Sitelaw

Персональные данные

Политика конфиденциальности для сайта в 2026 году: что должно быть и как проверить

Если на вашем сайте есть хотя бы одна форма, где посетитель оставляет email, телефон или имя, у вас уже есть обязанность по работе с персональными данными. И первый документ, который проверяет любой контролёр и любой внимательный пользователь, это политика конфиденциальности. Чаще всего она либо скопирована из генератора, либо стоит галочкой в конструкторе, либо её просто нет. Разберём по порядку: что в ней обязано быть в 2026 году, какие ошибки тянутся из шаблонов и как за полминуты проверить свою. Без запугивания и без обещаний «100% защиты».
  • Чек-лист обязательных смысловых блоков
  • Что изменилось к 2026 году
  • Типичные ошибки из конструктора
  • Как проверить свою за 30 секунд

Введите URL — отчёт обычно за ~30 секунд:

Без регистрации, бесплатно. Полный список нарушений с пунктами КоАП и штрафом.

Что это за документ

Что такое политика конфиденциальности и почему её обязан публиковать любой сайт с формой

Политика конфиденциальности, точнее говоря «политика в отношении обработки персональных данных», это публичный документ, в котором вы как оператор персональных данных описываете, какие данные собираете, зачем, на каком основании и что человек может с этим сделать. Ключевое слово здесь публичный. Документ существует не для папки на компьютере, а для того, чтобы любой посетитель сайта мог его открыть и прочитать.

Откуда берётся обязанность. Как только сайт собирает данные, по которым можно идентифицировать человека (email, телефон, имя, а в ряде случаев и cookie, если они позволяют идентифицировать пользователя), его владелец становится оператором персональных данных в смысле Федерального закона № 152-ФЗ. Закон прямо требует от оператора опубликовать документ, определяющий его политику обработки персональных данных, или иным образом обеспечить к нему неограниченный доступ (152-ФЗ, статья 18.1, часть 2). То есть мало написать политику, нужно сделать так, чтобы её мог открыть кто угодно без регистрации и звонка вам.

Эта обязанность опубликовать политику распространяется на любого оператора, а не только на крупные компании. Размер бизнеса значения не имеет: как только данные собираются, требование обеспечить открытый доступ к документу уже действует.

Важно сразу развести три документа, которые в головах часто слипаются в один.

  • Политика конфиденциальности. Публичный документ оператора, описывает всю систему обработки данных. Один на весь сайт. Адресована неограниченному кругу лиц.
  • Согласие на обработку персональных данных. То, что человек даёт активно, отмечая чекбокс под формой. Это его волеизъявление по конкретному случаю, а не ваш документ.
  • Оферта (или договор). Условия, на которых вы оказываете услугу или продаёте товар. К защите данных отношения почти не имеет.

Путаница опасна тем, что владелец сайта ставит один чекбокс «согласен с офертой и политикой» и считает вопрос закрытым. На деле политика должна быть отдельным опубликованным документом, согласие отдельным действием пользователя, а смешивание их в одну строку само по себе ошибка, к которой мы ещё вернёмся.

Если вы хотите понять контекст шире, как 152-ФЗ в целом ложится на обычный сайт, у нас есть отдельный разбор требований закона: требования 152-ФЗ для сайта. А полная пошаговая проверка сайта собрана здесь: как проверить сайт на 152-ФЗ.

Чек-лист

Какие пункты обязательны в политике конфиденциальности в 2026 году

Это ядро вопроса для всех, кто ищет «образец» или «что должно быть в политике». Сразу оговоримся: ниже не готовый текст документа, который можно скопировать и забыть, а перечень обязательных смысловых блоков. Готовый текст всегда привязан к конкретному бизнесу, его сервисам и реквизитам.

Закон не закрепляет точное число разделов политики и не диктует её рубрикацию. Но он определяет, какие сведения оператор обязан раскрыть и какие сведения должен предоставить субъекту по его просьбе (152-ФЗ, статья 14, часть 7). Из этого складывается набор смысловых блоков, без которых документ неполон. Хорошая политика раскрывает как минимум следующее.

  1. 1

    Кто оператор и его реквизиты

    Наименование (для физлица без статуса юрлица, скажем, самозанятого, это ФИО), ИНН, адрес для связи. Без этого документ обезличен и формально не привязан ни к кому. Это пункт номер один по частоте провала в шаблонных политиках.

