерфейс. Если сайт использует Яндекс Метрику, рекламные пиксели, сквозную аналитику или персонализацию, этот блок лучше не игнорировать.
На практике используют несколько вариантов:
- короткое cookie-уведомление при первом посещении;
- отдельный раздел о cookies в политике конфиденциальности;
- отдельную cookie-политику для крупных проектов;
- ссылку на настройки или описание используемых технологий.
Для небольшого сайта услуг часто достаточно понятного cookie-баннера и раздела в политике. Для интернет-магазина, медиа, личного кабинета или проекта с активной рекламной аналитикой может понадобиться более подробное описание.
Оферта или пользовательское соглашение
Оферта и пользовательское соглашение регулируют отношения по услуге, покупке или использованию сервиса. Они отвечают на другие вопросы:
- что именно покупает или заказывает пользователь;
- как формируется цена;
- как проходит оплата;
- какие есть условия возврата;
- какие права и обязанности у сторон;
- как работает личный кабинет или сервис.
Политика конфиденциальности не заменяет оферту. Если сайт продаёт товары, принимает онлайн-оплату, предоставляет доступ к сервису, курсу, личному кабинету или платному функционалу, условия сделки нужно оформлять отдельно.
Уведомление Роскомнадзора
Уведомление Роскомнадзора — это не страница сайта, а отдельная обязанность оператора персональных данных, если она применима к конкретной ситуации. На портале персональных данных РКН указано, что операторы должны уведомлять Роскомнадзор о начале или осуществлении обработки персональных данных, кроме случаев, предусмотренных законом.
После подготовки политики владельцу сайта стоит проверить:
- подавала ли компания уведомление раньше;
- совпадают ли сведения в уведомлении с фактической работой сайта;
- изменились ли формы, CRM, рассылки, чаты или аналитика;
- появились ли новые категории данных;
- нужно ли актуализировать сведения.
Это особенно важно для сайтов, которые развиваются постепенно. Сегодня на сайте одна форма обратной связи, через полгода появляется CRM, потом рассылка, онлайн-чат, коллтрекинг и личный кабинет. Документы и уведомления должны успевать за такими изменениями.
Что будет, если на сайте нет политики конфиденциальности
Отсутствие политики конфиденциальности — не единственный риск, но один из самых заметных. Пользователь видит форму, оставляет данные и не понимает, кто их получает, зачем они нужны и что будет дальше. Для бизнеса это создаёт сразу несколько проблем: юридических, технических и репутационных.
По КоАП РФ невыполнение обязанности по опубликованию или обеспечению неограниченного доступа к политике обработки персональных данных влечёт штраф. Для юридических лиц он составляет от 30 000 до 60 000 рублей.
Отдельный риск связан с уведомлением Роскомнадзора. За невыполнение или несвоевременное выполнение обязанности по уведомлению уполномоченного органа для юридических лиц предусмотрен штраф от 100 000 до 300 000 рублей.
Но штрафы — только часть последствий. На практике проблемы могут быть шире:
- пользователь может пожаловаться, если не понимает, как используются его данные;
- рекламные и рассылочные сервисы могут запросить подтверждение согласий;
- при подключении платёжных, CRM- или маркетинговых инструментов всплывают недостающие документы;
- заявка может уходить в сторонние сервисы, которые не описаны в политике;
- при смене подрядчика сложно понять, где хранятся данные и кто имеет к ним доступ;
- сайт выглядит менее надёжным для клиентов, особенно в B2B, медицине, образовании, финансах и e-commerce.
Есть ещё техническая сторона. Если на сайте нет нормальной политики, часто рядом обнаруживаются и другие проблемы: формы без чекбоксов, заранее отмеченные согласия, устаревшие тексты, битые ссылки в футере, непонятная схема передачи заявок. Это уже вопрос не только юридического документа, но и качества поддержки сайта.
Поэтому политику конфиденциальности лучше воспринимать как индикатор порядка. Если документ актуален, формы настроены корректно, ссылки работают, а владелец понимает, куда уходят данные, значит сайт находится под контролем. Если политика скачана из интернета несколько лет назад и никто не знает, соответствует ли она реальности, проект требует проверки.
Что должно быть в политике конфиденциальности
Политика конфиденциальности должна описывать реальную обработку данных на сайте. Хороший документ нельзя собрать только из универсального шаблона: сначала нужно понять, какие формы, сервисы, скрипты и интеграции используются на конкретном проекте.
