Российский закон «О персональных данных» (152-ФЗ) обязывает размещать политику конфиденциальности на сайте, если вы собираете и обрабатываете персональные данные пользователей. К ПД относятся: данные из форм обратной связи и подписок, заказов в интернет-магазине, cookies, аналитические счётчики (Яндекс.Метрика, Google Analytics) и любые другие следы пользователя на сайте.

Даже если у вас сайт-визитка или личный блог — но стоит хотя бы один из этих инструментов — политика обязательна. По ст.18.1 152-ФЗ оператор обязан публиковать документ, описывающий его подход к обработке ПД. Отдельно по ст.10.1 152-ФЗ — публикация политики на сайте является обязательной формой выполнения этого требования.

Что закон считает сбором ПД

Это самый важный вопрос. Под сбор подпадает любой технический способ получения данных пользователя — даже если вы их не запрашивали явно:

  • Формы — обратной связи, подписки на новости, регистрации, заказа обратного звонка, заявки на услугу
  • Корзина и оплата в интернет-магазине
  • Чат-виджеты — JivoSite, Talk-Me, Carrot Quest, Bitrix24-чат и подобные
  • Комментарии с авторизацией (через Disqus, ВКонтакте, Facebook, Telegram-комментарии)
  • Cookies — любые, кроме строго необходимых для работы сайта (даже сессионные считают спорным)
  • Аналитика — Яндекс.Метрика, Google Analytics, Top.Mail.Ru, Hotjar, любой счётчик посещений
  • Пиксели — VK, ВКонтакте, MyTarget, Яндекс.Аудитории, Meta Pixel и любые рекламные
  • Вебвизор / heatmap — Яндекс.Метрика-Webvisor, Hotjar записи сессий
  • Логи сервера с IP-адресами посетителей (РКН считает IP персональными данными в большинстве кейсов)

Единственный случай, когда политика не нужна

Если ваш сайт полностью статичен и на нём нет ни одного средства сбора данных:

  • Нет форм (вообще никаких — даже формы поиска по сайту с логированием)
  • Нет комментариев
  • Нет аналитики (ни одного счётчика — даже встроенного в хостинг-панель)
  • Нет cookies (включая cookie от шрифтов Google Fonts, виджетов соцсетей, любых внешних JS)
  • Нет внешних JS — никаких сторонних скриптов, виджетов, плагинов
  • Нет онлайн-чатов, обратных звонков
  • Не ведутся логи сервера (или логи без IP)

В этом случае вы можете указать на сайте, что не собираете персональные данные, и политика конфиденциальности не требуется.

Скрытые источники сбора ПД, о которых забывают

На практике «полностью статичный» сайт встречается крайне редко, потому что часто данные собираются незаметно для владельца:

  • Google Fonts через CDN — каждое подключение шрифта передаёт IP пользователя в Google (юрисдикция США). Решение: качайте шрифты к себе на сервер.
  • Bootstrap / jQuery / любые библиотеки с CDN — то же самое (jsDelivr, unpkg, cdnjs).
  • YouTube-видео в iframe — Google ставит cookies при загрузке плеера. Используйте «privacy-enhanced mode» (youtube-nocookie.com) или вообще не вставляйте.
  • Кнопки соцсетей — даже статичные ссылки «Поделиться в VK/Telegram/Twitter» через iframe собирают данные пользователя.
  • reCAPTCHA от Google — для защиты форм. Передаёт IP и поведение в Google. В РФ предпочтительнее Yandex SmartCaptcha.
  • Карты Яндекса/Google — iframe карты собирает данные пользователя. У Яндекс.Карт юрисдикция РФ, у Google — вне.
  • Хостинг-панель с собственной аналитикой — некоторые хостинги (Beget, Timeweb) встраивают свой счётчик в страницу.
  • Логи nginx/apache — почти всегда содержат IP-адреса посетителей. По РКН-практике это сбор ПД.

Как проверить себя

  1. Откройте сайт в браузере, нажмите F12 → вкладка «Network»
  2. Перезагрузите страницу с очищенным кэшем (Ctrl+Shift+R)
  3. Посмотрите все домены, к которым обратился сайт. Если в списке есть что-то кроме вашего домена — это «сторонние сервисы», и их обработка ПД должна быть в политике
  4. Проверьте установленные cookies (вкладка «Application» → «Storage» → «Cookies»). Если есть хоть одна — нужна политика
  5. Если нашли что-то — либо удаляете эти инструменты с сайта, либо пишете политику и подаёте уведомление в РКН

Что писать на статичном сайте без сбора ПД

Можно разместить короткую страницу-уведомление вместо политики:

Информация о сборе персональных данных

Настоящий сайт является информационным ресурсом
и не собирает персональные данные пользователей.

На сайте не используются:
— формы обратной связи и регистрации
— системы аналитики и счётчики посещений
— cookies (за исключением строго технических, необходимых
  для отображения страниц)
— виджеты сторонних сервисов

При работе сайта могут использоваться технические логи
веб-сервера, не содержащие персональные данные пользователей.

При появлении на сайте функций сбора данных будет
опубликована политика конфиденциальности и направлено
уведомление в Роскомнадзор.

Дата актуальности: ___

Кому реально подходит этот вариант

В современном вебе — почти никому. Реальные кандидаты:

  • Корпоративный лендинг-визитка с одним телефоном (без формы обратной связи!) и без аналитики
  • Личный блог-портфолио без комментариев и без счётчиков
  • Документация / wiki без авторизации и логирования
  • Статичная страница «hello world» / временный сайт-заглушка

Любой коммерческий сайт, который хочет считать конверсии и обрабатывать заявки, — обязан иметь политику конфиденциальности и подать уведомление в реестр операторов ПД.

Что грозит за отсутствие политики

По ст.10.1 + ст.18.1 152-ФЗ — административный штраф по КоАП ст.13.11 ч.10:

  • До 60 000 ₽ за неопубликование политики
  • До 300 000 ₽ за отсутствие уведомления в РКН (если фактически собираете ПД, а уведомления нет)
  • До 700 000 ₽ за сбор ПД без согласия (если на сайте есть формы без чек-боксов)

Совокупно — до 1 060 000 ₽ за «сайт без политики, форма без галочки, в реестре нет». Это типовой набор претензий РКН при первой проверке малого бизнеса.