Privacy Policy для сайта: как составить в 2026 году
- GDPR · CCPA · 152-ФЗ
- Privacy Policy
- SaaS · Крипто · AI · EdTech
- Персональные данные
- 1Почему без Privacy Policy нельзя запускать сайт
- 2Отличие от политики обработки ПДн по 152-ФЗ
- 3Обязательные разделы по GDPR Art. 13–14
- 4Обязательные разделы по 152-ФЗ
- 5Обязательные разделы по CCPA / CPRA
- 6Мультиюрисдикционная Privacy Policy
- 7Специфика по типу продукта
- 8Типичные ошибки
- 9Чек-лист: 12 пунктов
- ?FAQ
1Почему без Privacy Policy нельзя запускать сайт
Privacy Policy — это публичный документ, который объясняет пользователям: какие данные собираются, с какой целью, на каком основании, кому передаются и как удаляются. Формально это не просто «страница с текстом» — это юридически значимое уведомление, обязательное в большинстве юрисдикций при любом сборе персональных данных, даже если это только IP-адрес или cookie.
Три категории последствий отсутствия Privacy Policy — штрафы, блокировки и коммерческие отказы — работают независимо друг от друга. Получить все три одновременно несложно.
App Store / Google Play. Без ссылки на Privacy Policy приложение не пройдёт ревью. Apple отклоняет приложения, собирающие данные без валидной PP.
Рекламные сети. Google Ads, Meta Ads, TikTok Ads требуют наличия PP для запуска рекламы с ретаргетингом или трекингом конверсий.
Эквайринг и банки. При KYB-проверке для подключения Stripe, Adyen, «Тинькофф Бизнес» compliance-офицер проверяет наличие PP и соответствие заявленных целей сбора данных фактической практике.
B2B партнёры. Корпоративные клиенты в EU включают проверку PP в vendor due diligence. SaaS без валидной PP теряет enterprise-сделки.
Полная юридическая упаковка IT-продукта включает Privacy Policy как обязательный элемент — наравне с пользовательским соглашением и cookie-политикой. Это не параллельные документы: они должны быть согласованы между собой по целям и основаниям обработки данных.
2Чем Privacy Policy отличается от политики обработки ПДн
Это разные документы с разными адресатами и разными правовыми функциями. Путаница возникает, потому что в обиходе оба называют «политикой конфиденциальности». В российском праве по 152-ФЗ оба документа обязательны, но выполняют разные задачи.
| Параметр | Privacy Policy | Политика обработки ПДн (ЛНА) |
|---|---|---|
| Адресат | Пользователи сайта / субъекты данных | Сотрудники, внутренние процессы |
| Тип документа | Публичный, размещается на сайте | Внутренний локальный нормативный акт |
| Правовое основание | Ст. 18.1 152-ФЗ, GDPR Art.13–14, CCPA | Ст. 18.1 152-ФЗ (п.2) |
| Что описывает | Что собирается, зачем, кому передаётся, права пользователя | Внутренние процедуры: ответственные, сроки, инструктажи, ИСПДн |
| Обязательна ли публикация | Да — на сайте в открытом доступе | Нет — хранится внутри компании |
| Проверяет ли РКН | Да — в рамках проверки сайта | Да — при выездной проверке |
| Языки | Язык(и) аудитории + требования юрисдикций | Русский (для РФ-оператора) |
Практическая проблема: компании часто публикуют внутреннее ЛНА как Privacy Policy — оно содержит лишние процедурные разделы и не содержит нужной пользователю информации о его правах. Оба документа нужны отдельно. Разработка только Privacy Policy не закрывает требование 152-ФЗ об утверждении политики оператора, и наоборот.
3Обязательные разделы по GDPR Art. 13–14
GDPR различает две ситуации: Art. 13 — данные собираются напрямую от субъекта (регистрация, форма); Art. 14 — данные получены из третьих источников (купленная база, публичный профиль). В обоих случаях список обязательных disclosure-элементов почти совпадает, но при Art. 14 необходимо дополнительно указать источник данных. Полная структура GDPR-совместимой Privacy Policy включает восемь обязательных блоков.
