+7 347 211-91-05
mail@expresslab.ru

Какие документы должны быть на сайте: базовый минимум

11.12.2025

Другие публикации

В 2025 году любой сайт, который собирает персональные данные пользователей, обязан соответствовать требованиям Федерального закона №152-ФЗ. Это не только формальность: нарушения ведут к штрафам и блокировкам.

Минимум, который должен быть на сайте КАЖДОГО оператора персональных данных:

  • Политика обработки персональных данных (Политика конфиденциальности)
  • Согласие на обработку персональных данных (как отдельный документ)

А если сайт продаёт товары или услуги онлайн, то дополнительно:

  • Публичная оферта (договор)

Это три базы. Политика и согласие обязательны всегда.
Оферта — если есть дистанционная продажа и/или онлайн-оплата.


1. Политика обработки персональных данных (обязательно для всех сайтов)

Политика — публичный документ, рассказывающий пользователю:

  • какие данные собираете;
  • зачем эти данные нужны;
  • как и где они хранятся;
  • кому могут передаваться;
  • какие меры защиты применяются;
  • как можно отозвать согласие или запросить данные.

В политике обязательно указывают:

Цели обработки данных

Только конкретные цели: оформление заказа, регистрация, отправка уведомлений, аналитика, обратная связь, исполнение закона и др.

Перечень обрабатываемых данных

Например: ФИО, email, телефон, адрес доставки, IP-адрес, cookie, данные о поведении на сайте.

Правовые основания и перечень операций

Указывается: согласие, договор или иное основание.
Описывается полный цикл обработки: сбор, запись, систематизация, хранение, передача, обезличивание, удаление.

Сроки хранения данных

Например: «до достижения цели», «5 лет», «до отзыва согласия».

Меры защиты

Шифрование, ограничение доступа, защищённые серверы, резервирование.

Локализация данных

Данные граждан РФ должны храниться на серверах в России.


2. Согласие на обработку персональных данных

Согласие — отдельный документ, содержащий юридически обязательные элементы, предусмотренные законом.

В согласии указывают:

Кто является оператором

Название компании или ИП, адрес, контакты.

Чья информация обрабатывается

Способ идентификации субъекта (например, данные, указанные в форме).

Конкретная цель обработки

Например:

  • для регистрации на сайте,
  • для оформления заказа,
  • для ответа на обращение,
  • для подписки на email-рассылку (отдельное согласие).

Никаких общих фраз типа «для улучшения качества услуг».

Перечень данных, на обработку которых даётся согласие

Например: фамилия, имя, отчество, email, телефон.

Способы обработки

Автоматизированная и/или неавтоматизированная обработка, включая любые операции с данными.

Срок действия согласия

Например: «до достижения цели» или «до отзыва».

Способ отзыва согласия

Например: запрос на определённый email или письменное заявление.


3. Публичная оферта (если есть продажи или услуги)

Оферта — договор, который пользователь принимает действием (акцептом).

Она обязательна, если:

  • есть онлайн-оплата,
  • пользователь может оформить конкретный заказ дистанционно, даже при оплате позже,
  • на сайте есть корзина, каталог или иная форма дистанционной продажи,
  • оказываются платные услуги.

В оферту включают:

  • предмет договора (что продаёте/оказываете),
  • цену и способы оплаты,
  • условия доставки или выполнения услуг,
  • порядок возврата и рекламаций,
  • права и обязанности сторон,
  • ответственность,
  • порядок акцепта,
  • реквизиты компании.

Важно: в оферту нельзя включать согласие на обработку персональных данных — это запрещено с 2025 года.


4. Требования к формам на сайте (чекбоксы, механизм согласия)

Этот блок относится к интерфейсу — механизму подтверждения согласия.

Отдельный чекбокс согласия на обработку ПДн

  • галочка не стоит по умолчанию,
  • пользователь ставит её сам,
  • без галочки форма не отправляется,
  • рядом размещаются ссылки на Политику и Согласие.

Отдельный чекбокс для рекламных рассылок

Для отправки рекламы требуется отдельное согласие.

Согласие не должно быть спрятано

Фразы вроде «отправляя форму, вы автоматически соглашаетесь…» недействительны.

Нельзя объединять согласие с офертой

  • принятие оферты — одно действие,
  • согласие на ПДн — другое действие.

Фиксация согласия

Необходимо сохранять дату, время, IP и идентификатор пользователя или формы.


5. Cookie-баннер (требование для всех сайтов)

При первом визите на сайт пользователь должен увидеть баннер, который:

  • информирует об использовании cookie,
  • предлагает выбор: «Принять» / «Отказаться» ,
  • не загружает необязательные cookie до согласия.

Технически необходимые cookie могут применяться сразу, но они также должны быть описаны в политике.


6. Что в итоге должно быть сделано

Обязательно для всех сайтов:

  • Политика конфиденциальности
  • Согласие на обработку ПДн
  • Реализованные формы с явным согласием
  • Cookie-баннер
  • Локализация данных в РФ
  • Уведомление Роскомнадзора

Для сайтов, где есть онлайн-оплата или заказ конкретных товаров и услуг и для сайтов, которые собирают данные для рекламных рассылок:

  • Публичная оферта
  • Отдельное согласие на рекламные рассылки

Чтобы избежать рисков, свяжитесь с нами, чтобы провести совместную сверку всех документов и функционала на вашем сайте на соответствие актуальным требованиям законодательства.
Другие публикации

Вернуться в блог

На сайте используются куки сетевых служб Яндекс. Продолжая просмотр сайта Вы выражаете своё согласие с Политикой безопасности хранения и обработки персональных данных, разработанной в соответствии с требованиями 152-ФЗ РФ.


Соглашаюсь