Роскомнадзор рекомендует включать в документ цели обработки, правовые основания, объём и категории персональных данных, категории субъектов, порядок и условия обработки, а также порядок актуализации, исправления, удаления и уничтожения данных.
| Раздел политики | Что в нём указать |
|---|---|
| Сведения об операторе | Название компании или ИП, реквизиты, контакты |
| Цели обработки данных | Заявки, заказы, обратная связь, аналитика, рассылки при наличии согласия |
| Категории персональных данных | Имя, телефон, email, адрес, данные заказа, технические данные |
| Категории субъектов данных | Посетители сайта, клиенты, подписчики, пользователи личного кабинета |
| Правовые основания обработки | Согласие, договор, требования закона и другие применимые основания |
| Порядок обработки и хранения | Как данные собираются, где хранятся, кто имеет доступ, как долго хранятся |
| Передача третьим лицам | CRM, хостинг, аналитика, почтовые сервисы, подрядчики, платёжные сервисы |
| Права пользователя | Как отозвать согласие, запросить изменение, удаление или уточнение данных |
| Меры защиты данных | Ограничение доступа, HTTPS, обновления сайта, резервные копии, контроль сервисов |
Что должно быть в политике конфиденциальности
Сведения об операторе персональных данных
В этом разделе указывают, кто отвечает за обработку данных. Для компании это обычно юридическое лицо, для небольшого бизнеса — ИП.
В политике стоит указать:
- полное наименование компании или ИП;
- ИНН, ОГРН или ОГРНИП;
- адрес;
- email или другой контакт для обращений по персональным данным;
- сайт, к которому относится политика.
Этот раздел нужен не для красоты. Пользователь должен понимать, к кому обращаться, если хочет уточнить, изменить или удалить данные.
Цели обработки персональных данных
Цели должны соответствовать тому, что действительно происходит на сайте. Для коммерческого проекта чаще всего указывают:
- обработку заявок;
- связь с пользователем;
- подготовку коммерческого предложения;
- оформление и исполнение заказа;
- регистрацию и обслуживание личного кабинета;
- аналитику работы сайта;
- улучшение интерфейса и качества сервиса;
- отправку информационных или рекламных сообщений при наличии отдельного согласия.
Важно формулировать цели достаточно конкретно. Фраза «для улучшения качества обслуживания» может быть уместна, но она не должна быть единственной целью для всех сценариев: заявки, заказы, рассылки и аналитика решают разные задачи.
Категории персональных данных
В этом блоке перечисляют, какие данные обрабатываются. Для сайта услуг это могут быть имя, телефон, email, название компании, должность, комментарий к заявке. Для интернет-магазина добавляются адрес доставки, состав заказа, история покупок. Для личного кабинета — логин, настройки профиля, история действий.
Отдельно стоит указать технические данные, если сайт использует cookies, аналитику, рекламные пиксели или похожие технологии: IP-адрес, сведения о браузере, устройстве, источнике перехода и действиях на страницах.
Категории субъектов персональных данных
Субъектами могут быть разные группы пользователей:
- посетители сайта;
- клиенты;
- потенциальные клиенты;
- подписчики рассылки;
- пользователи личного кабинета;
- представители компаний;
- партнёры;
- соискатели, если на сайте есть форма отклика на вакансию.
Этот раздел помогает связать данные с конкретными сценариями. Например, подписчик рассылки и клиент интернет-магазина передают разные сведения и ожидают разного использования данных.
Правовые основания обработки
В политике нужно указать, на каком основании компания обрабатывает персональные данные. На сайте чаще всего встречаются согласие пользователя, исполнение договора, выполнение требований закона и другие применимые основания.
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. С 2025 года в статье 9 152-ФЗ также закреплено, что такое согласие оформляется отдельно от иной информации и документов, которые подтверждает пользователь.
Порядок хранения, изменения и удаления данных
Пользователь должен понимать, что происходит с данными после отправки формы. В политике стоит описать:
- как данные поступают в компанию;
- где они хранятся;
- кто имеет к ним доступ;
- как долго они используются;
- как пользователь может отозвать согласие;
- как направить запрос на изменение, уточнение или удаление данных.
