Какие документы должны быть на сайте: разбираем 4 главных
«Какие документы нужны сайту?» Вопрос звучит просто, но за ним почти всегда прячется путаница. Политику конфиденциальности называют пользовательским соглашением, оферту считают обязательной для любого сайта, а про согласие на обработку данных думают, что оно «и так в политике». В итоге одни документы есть, но не работают, других нет вовсе, а владелец уверен, что у него всё в порядке. Цена этой уверенности: претензия Роскомнадзора или проигранный спор с покупателем, который выясняется уже постфактум.
Разберём четыре документа, которые чаще всего путают: политику обработки персональных данных, согласие на их обработку, пользовательское соглашение и публичную оферту. По каждому ответим на три вопроса: что это такое, кому он реально обязателен и что грозит за отсутствие. В конце сведём всё в таблицу, по которой вы за пару минут поймёте, что нужно именно вашему сайту.
Политика обработки персональных данных: обязательна почти всем
Это тот самый документ, который ставят в подвал сайта и ссылаются на него из форм. И именно он обязателен шире всего.
Как только сайт собирает любые персональные данные (имя в форме заявки, email для рассылки, телефон при заказе), его владелец становится оператором персональных данных. А для оператора, который собирает данные через интернет, действует прямое требование: опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить к нему неограниченный доступ. Это норма части 2 статьи 18.1 закона 152-ФЗ.
Обратите внимание: статус оператора не зависит от размера бизнеса и юридической формы. Самозанятый с лендингом и форма обратной связи на сайте-визитке подпадают под то же требование, что и крупный интернет-магазин. «Мы маленькие, нас это не касается» здесь не работает: касается ровно с того момента, как на сайте появилась первая форма.
«Неограниченный доступ» означает, что ссылка на политику видна с любой страницы, где собираются данные, и открывается без регистрации и оплаты. Документ, спрятанный в личном кабинете, требование не закрывает.
Важно: политика есть документ оператора, а не договор с посетителем. От человека не требуется никаких действий, чтобы политика начала работать; она просто описывает, кто, зачем и как обрабатывает данные. Не путайте её с пользовательским соглашением, у них разные функции, к этому ещё вернёмся.
Кому обязательна. Практически любому сайту с формами, рассылкой, обратной связью, корзиной или авторизацией, то есть почти всем коммерческим сайтам. Исключение составляет статичная визитка совсем без форм и сбора данных, но такие сегодня редкость: даже счётчик аналитики или чат уже собирают данные посетителя.
Что грозит за отсутствие. Необеспечение неограниченного доступа к документу с политикой образует состав части 3 статьи 13.11 КоАП. Штраф для юридических лиц составляет от 30 до 60 тысяч рублей, а при повторном нарушении он вырастает в разы. И это самая частая претензия Роскомнадзора: проверить наличие политики можно дистанционно, не выходя к вам с проверкой.
Что именно должно быть внутри политики, это отдельная большая тема. Мы разобрали её в статье что должно быть в политике конфиденциальности сайта: там чек-лист обязательных сведений, потому что наличие файла и выполнение требования не одно и то же.
Согласие на обработку данных: отдельный документ, а не галочка в политике
Здесь кроется самая дорогая путаница. Политику и согласие постоянно считают одним и тем же, хотя функции у них противоположные.
Политика есть документ оператора, один на весь сайт, для ознакомления. Согласие есть действие конкретного человека: он активно выражает волю, ставя отметку в чекбоксе под формой. Политика отвечает на вопрос «как устроена обработка у оператора», согласие отвечает на вопрос «разрешил ли этот человек обработать его данные».
Согласие должно отвечать признакам статьи 9 закона 152-ФЗ: быть конкретным, предметным, информированным, сознательным и однозначным. А с 1 сентября 2025 года появилось ещё одно жёсткое требование: согласие на обработку оформляется отдельно от иных документов и согласий. Это изменение внёс закон 156-ФЗ. Один общий чекбокс «принимаю оферту, политику и согласен на обработку» больше не годится: нужна отдельная отметка именно про обработку данных.
При этом согласие нужно не везде. Если человек оформляет заказ, обработка его контактов и адреса идёт на основании договора, и отдельная галочка «согласен на обработку» здесь юридически избыточна. Согласие требуется там, где обработка не покрыта договором или законом: подписка на рассылку, маркетинг, передача данных партнёрам в рекламных целях.