Полное юридическое наименование, юридический адрес, контактный email для запросов о ПДн. Если есть представитель в EU по ст. 27 — его данные тоже обязательны.
Data Protection Officer обязателен: для публичных органов; при масштабной систематической слежке; при масштабной обработке спецкатегорий (здоровье, биометрия). Если DPO есть — его email обязателен в PP.
Каждая цель — с конкретным lawful basis. «Улучшение сервиса» без правового основания — нарушение. Нельзя указать одно основание для всех целей скопом.
Категории получателей (не обязательно имена, но конкретные категории). При трансграничной передаче — механизм: adequacy decision, SCC, BCR, иные гарантии по ст. 46.
Конкретные сроки или критерии их определения для каждой категории данных. «Пока это необходимо» — недостаточно. Нужны либо цифры (3 года), либо событие (до закрытия аккаунта + 30 дней).
Доступ (ст. 15), исправление (16), удаление (17), ограничение (18), переносимость (20), возражение (21), права при автоматизированных решениях (22). Плюс право на отзыв согласия и жалобу в DPA.
Если используется — обязательно раскрыть: факт профилирования, логику, последствия для субъекта. Это требование ст. 22 GDPR регуляторы стали проверять с 2023 года.
При получении данных от третьих лиц: источник (категория) + факт публичности/непубличности источника. Уведомить субъекта нужно в течение 30 дней с момента получения данных.
Свободное, конкретное, информированное. Субъект вправе отозвать в любой момент. Нельзя применять для данных, необходимых для договора.
Обработка нужна для исполнения договора с субъектом. Только те данные, которые реально необходимы — «связанные» данные нельзя включать.
Обработка требуется законом ЕС или государства-члена. Ссылка на конкретную норму обязательна.
Редкий случай — защита жизни субъекта или третьего лица. На практике применяется в медицинских и экстренных сценариях.
Только для органов власти или выполнения официальных функций, делегированных государством. Для коммерческих сервисов — крайне редко.
Наиболее гибкое основание для бизнеса. Требует LIA (Legitimate Interests Assessment). Субъект вправе возразить (opt-out). Нельзя для детей.
Практика DPA: немецкий BfDI и ирландский DPC в 2023–2024 годах оштрафовали несколько платформ именно за некорректное указание lawful basis — компании ссылались на «согласие» при фактически обязательной регистрации (что согласием не является по GDPR Recital 43).
4Обязательные разделы по 152-ФЗ
Федеральный закон «О персональных данных» требует, чтобы оператор — любая компания или ИП, обрабатывающая данные граждан РФ — публиковал на сайте политику в отношении обработки ПДн (ст. 18.1, п. 2). Для российского рынка структура PP определяется Приказом Роскомнадзора и сложившейся правоприменительной практикой.
- 1Оператор персональных данных. Полное наименование, ИНН/ОГРН, юридический адрес, электронная почта и телефон. РКН проверяет совпадение с ЕГРЮЛ.
- 2Цели обработки персональных данных. Конкретные цели для каждой категории данных. «Оказание услуг» без расшифровки не принимается при проверке.
- 3Правовые основания обработки. Согласие субъекта (ст. 9), исполнение договора (ст. 6 п.5), осуществление прав оператора (ст. 6 п.7), иные основания — со ссылкой на статью закона.
- 4Перечень обрабатываемых данных. По категориям: ФИО, email, телефон, платёжные данные, cookie и технические данные. Спецкатегории (здоровье, биометрия) — отдельный блок с отдельным правовым основанием.
- 5Права субъекта персональных данных. Право на доступ (ст. 14), исправление (ст. 21), удаление (ст. 21), отзыв согласия (ст. 9 п. 2), обращение в РКН (ст. 17).
- 6Локализация данных (ст. 18.1 п. 5). С 2015 года первичный сбор ПДн граждан РФ должен осуществляться на серверах в России. Если используется зарубежный хостинг — обязательно указать механизм локализации.
- 7Трансграничная передача. При передаче в страны вне ЕАЭС — перечень стран и правовые основания. Передача в страны, не обеспечивающие «адекватную защиту», требует согласия субъекта или оснований по ст. 12.