Для сайта это напрямую связано с технической реализацией. Если заявки сохраняются в CRM, в административной панели сайта и дублируются на почту менеджерам, все эти точки нужно учитывать.
Передача данных третьим лицам
Многие сайты передают данные во внешние сервисы. Это может быть хостинг, CRM, почтовый сервис, платёжный модуль, онлайн-чат, коллтрекинг, сервис доставки, сквозная аналитика или подрядчик по поддержке сайта.
В политике стоит указать, кому и для каких целей могут передаваться данные. Например, платёжному сервису — для проведения оплаты, службе доставки — для выполнения заказа, CRM — для обработки заявки и работы менеджера.
Меры защиты персональных данных
Раздел о защите не должен превращаться в технический отчёт, но общие меры лучше перечислить. Обычно указывают:
- ограничение доступа к данным;
- использование HTTPS;
- контроль прав сотрудников;
- резервное копирование;
- защиту административной панели;
- обновление CMS, модулей и компонентов;
- проверку сторонних сервисов и интеграций.
Для владельца сайта это важный практический момент. Политика может быть написана корректно, а сайт при этом работать на устаревшей CMS, хранить заявки в открытом доступе или отправлять данные через незащищённые формы. Тогда проблема уже не в тексте документа, а в техническом состоянии проекта.
Как составить политику конфиденциальности для сайта
Начинать лучше не с генератора документов, а с инвентаризации сайта. Готовый шаблон может помочь со структурой, но он не знает, какие формы, CRM, чаты, cookies и обработчики подключены на конкретном проекте.
Найти все места сбора данных на сайте
Первый шаг — пройти сайт как пользователь и отметить все точки, где человек может передать данные или где сайт получает техническую информацию.
Проверить нужно:
- формы заявок;
- формы заказа;
- обратный звонок;
- квизы и калькуляторы;
- подписку на рассылку;
- регистрацию;
- личный кабинет;
- онлайн-чат;
- комментарии;
- формы отклика на вакансии;
- pop-up окна;
- cookie-баннеры;
- подключённые счётчики аналитики.
Отдельно стоит проверить мобильную версию. Иногда на десктопе форма выглядит корректно, а на смартфоне ссылка на политику или чекбокс согласия пропадают из-за ошибок в адаптивной вёрстке.
Определить, какие данные собираются и зачем
Для каждой формы нужно ответить на два вопроса: какие поля заполняет пользователь и зачем компании нужны эти сведения.
Например:
- имя и телефон — чтобы менеджер связался по заявке;
- email — чтобы отправить ответ или материалы;
- адрес — чтобы доставить заказ;
- комментарий — чтобы уточнить задачу;
- ИНН компании — чтобы подготовить документы;
- данные профиля — чтобы пользователь мог работать в личном кабинете.
Лишние поля лучше убрать. Чем меньше данных собирает сайт, тем проще объяснить их обработку и ниже риск накопить ненужную информацию.
Проверить сторонние сервисы и интеграции
После форм нужно проверить, куда уходят данные. На практике путь заявки может быть длиннее, чем кажется владельцу сайта.
Например, пользователь отправляет форму, а данные попадают:
- в административную панель сайта;
- на email менеджера;
- в CRM;
- в Telegram-уведомление;
- в коллтрекинг;
- в систему сквозной аналитики;
- в сервис рассылок;
- подрядчику, который обслуживает сайт.
На сайтах на Битрикс это особенно важно: данные могут проходить через веб-формы, инфоблоки, почтовые события, CRM-интеграции, обработчики и сторонние модули. Без технической проверки легко пропустить часть маршрута.
Подготовить текст политики
Когда карта данных собрана, можно готовить текст политики. В документе нужно отразить реальные сценарии обработки: заявки, заказы, личный кабинет, cookies, аналитику, рассылки, передачу в CRM и работу подрядчиков.
Шаблон допустим как основа, если его адаптируют под конкретный сайт. Опасный вариант — скачать документ конкурента, заменить название компании и разместить в футере. Такой текст часто не совпадает с реальными формами, сервисами и процессами.
Согласовать документ с юристом
Веб-подрядчик может помочь найти формы, интеграции, cookies, CRM и технические точки передачи данных. Юрист проверяет правовые формулировки, основания обработки, состав документов и обязанности оператора.