Кому обязательно. Сайтам, где есть обработка на основании согласия: формы подписки, маркетинговые рассылки, передача данных третьим лицам в рекламных целях. Если весь сбор данных идёт строго в рамках исполнения договора, отдельное согласие может и не понадобиться, но это нужно честно проверить, а не предполагать.
Что грозит за отсутствие. Обработка персональных данных без надлежащего согласия там, где оно требуется, это обработка без законного основания. Это уже не «нет документа в доступе», а нарушение по существу, и санкции по статье 13.11 КоАП тут выше, чем за непубликацию политики.
Как оформить согласие правильно, чем отличается действительная отметка от формальной и когда согласие точно не нужно, подробно разобрано в статье согласие на обработку персональных данных: как оформить.
Пользовательское соглашение: договор использования, нужен не всегда
Вот документ, который чаще всего называют не своим именем. Пользовательское соглашение не про персональные данные. Это договор между сайтом (сервисом) и пользователем об условиях использования: что можно и нельзя делать на сервисе, кто за что отвечает, как разрешаются споры, что с интеллектуальной собственностью.
Прямого закона, который обязывал бы каждый сайт иметь пользовательское соглашение, нет. Его необходимость диктует не отдельная норма, а сама модель сервиса. Соглашение реально нужно там, где у пользователя есть аккаунт и активные действия: личный кабинет, регистрация, загрузка контента, комментарии, онлайн-сервис с функциями. Тогда соглашение задаёт правила игры и защищает владельца: например, позволяет заблокировать нарушителя или снять с себя ответственность за пользовательский контент.
А вот простому сайту-каталогу или лендингу с одной формой заявки пользовательское соглашение обычно не требуется: пользоваться там в строгом смысле нечем, аккаунтов нет, правила игры устанавливать не для чего.
Кому обязательно. Формально никому по прямому требованию закона. Практически сервисам с регистрацией, личными кабинетами, пользовательским контентом, форумам, маркетплейсам, SaaS. Чем больше пользователь «действует» внутри сайта, тем нужнее соглашение.
Что грозит за отсутствие. Прямого штрафа за отсутствие пользовательского соглашения нет. Риск другой и сугубо практический: без чётких правил владельцу нечем обосновать блокировку нарушителя, сложнее снять с себя ответственность за действия пользователей и защититься в споре. Это не штраф от государства, а уязвимость в отношениях с самими пользователями.
Публичная оферта: для тех, кто продаёт онлайн
Оферту, наоборот, часто считают универсально обязательной: «раз есть сайт, нужна оферта». На деле она привязана к одному конкретному действию: продаже.
Оферта есть предложение заключить договор, адресованное и принимаемое (акцептуемое) тем, кто откликнется. Когда продавец публикует на сайте товар или услугу с ценой и условиями, а покупатель оформляет заказ и оплачивает, между ними заключается договор: публичная оферта и её акцепт. Этот механизм описан в статьях 435–437 Гражданского кодекса.
Отдельный документ «Публичная оферта» нужен именно для возмездной продажи через сайт: интернет-магазин, онлайн-оплата услуг, подписки, цифровые товары. Он фиксирует условия сделки: что продаётся, по какой цене, как и в какие сроки исполняется, как вернуть товар или деньги. Без оформленной оферты сделка не исчезает, но условия становятся размытыми, а споры с покупателями труднее.
К продажам добавляется ещё один пласт требований, это права потребителя. Если вы продаёте товары или услуги физлицам, закон «О защите прав потребителей» обязывает довести до покупателя необходимую и достоверную информацию: о продавце, о товаре, о цене, о порядке оплаты и возврата. Это статья 10 закона о защите прав потребителей. На практике часть этой информации и закрывает оферта вместе с разделом контактов и реквизитов.
Кому обязательна. Сайтам, которые продают онлайн: интернет-магазинам, сервисам с онлайн-оплатой, подписочным продуктам. Если сайт ничего не продаёт напрямую (визитка, блог, лендинг для сбора заявок без оплаты на сайте), отдельная оферта не нужна.
Что грозит за отсутствие. Само по себе отсутствие документа «оферта» напрямую государством не штрафуется. Но если при продаже потребителю не доведена обязательная информация о товаре и продавце, это уже нарушение прав потребителя со своими последствиями, от претензий и возвратов до санкций по линии Роспотребнадзора. Плюс сугубо коммерческий риск: без зафиксированных условий сделки спор о возврате или качестве почти всегда складывается не в пользу продавца.