- 8Сроки обработки и удаления. Срок хранения или событие, после которого данные уничтожаются. Удаление — в срок не позднее 30 дней с момента достижения цели или отзыва согласия.
- 9Уведомление РКН. Большинство операторов обязаны уведомить РКН до начала обработки (ст. 22). С 2022 года уведомление подаётся через Госуслуги. Номер уведомления рекомендуется указать в PP.
С сентября 2024 года обязательна публикация политики в машиночитаемом формате (JSON-LD или специальная разметка — требования РКН уточняются). Штрафы по статье 13.11 КоАП существенно выросли: за повторное нарушение — до 1,5 млн ₽, за утечку ПДн — оборотный штраф до 3% выручки.
5Обязательные разделы по CCPA / CPRA
California Consumer Privacy Act (CCPA) с поправками CPRA 2023 года применяется к бизнесам, которые: (а) имеют годовую выручку от $25M, или (б) обрабатывают ПДн более 100 000 калифорнийцев в год, или (в) продают ПДн и получают от этого более 50% выручки. Для большинства IT-стартапов с глобальной аудиторией критерий (б) достигается быстро. Детальная структура CCPA-совместимой PP включает шесть обязательных блоков.
Исчерпывающий список за последние 12 месяцев: identifiers, commercial info, internet activity, geolocation, inferences. Для каждой категории — цель сбора и категория получателей.
«Продажа» по CCPA — широкое понятие, включает передачу третьим лицам за «valuable consideration», в т.ч. рекламные cookie. Ссылка «Do Not Sell or Share My Personal Information» обязательна на главной или в PP.
Знать (right to know), удалить (delete), исправить (correct, с CPRA), переносимость (portability), opt-out из продажи/шеринга, не подвергаться дискриминации за реализацию прав.
CPRA выделила SPI: SSN, финансовые данные, геолокация точная, биометрия, здоровье, сексуальная ориентация. Для SPI — отдельный Limit Use раздел и право субъекта на ограничение обработки.
С CPRA (2023) обязательно указывать retention periods или критерии их определения для каждой категории PI и SPI. Это сближает CCPA с GDPR в части прозрачности.
CCPA требует ежегодного обновления PP и публикации данных: сколько запросов получено, сколько удовлетворено, медианное время ответа. Для covered businesses — обязательная отчётность.
California AG официально признал GPC-сигнал браузера как валидный opt-out из продажи/шеринга данных. Если ваш сайт использует tracking pixels или ad networks — вы обязаны технически принимать GPC-сигнал и отражать это в PP. Игнорирование GPC при наличии калифорнийской аудитории — нарушение CCPA с 2022 года.
6Мультиюрисдикционная Privacy Policy
Если продукт работает одновременно в России, EU и США — сразу встаёт вопрос: один документ или несколько? Оба подхода легитимны, выбор зависит от размера аудитории, ресурсов на юридическое сопровождение и UI-сложности.
- Один URL, один changelog, одна версия
- Проще поддерживать при обновлениях
- Понятная навигация для пользователя
- Подходит для стартапов с ограниченным юр. ресурсом
- Документ становится длинным и сложным
- Некоторые требования противоречивы между юрисдикциями
- Сложнее доказать GDPR-соответствие «CCPA-части»
- Каждый документ точно соответствует требованиям юрисдикции
- Проще аудит регулятором каждого рынка
- Можно показывать пользователю нужный документ по геолокации
- Кратное увеличение стоимости разработки и поддержки
- Риск несогласованности при обновлениях
- Нужна гео-логика для показа нужного документа
- Несколько changelog-процессов
Для большинства IT-продуктов оптимальна слоистая структура: основной документ с универсальными положениями + отдельные секции «Для пользователей из ЕС» (GDPR addendum), «Для жителей Калифорнии» (CCPA addendum), «Для пользователей из России» (152-ФЗ addendum). Каждая секция имеет собственный anchor-URL. Это позволяет ссылаться на конкретный раздел при ответе на запрос DPA, не раскрывая нерелевантную часть.