Лучший процесс выглядит так:
- владелец бизнеса описывает реальные процессы;
- техническая команда проверяет сайт и интеграции;
- юрист готовит или корректирует документ;
- разработчик размещает политику и настраивает формы;
- после публикации сайт проверяют повторно.
Так снижается риск, что политика будет юридически аккуратной, но технически оторванной от реальности сайта.
Настроить сайт под требования документа
После подготовки текста нужно привести интерфейс в соответствие с документом:
- создать отдельную страницу политики;
- добавить ссылку в подвал сайта;
- разместить ссылки рядом со всеми формами;
- настроить чекбоксы согласия;
- разделить согласие на обработку данных и согласие на рассылку;
- проверить cookie-уведомление;
- убедиться, что формы отправляются корректно;
- проверить, фиксируется ли факт согласия, если это предусмотрено логикой проекта.
Оператор обязан обеспечить неограниченный доступ к политике обработки персональных данных, а при сборе данных через сайт документ должен быть опубликован в интернете. Поэтому размещение политики — это не финальная формальность, а часть настройки сайта.
Как оформить и разместить политику конфиденциальности на сайте
После подготовки текста политику нужно правильно разместить на сайте. Недостаточно загрузить документ в PDF и спрятать ссылку в незаметном разделе. Пользователь должен легко найти информацию о том, как обрабатываются его данные, особенно в момент, когда он заполняет форму, оформляет заказ или регистрируется.
Создать отдельную страницу политики
Оптимальный вариант — отдельная страница сайта. Например:
- /privacy/;
- /privacy-policy/;
- /personal-data/;
- /policy/.
Главное, чтобы страница была доступна без регистрации, нормально открывалась на компьютере и смартфоне, индексировалась корректно и не вела на устаревший файл с прошлым названием компании.
На странице стоит указать:
- полное название документа;
- дату публикации или дату последнего обновления;
- текст политики;
- контакты для обращений по персональным данным;
- ссылки на связанные документы, если они есть.
Если политика размещается в PDF, лучше продублировать текст на обычной HTML-странице. Так пользователю проще читать документ с телефона, а владельцу сайта — обновлять страницу, отслеживать битые ссылки и поддерживать нормальную структуру сайта.
Добавить ссылку в подвал сайта
Ссылка на политику конфиденциальности обычно размещается в футере. Это привычное место: пользователь ожидает найти там юридические документы, контакты, реквизиты и служебные страницы.
В подвал сайта можно добавить ссылки на:
- политику конфиденциальности;
- согласие на обработку персональных данных;
- согласие на рекламную рассылку;
- оферту или пользовательское соглашение;
- cookie-политику, если она оформлена отдельно.
Важно проверить, что футер одинаково работает на всех основных шаблонах: главной странице, карточках товаров, услугах, статьях, посадочных страницах, страницах корзины и личного кабинета. На сайтах с большим количеством шаблонов бывает ситуация, когда ссылка есть на главной, но отсутствует на лендингах или мобильной версии.
Разместить ссылки рядом с формами
Политика должна быть доступна там, где пользователь передаёт данные. Поэтому ссылки нужно размещать рядом с формами:
- заявки;
- обратного звонка;
- регистрации;
- оформления заказа;
- подписки на рассылку;
- записи на консультацию;
- скачивания материалов;
- отклика на вакансию.
Хорошая практика — короткий текст рядом с чекбоксом и ссылка на политику. Например: пользователь подтверждает согласие на обработку персональных данных, а ссылка ведёт на полный текст документа. Формулировка должна быть понятной, без попытки спрятать несколько разных согласий в одну строку.
Настроить чекбоксы согласия
Чекбокс согласия лучше делать отдельным элементом формы. Он не должен быть отмечен заранее: пользователь сам подтверждает действие.
На практике стоит проверить:
- есть ли чекбокс во всех формах;
- не исчезает ли он в мобильной версии;
- нельзя ли отправить форму без обязательного согласия;
- открывается ли ссылка на политику;
- не объединены ли обработка персональных данных и рекламная рассылка;
- корректно ли передаётся заявка после добавления чекбокса;
- фиксируется ли согласие, если это предусмотрено логикой проекта.
После добавления чекбоксов обязательно нужно протестировать формы. Иногда внешне всё выглядит правильно, но заявка перестаёт отправляться, письмо не доходит до менеджера или данные не попадают в CRM.