  2. 2

    Цели обработки

    Зачем вы собираете данные: обратная связь, выполнение заказа, рассылка, аналитика. Цели должны быть конкретными, а не «для улучшения качества».

  3. 3

    Перечень категорий персональных данных

    Что именно собираете: имя, email, телефон, адрес доставки, данные cookie. Перечень должен совпадать с тем, что реально спрашивают формы на сайте.

  4. 4

    Правовые основания обработки

    На чём держится обработка: согласие субъекта, исполнение договора, требование закона.

  5. 5

    Перечень действий с данными и способы обработки

    Сбор, хранение, использование, передача, в том числе автоматизированная обработка.

  6. 6

    Сроки обработки и хранения

    Как долго вы держите данные и что делает критерий «достижения цели» для их удаления.

  7. 7

    Порядок отзыва согласия

    Как человек может отозвать согласие и что произойдёт дальше. Это связано с правом субъекта прекратить обработку.

  8. 8

    Права субъекта персональных данных

    Право на доступ, уточнение, удаление, на обжалование в Роскомнадзор.

  9. 9

    Трансграничная передача

    Передаёте ли вы данные за границу (а это происходит чаще, чем кажется: иностранная аналитика, зарубежные CRM, почтовые сервисы), и на каком основании.

  10. 10

    Сведения о защите данных

    Какие меры вы принимаете для защиты, без раскрытия деталей, которые сами по себе создают уязвимость.

  11. 11

    Контакт для обращений субъектов

    Конкретный адрес (email или почтовый), по которому человек напишет, чтобы реализовать свои права.

Отдельно стоит проверить блок про cookie и аналитику. Если на сайте стоит счётчик, пиксель или любой сервис, который пишет cookie и собирает поведение посетителей, это должно быть отражено и в политике, и в баннере согласия на странице. Связку «политика плюс cookie-баннер» мы разобрали отдельно: cookie-баннер для сайта.

Для интернет-магазинов состав данных и документов шире обычного: туда добавляются данные о заказах, адресах доставки, иногда платёжные сведения. Если у вас магазин, имеет смысл свериться с расширенным разбором: аудит интернет-магазина.

Сгенерировать корректный текст под конкретные реквизиты и набор сервисов задача отдельная. Сам по себе чек-лист выше нужен, чтобы понять, чего в вашем текущем документе не хватает, а не чтобы написать политику с нуля вручную.

2026 год

Что изменилось к 2026 году: на что смотреть в политике сейчас

Запрос «политика конфиденциальности для сайта 2026» отражает понятное беспокойство: законодательство о персональных данных в последние пару лет двигалось активно, и старая политика трёхлетней давности может уже не отражать реальность. При этом важно не путать настоящие изменения с маркетинговым шумом «всё поменялось, срочно переделывайте». Опишем картину без нагнетания.

Усиление ответственности. С 30 мая 2025 года заметно ужесточилась административная ответственность за нарушения в сфере персональных данных. Это не значит, что политику нужно переписывать из-за самих штрафов, но это значит, что цена формального отношения к документу выросла. Раньше неполная политика была теоретическим риском, теперь к ней внимательнее.

Локализация персональных данных. Требование о том, что персональные данные граждан РФ должны храниться в базах на территории России, действует давно, но контроль за ним усиливался. Если ваша CRM, форма или аналитика складывают данные на зарубежные серверы, это вопрос не только к политике, но и к самой архитектуре сбора. В политике это пересекается с разделом про трансграничную передачу.

Правила работы с согласиями. Подходы к тому, как должно оформляться согласие на обработку данных, продолжали уточняться в течение 2025 года. Для сайта это прежде всего означает: согласие должно быть отдельным, осознанным действием пользователя, а не предзаполненной галочкой, склеенной с офертой.

Мы намеренно не приводим здесь «новые редакции мая 2026 года» и не выдумываем свежих поправок, которых нет. Когда речь о законе, важнее точность, чем сенсационность. Актуальную картину требований к сайту в целом мы держим в разборе 152-ФЗ для сайта, и база норм, на которую опирается наша проверка, регулярно сверяется с официальными публикациями.

Практический вывод для владельца сайта простой: если ваша политика написана до 2024 года, в ней почти наверняка устарел перечень сервисов, не отражена локализация и нестрого описано согласие. Это повод не паниковать, а спокойно пересмотреть документ.