Важно: при мультиюрисдикционной структуре нельзя допускать противоречий. Например, GDPR запрещает «продажу» данных без конкретного lawful basis, а CCPA строит вокруг «продажи» целый раздел прав. Разрешение этого конфликта — в терминологии: GDPR-секция говорит о «sharing», CCPA-секция — о «sell/share» в значении CCPA, с оговоркой, что это не «продажа» в коммерческом смысле.
7Специфика по типу продукта
Универсальная Privacy Policy покрывает базовые требования, но для ряда типов продуктов регуляторы и правоприменение требуют специфических disclosure-блоков. Их отсутствие — не «мелкое нарушение», а основание для штрафа или блокировки в App Store.
- Sub-processors list. GDPR Art. 28 требует раскрытия субпроцессоров. Минимум — список с указанием страны и назначения (AWS eu-west-1, Stripe, Intercom). Обновлять при каждом изменении.
- DPA (Data Processing Agreement). При B2B SaaS клиент является контроллером, вы — процессором. Ссылка на актуальный DPA из PP обязательна для GDPR-compliant продаж в EU.
- Data residency. Укажите регион хранения данных (EU, US, multi-region). Это критично для enterprise-клиентов и государственного сектора EU.
- Security disclosure. SOC 2, ISO 27001, encryption at rest/in transit — их наличие снижает риски при проверке DPA и enterprise sales.
- Wallet addresses = персональные данные. EDPB и большинство EU DPA квалифицируют публичные адреса кошельков как ПДн при наличии возможности идентификации. Это нужно явно отразить в PP. Подробнее — в нашем разделе про крипто-юрисдикции.
- On-chain data disclosure. Данные, записанные в блокчейн, неудаляемы. Это конфликтует с GDPR Art. 17 (right to erasure). Способы разрешения: pseudonymisation, off-chain PII.
- Transaction history. KYC/AML данные хранятся по требованию FATF и local AML laws — укажите этот срок хранения отдельно от общего retention.
- Профилирование и скоринг. Если используется on-chain analytics для fraud detection — это профилирование по GDPR Art. 22, требует disclosure и права opt-out.
- COPPA (США). При аудитории до 13 лет — верифицированное согласие родителей, отдельный раздел PP, ограниченный сбор данных. COPPA violation — FTC enforcement с миллионными штрафами.
- GDPR Art. 8. Обработка данных детей до 16 лет (в ряде стран до 13) требует согласия родителей. Механизм верификации — обязательный disclosure-элемент.
- FERPA (США). При работе с образовательными учреждениями — права на образовательные записи, ограничения передачи третьим лицам.
- Ограниченная реклама. Google, Meta запрещают таргетированную рекламу для детской аудитории. PP должна отражать отсутствие такой рекламы.
- Training data disclosure. EU AI Act (2024) и ряд DPA требуют раскрытия: используются ли данные пользователей для обучения моделей. Если да — правовое основание (согласие или LI) и право opt-out обязательны. Подробнее в разделе AI-платформы.
- Automated decision-making. GDPR Art. 22: если AI принимает решения с «существенными последствиями» (отказ в кредите, блокировка аккаунта) — disclosure логики, права оспорить, право на «человека».
- Profiling disclosure. Детальное раскрытие: какие инференции строятся, на основании каких данных, как долго хранятся векторные представления пользователя.
- Third-party model APIs. Если данные отправляются в OpenAI, Anthropic, Google Gemini — они являются субпроцессорами. Укажите их в списке sub-processors и их PP/DPA.
8Типичные ошибки
90% Privacy Policy, которые приходят на аудит, содержат одни и те же структурные ошибки. Некоторые из них — источник прямого регуляторного риска, другие делают документ нерабочим в суде или при запросе DPA.
Termly, iubenda, PrivacyPolicies.com генерируют документы для «среднего бизнеса», не учитывая специфику продукта. Отсутствуют реальные lawful bases, sub-processors, retention periods. При запросе DPA такой документ не выдерживает проверки.
PP без даты редакции и истории изменений — проблема в суде: пользователь ссылается на версию, которая была актуальна при регистрации. Без changelog невозможно доказать, когда именно были изменены условия.