Проверить отображение на мобильной версии
Мобильная версия — частая точка ошибок. На смартфоне форма может быть урезана, чекбокс съезжает за пределы экрана, ссылка становится нечитаемой, а cookie-баннер перекрывает кнопку отправки.
Перед публикацией нужно пройти основные сценарии с телефона:
- открыть страницу политики;
- заполнить форму заявки;
- отметить чекбокс согласия;
- перейти по ссылке на документ;
- закрыть cookie-уведомление;
- оформить заказ или регистрацию, если такие сценарии есть;
- убедиться, что заявка пришла в нужный сервис.
Для пользователя это вопрос удобства. Для бизнеса — вопрос заявок: если после юридической доработки форма стала неудобной, конверсия может просесть.
Учесть особенности сайтов на Битрикс и других CMS
На сайтах на Битрикс политика и согласия часто связаны не только с текстом страницы, но и с техническими настройками: веб-формами, почтовыми событиями, CRM-интеграциями, компонентами, шаблонами и сторонними модулями.
Что стоит проверить отдельно:
- какие формы используются на сайте;
- какие поля передаются в письмах и CRM;
- где хранятся заявки;
- какие шаблоны отвечают за вывод форм;
- есть ли разные формы на лендингах, в каталоге, в корзине и личном кабинете;
- не дублируются ли устаревшие формы в старых разделах сайта;
- не ломается ли отправка после добавления обязательного согласия.
Такая проверка особенно важна для сайтов, которые развивались несколько лет. За это время могли появиться новые формы, временные лендинги, рекламные страницы, виджеты, интеграции и старые обработчики, о которых уже никто не помнит.
Что сделать после публикации политики
Публикация политики — не финальная точка. После размещения документа нужно проверить, что сайт действительно работает так, как описано в политике, а все формы и сервисы корректно обрабатывают данные.
Проверить работу всех форм
После добавления ссылок и чекбоксов нужно отправить тестовые заявки со всех ключевых форм:
- с главной страницы;
- со страниц услуг;
- из каталога или корзины;
- из pop-up окон;
- из мобильной версии;
- из формы подписки;
- из личного кабинета;
- с рекламных лендингов.
По каждой форме нужно убедиться, что заявка отправляется, приходит ответственному сотруднику, попадает в CRM и содержит нужные поля. Если форма связана с целями в Яндекс Метрике, стоит проверить и срабатывание целей.
Проверить сохранение и передачу заявок
Владелец сайта должен понимать маршрут данных после отправки формы. Например:
- пользователь заполнил заявку;
- данные сохранились на сайте;
- письмо ушло менеджеру;
- лид создался в CRM;
- уведомление пришло в Telegram;
- событие передалось в аналитику.
Если один из этапов не описан в политике или не контролируется технически, появляется слабое место. Особенно внимательно стоит проверять старые формы, временные лендинги и интеграции, которые подключались «быстро на время», а потом остались на сайте на годы.
Обновлять документ при изменениях на сайте
Политику нужно пересматривать, когда меняется схема работы с данными. Поводом для обновления могут быть:
- новая форма заявки;
- подключение CRM;
- запуск рассылки;
- добавление онлайн-чата;
- установка коллтрекинга;
- появление личного кабинета;
- подключение платёжного модуля;
- запуск нового рекламного лендинга;
- изменение подрядчика по поддержке сайта;
- перенос сайта на другой хостинг;
- изменение целей обработки данных.
Лучше закладывать проверку политики в регулярную поддержку сайта. Тогда документ обновляется вместе с проектом, а не вспоминается только после жалобы пользователя или требования сервиса.
Следить за безопасностью CMS, модулей и доступов
Политика конфиденциальности описывает порядок работы с данными, но безопасность зависит от состояния сайта. Если CMS устарела, модули давно не обновлялись, доступы выданы бывшим сотрудникам, а резервные копии никто не проверяет, документ не решит проблему.
Минимальный технический контроль включает:
- актуальные версии CMS и модулей;
- HTTPS;
- сложные пароли и ограничение прав;
- удаление лишних пользователей;
- контроль административных доступов;
- резервное копирование;
- проверку форм и интеграций после обновлений;
- мониторинг ошибок и подозрительной активности.
Для сайтов на Битрикс это особенно актуально: проект может быть технически сложным, с интеграциями, кастомными модулями, обменом с CRM или 1С. Поддержка такого сайта должна включать не только мелкие правки, но и регулярную проверку рисков.