Шаблоны из конструктора

Типичные ошибки в политике из конструктора (Tilda, Битрикс, генераторы)

Большинство сайтов малого бизнеса собраны на конструкторах, и политика там либо подтянута автоматически, либо взята из бесплатного генератора. Сами по себе шаблоны не зло, проблема в том, что их ставят и забывают, не подгоняя под себя. Вот ошибки, которые встречаются чаще всего.

Шаблон без реквизитов оператора

Самая частая. В тексте политики остаётся «Компания», «Оператор», «ООО Ромашка» из примера генератора, и нигде нет вашего настоящего наименования, ИНН и контакта. Формально такой документ не привязан к вам, а значит толком не выполняет свою функцию.

Один чекбокс «согласен с офертой и политикой»

Конструкторы часто предлагают одну галочку под формой. Но политика это документ для ознакомления, а согласие на обработку данных активное волеизъявление. Склеивание их в одну строку размывает обе сущности. Корректнее давать ссылку на политику для ознакомления и отдельный, осознанный чекбокс согласия.

Неактуальный перечень сервисов

Шаблон описывает абстрактный набор обработки, а на сайте при этом стоят конкретные счётчики, чаты, пиксели и формы, которых в политике нет. Перечень собираемых данных и используемых сервисов должен совпадать с тем, что реально работает на странице.

Нет ссылки на политику в форме

Политика лежит в подвале, но рядом с формой, где человек вводит данные, на неё нет ссылки. Между тем именно в момент сбора данных пользователь должен иметь возможность ознакомиться с тем, как с ними поступят.

Политика недоступна с ключевых страниц

Документ есть, но ссылка на него стоит только на главной, а со страниц с формами заявки или оформления заказа до него не добраться. Закон требует обеспечить именно неограниченный доступ к документу, и «спрятанная» политика эту задачу решает плохо.

Для сайтов на Tilda есть своя специфика: часть фиксов упирается в ограничения конструктора, и делать их нужно с учётом того, что доступно в редакторе. План фикса с этими оговорками мы собрали отдельно: сайт на Tilda и 152-ФЗ.

Напомним: это разбор типовых проблем, а не юридическая консультация под ваш конкретный случай. Сгенерированный или поправленный шаблон в любом случае стоит проверить под реальный бизнес.

Ответственность

Чем грозит отсутствие или недоступность политики

Поговорим об ответственности спокойно, без сценариев «вас оштрафуют завтра». Реальность такая: проверки по персональным данным существуют, и отсутствие или недоступность политики это понятное, легко выявляемое нарушение. Но паниковать ради того, чтобы что-то купить, мы не предлагаем.

За невыполнение оператором обязанности опубликовать документ с политикой обработки персональных данных или обеспечить к нему доступ предусмотрена административная ответственность (КоАП, статья 13.11, часть 3). То есть наказывается именно ситуация, когда политики либо нет в открытом доступе, либо до неё нельзя добраться. Конкретные размеры штрафов различаются по категориям нарушителей и регулярно меняются, поэтому актуальный диапазон корректнее смотреть в самом отчёте проверки, где он приводится со ссылкой на норму, а не запоминать цифру из статьи.

Отдельно, и это важно не путать с политикой, стоит обязанность уведомить Роскомнадзор о намерении обрабатывать персональные данные (152-ФЗ, статья 22, часть 1). Это смежная, но самостоятельная обязанность: уведомление РКН и публикация политики две разные вещи. Можно иметь идеальную политику и при этом не подать уведомление, и наоборот. За неуведомление РКН об обработке данных предусмотрена своя административная ответственность (КоАП, статья 13.11, часть 10).

Мы сознательно не даём здесь инструкцию «как вести дело с проверяющим органом» или «что отвечать на запрос РКН» это уже территория юридической помощи в конкретном деле, а не информационной статьи. Наша задача показать, какие обязанности существуют и как быстро понять, выполнены ли они на вашем сайте.

Проверка

Как проверить свою политику и сайт за 30 секунд

Самостоятельно пройтись по чек-листу выше можно, но это требует времени и понимания, на что смотреть в тексте. Часть рутины можно доверить проверке.

Бесплатный скан sitelaw открывает ваш сайт так же, как его видит посетитель, и проверяет видимые внешние признаки по части персональных данных: есть ли на сайте ссылка на политику конфиденциальности, стоит ли cookie-баннер, привязаны ли формы к чекбоксу согласия, указаны ли реквизиты, работает ли HTTPS, нет ли подключённых иностранных сервисов. Каждое найденное несоответствие в отчёте идёт со ссылкой на конкретную норму, чтобы вы понимали не только «что не так», но и «почему это требование».