Сводная таблица: что кому обязательно
| Документ | Кому обязателен | Основание |
|---|---|---|
| Политика обработки персональных данных | Почти любому сайту, собирающему ПДн (формы, рассылка, авторизация, аналитика) | Часть 2 статьи 18.1 закона 152-ФЗ; ответственность по части 3 статьи 13.11 КоАП |
| Согласие на обработку ПДн | Сайтам с обработкой на основании согласия (рассылка, маркетинг, передача партнёрам); отдельным документом с 01.09.2025 | Статья 9 закона 152-ФЗ; редакция части 1 по 156-ФЗ |
| Пользовательское соглашение | Сервисам с аккаунтами, личным кабинетом, пользовательским контентом; прямой обязанности по закону нет | Свобода договора, статья 421 ГК; необходимость диктует модель сервиса |
| Публичная оферта | Сайтам, продающим товары и услуги онлайн | Статьи 435–437 ГК; для продаж потребителям также статья 10 закона о защите прав потребителей |
Главный вывод из таблицы: обязательность документа определяется не наличием сайта, а тем, что сайт делает. Собираете данные, нужна политика. Обрабатываете по согласию, нужно согласие. Даёте пользователю аккаунт, нужно соглашение. Продаёте, нужна оферта. Сайт может одновременно делать всё четыре, тогда нужны все четыре документа.
Как проверить, чего не хватает именно вашему сайту
Порядок простой и его стоит пройти по шагам.
- Посмотрите, что сайт собирает. Есть ли формы, рассылка, авторизация, корзина, онлайн-оплата. Каждый из этих элементов подтягивает свой документ.
- Сверьте с подвалом и формами. Есть ли ссылка на политику с каждой страницы со сбором данных. Есть ли отдельный чекбокс согласия там, где обработка идёт по согласию. Есть ли оферта, если на сайте можно оплатить.
- Проверьте, что документы описывают именно ваш сайт. Скачанный шаблон почти всегда описывает абстрактный сайт: молчит про аналитику, которая стоит на каждой странице, или обещает то, чего на сайте нет.
Третий шаг самый коварный, потому что глазами его не пройти: нужно сопоставить текст документов с тем, что сайт реально собирает и куда отправляет. Типичные расхождения: политика не упоминает счётчик аналитики, который стоит на каждой странице; чат или виджет авторизации собирает данные посетителя, но в документах о нём ни слова; оферта обещает условия возврата, которых нет в реальном процессе. По отдельности каждое из них выглядит мелочью, вместе они и есть та разница между «документ лежит на сайте» и «требование выполнено».
Сверить это можно автоматически. Наш сервис проверяет политику конфиденциальности и обработку персональных данных на сайте: находит формы, чекбоксы согласия и внешние сервисы, сопоставляет их с текстом документов и показывает, каких обязательных сведений не хватает. Это не заменит юриста там, где нужна индивидуальная работа, но точно покажет, с чего начинать.
Коротко
Обязательность документа определяет не сам факт наличия сайта, а его функции. Политика обработки персональных данных обязательна почти всем, кто собирает данные, и за её отсутствие в доступе штрафуют по части 3 статьи 13.11 КоАП. Согласие на обработку есть отдельный документ для случаев, где обработка строится на согласии, причём с 1 сентября 2025 года его нельзя смешивать с другими согласиями. Пользовательское соглашение нужно сервисам с аккаунтами и пользовательскими действиями, а публичная оферта нужна тем, кто продаёт онлайн. Самый частый провал не в отсутствии файлов, а в том, что документы не совпадают с реальным сайтом, и именно это стоит проверить в первую очередь.
Нормативная база
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1 — обязанность оператора, собирающего данные через интернет, опубликовать документ о политике обработки персональных данных и обеспечить к нему неограниченный доступ.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 9 — согласие субъекта на обработку персональных данных (конкретное, предметное, информированное, сознательное, однозначное); часть 1 статьи 9 в редакции ФЗ от 24.06.2025 № 156-ФЗ — согласие оформляется отдельно от иных документов (с 01.09.2025).
- КоАП РФ, часть 3 статьи 13.11 — необеспечение оператором неограниченного доступа к документу с политикой обработки персональных данных.
- Гражданский кодекс РФ, статьи 435–437 — оферта, публичная оферта и её акцепт (для возмездной продажи товаров и услуг через сайт).
- Закон РФ «О защите прав потребителей» от 07.02.1992 № 2300-1, статья 10 — обязанность продавца (исполнителя) довести до потребителя необходимую и достоверную информацию о товарах, работах, услугах.