Проверить необходимость уведомления Роскомнадзора
После подготовки политики и проверки сайта нужно отдельно оценить вопрос уведомления Роскомнадзора. Операторы персональных данных обязаны уведомлять уполномоченный орган о начале или осуществлении обработки персональных данных, кроме случаев, предусмотренных законом.
Если компания уже подавала уведомление, стоит проверить, совпадают ли сведения с текущей работой сайта. Если за последние годы появились новые формы, CRM, рассылки, личный кабинет или другие категории данных, информация могла устареть.
Кто должен разрабатывать политику: владелец сайта, юрист или веб-подрядчик
Политику конфиденциальности лучше готовить совместно. У каждого участника своя зона ответственности, и если исключить одного из них, документ может получиться неполным.
Владелец бизнеса понимает реальные процессы: какие заявки получает компания, кто их обрабатывает, какие сервисы используются в продажах, есть ли рассылки, кому передаются данные и сколько они хранятся.
Юрист отвечает за правовую часть: формулировки, основания обработки, состав документов, обязанности оператора, согласия, уведомления и соответствие требованиям законодательства.
Веб-подрядчик отвечает за техническую картину сайта. Он может проверить:
- формы и поля;
- обработчики заявок;
- CRM-интеграции;
- cookie и аналитические скрипты;
- почтовые события;
- личный кабинет;
- платёжные и доставочные модули;
- сторонние виджеты;
- доступы и технические риски.
На практике именно техническая проверка часто показывает то, чего нет в изначальном описании бизнеса. Например, владелец уверен, что заявки приходят только на email, а разработчик видит передачу в CRM, коллтрекинг и аналитику. Юрист без этой информации может подготовить аккуратный текст, который не совпадает с реальной работой сайта.
Оптимальный процесс выглядит так:
- бизнес описывает процессы;
- веб-подрядчик проверяет сайт и интеграции;
- юрист готовит или корректирует документы;
- разработчик размещает политику и настраивает формы;
- команда тестирует отправку заявок, ссылки, чекбоксы и мобильную версию.
Такой подход снижает риск хаоса: все понимают, кто за что отвечает, какие данные собираются и какие изменения нужно внести на сайте. Для владельца бизнеса это ещё и способ вернуть контроль над проектом — особенно если сайт давно развивался разными подрядчиками, а документация по формам и интеграциям не велась.
Заключение
Политика конфиденциальности для сайта в 2026 году — это не формальный текст в футере, а часть нормальной работы с персональными данными. Она нужна большинству коммерческих сайтов: с формами заявок, обратным звонком, заказами, регистрацией, аналитикой, cookies, CRM, рассылками и онлайн-чатами.
Чтобы документ был полезным, его нужно составлять на основе реальной схемы сайта. Сначала стоит понять, какие данные собираются, где они появляются, куда передаются и кто имеет к ним доступ. Затем подготовить текст политики, оформить согласия, разместить ссылки рядом с формами, проверить cookie-уведомление, работу заявок, мобильную версию и необходимость уведомления Роскомнадзора.
Главная ошибка — считать, что вопрос решается скачанным шаблоном. Шаблон может помочь со структурой, но не заменяет проверку сайта, юридическую корректировку и техническую настройку форм.
Если на сайте есть формы заявок, личный кабинет, интеграция с CRM, cookies, аналитика или нестандартные модули, вопрос политики конфиденциальности лучше решать вместе с технической проверкой сайта. В Profitkit можно заказать техническую поддержку сайта на 1С-Битрикс: мы проверим формы, чекбоксы, отправку заявок, CRM-интеграции, cookie-уведомления, доступы и технические риски. Если проект только создаётся или требует серьёзной переработки, эти требования стоит заложить ещё на этапе разработки сайта на 1С-Битрикс. А если заявки уходят в отдел продаж, отдельно стоит проверить внедрение CRM, чтобы данные не терялись, доступы были настроены корректно, а путь обращения от формы до менеджера был понятен.
В Profitkit мы помогаем бизнесу смотреть на сайт системно: проверяем формы, интеграции, CRM, техническое состояние, безопасность и корректность размещения важных документов. А если хотите регулярно разбираться в SEO, поддержке сайтов, Битриксе и интернет-маркетинге без лишнего тумана — подписывайтесь на Telegram-канал Profitkit.