Содержательная проверка самого текста политики (насколько он раскрывает обязательные смысловые блоки) глубже того, что видно снаружи, поэтому она входит уже в платный аудит. Там же, если политики нет или она целиком из конструктора, формируется готовый шаблон политики с подставленными реквизитами вашей компании и комплект сопутствующих документов. Это удобный старт, но не замена работы юриста: сгенерированный шаблон стоит проверить под специфику конкретного бизнеса.

Здесь честно про границы. Мы в sitelaw проверяем сайт на соответствие 152-ФЗ и генерируем шаблоны документов, но мы не юридическая фирма и не ведём дела в государственных органах. Где проходит граница между автоматической проверкой плюс генерацией комплекта и работой живого юриста, мы разобрали отдельно: сканер sitelaw против юриста.

Запустить бесплатный скан и увидеть, что не выполнено

Частые вопросы

Что чаще всего спрашивают про политику конфиденциальности

  • Обязательна ли политика конфиденциальности для лендинга или сайта самозанятого?
    Да, если на сайте есть форма, через которую вы собираете данные посетителя (email, телефон, имя), и неважно, лендинг это или большой портал, юрлицо вы или самозанятый. Обязанность опубликовать политику и обеспечить к ней доступ привязана к факту обработки персональных данных, а не к размеру бизнеса (152-ФЗ, статья 18.1, часть 2).
  • Можно ли просто взять готовый образец из генератора?
    Образец как отправную точку взять можно, но использовать его как есть рискованно. Шаблон почти всегда нужно дорабатывать: вписать реальные реквизиты оператора, привести перечень данных и сервисов в соответствие с тем, что реально стоит на сайте, поправить раздел про трансграничную передачу. Незаполненный шаблон с «ООО Ромашка» внутри свою задачу не выполняет.
  • Чем политика отличается от согласия и оферты?
    Политика это публичный документ оператора о том, как он обрабатывает данные, один на весь сайт. Согласие активное действие пользователя, отметка чекбокса под формой. Оферта условия оказания услуги или продажи товара. Это три разных документа, и склеивать их в один чекбокс «согласен со всем» некорректно.
  • Нужно ли уведомлять Роскомнадзор, если политика уже есть?
    Это разные обязанности. Публикация политики (152-ФЗ, статья 18.1, часть 2) и уведомление РКН о намерении обрабатывать данные (152-ФЗ, статья 22, часть 1) друг друга не заменяют. Наличие политики не отменяет необходимость подать уведомление, если ваш случай под эту обязанность подпадает.
  • Что писать в политике про cookies?
    Если сайт использует cookie и аналитику, это должно быть отражено и в политике (какие cookie, для чего, какие сервисы), и на самой странице через баннер согласия. Подробнее про связку политики и баннера в отдельном разборе про cookie-баннер.
  • Какой штраф за отсутствие политики конфиденциальности?
    Ответственность за необеспечение публикации или доступа к политике предусмотрена КоАП (статья 13.11, часть 3). Размеры различаются по категориям нарушителей и периодически пересматриваются, поэтому актуальный диапазон корректнее смотреть в отчёте проверки со ссылкой на норму, а не ориентироваться на цифру из статьи в интернете. Никакой инструмент не даёт «100% защиты от штрафа», но устранение очевидных нарушений заметно снижает риск.

Смежные темы

Связанные страницы

Проверка по 152-ФЗКак требования закона о персональных данных в целом ложатся на обычный сайт и какие статьи КоАП за этим стоят.ЧитатьCookie-баннер для сайтаСвязка «политика плюс баннер согласия»: что должно быть в баннере и как он соотносится с разделом о cookie в политике.ЧитатьКак проверить сайт на 152-ФЗПолная пошаговая проверка сайта: от политики и согласия до иностранных сервисов и уведомления в РКН.Читать

Проверьте политику и сайт за 30 секунд

Бесплатный скан покажет, есть ли на сайте ссылка на политику, cookie-баннер, согласие в формах и реквизиты оператора. Каждое несоответствие идёт со ссылкой на конкретную норму.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Материал носит информационный характер и не является юридической консультацией. Сгенерированный шаблон документа требует проверки под конкретный бизнес.