SaaS использует Stripe, SendGrid, Mixpanel — но нет ссылок на DPA с ними в PP. По GDPR Art. 28 оператор несёт ответственность за субпроцессоров. Без подписанных DPA и их disclosure — нарушение.
PP упоминает cookie в одном предложении, отдельной cookie-политики нет, баннер не реализован. По ePrivacy Directive и GDPR — всё это отдельные нарушения. Cookie consent должен предшествовать сбору, не следовать за ним.
PP заявляет «мы не передаём данные третьим лицам», а на сайте стоит Facebook Pixel. DPA при расследовании сравнивает декларации PP с HTTP-трафиком. Противоречие — отягчающее обстоятельство при штрафе.
GDPR требует конкретных категорий получателей. «Могут быть переданы третьим лицам» — недостаточно. Нужно: «Аналитические сервисы (Google Analytics), платёжные процессоры (Stripe, Inc., США), CRM (HubSpot, США)».
9Чек-лист: 12 пунктов для проверки Privacy Policy
Используйте этот чек-лист для быстрой проверки существующей Privacy Policy перед запуском продукта, аудитом или подключением нового рынка.
- 1Оператор/контроллер идентифицирован — полное юридическое наименование, адрес, email. Соответствует данным в ЕГРЮЛ (для РФ) или торговом реестре (для EU).
- 2Каждой цели обработки — отдельное правовое основание. Нет «catch-all» формулировок. Для GDPR — конкретная ссылка на ст. 6(1)(a–f). Для 152-ФЗ — на статью закона.
- 3Перечень категорий данных конкретен. Не «личная информация», а: ФИО, email, IP, cookie, платёжные данные, история транзакций. По каждой категории — цель и основание.
- 4Субпроцессоры перечислены (для SaaS и B2B). Для каждого: название, страна, назначение, ссылка на их PP/DPA. Список актуализируется при подключении нового вендора.
- 5Трансграничные передачи раскрыты. Для EU → non-adequacy: механизм (SCC, BCR). Для РФ → зарубеж: правовое основание. Страны перечислены.
- 6Retention periods указаны для каждой категории данных. Не «пока необходимо», а конкретный срок или событие. Минимально необходимый срок — обязательно.
- 7Права субъекта описаны с механизмом реализации. Не просто «вы имеете право», а как подать запрос: email, форма, срок ответа (GDPR — 30 дней, 152-ФЗ — 10 рабочих дней).
- 8Cookie-политика выделена или есть отдельный документ. Категории cookie (strictly necessary, functional, analytics, advertising), способ согласия, ссылка на cookie banner.
- 9Дата редакции и changelog присутствуют. Дата последнего обновления — в шапке документа. История изменений — на отдельной странице или в архиве.
- 10Для детской аудитории — COPPA / GDPR Art.8 блок. Если продукт допускает регистрацию лиц до 16 лет — обязательны механизм верификации возраста и описание родительского согласия.
- 11Для калифорнийцев — CCPA/CPRA секция. Do Not Sell/Share, список категорий PI за 12 месяцев, права резидентов CA, механизм запроса, GPC-совместимость.
- 12PP согласована с фактической практикой. Проведён технический аудит: все трекеры на сайте соответствуют заявленному в PP. Расхождения исправлены до публикации.
?Частые вопросы
Обязательна ли Privacy Policy для лендинга без регистрации?
Можно ли использовать Privacy Policy с другого сайта, изменив название компании?
Нужна ли отдельная Privacy Policy для мобильного приложения?
Как часто нужно обновлять Privacy Policy?
Нужен ли DPO и когда?
Что такое «adequacy decision» и зачем это указывать в PP?
GDPR, 152-ФЗ и CCPA требуют разных disclosure-блоков. Один шаблон из генератора не покрывает ни одну из них в полной мере.
SaaS, крипто, EdTech и AI требуют специфических разделов. Их отсутствие — основание для отказа App Store или штрафа регулятора.
Privacy Policy требует версионности, changelog и синхронизации с фактической практикой. Это процесс, а не одноразовая задача.