В 2025 году Google получил штраф 325 млн евро, а Shein – 150 млн евро за нарушение правил использования cookie-файлов и непрозрачные механизмы получения согласия пользователей. Регуляторы установили, что компании недостаточно понятно объясняли посетителям, как именно собираются и используются их персональные данные, а отказаться от трекинга было сложнее, чем согласиться.
Эти кейсы показывают: сегодня политика конфиденциальности – это не формальный документ, а инструмент комплаенса для IT-продуктов, электронной коммерции и мобильных приложений.
В этой статье IT-юристы рассказывают как избежать штрафов, блокировки IT-продуктов и составить политику конфиденциальности на сайт по требованиям GDPR, CCPA и других актов.
Что такое политика конфиденциальности и условия использования?
Политика конфиденциальности (Privacy Policy) – это юридическое соглашение, в котором объясняется, какую личную информацию вы собираете от посетителей веб-сайта или приложения, как ее используете и защищаете.
Также на сайтах и в мобильных приложениях размещают Пользовательское соглашение, которое описывает правила взаимодействия пользователей и программного продукта.
Эти два документа помогут снизить риск претензий, выполнить требования законов и повысить доверие пользователей.

Для чего нужна политика конфиденциальности?
Выделим 4 причины разработать и опубликовать документ.
1. Выполнить требования GDPR, CCPA и локальных законов по обработке персональных данных
Разработка политики конфиденциальности – это требование закона. Если IT-продукт охватывает аудитории разных стран, то политика конфиденциальности должна выполнять требования законов таких регионов.
- В Калифорнии действует Калифорнийские закон о защите конфиденциальности в Интернете (CalOPPA) и закон о конфиденциальности потребителей (CCPA). Акты распространяются на компании, которые собирают личные данные жителей Калифорнии, а значит их действие выходит за пределы одного штата. Ваша компания может находиться в Сиэтле или Бостоне, но обрабатывать персональные данные пользователей из Калифорнии. Тогда компания из Сиэтла или Бостона должна выполнять требования CalOPPA и CCPA.
- В США – Закон о защите конфиденциальности детей в Интернете (COPPA) .
- В Канаде – Закон о защите личной информации и электронных документов (PIPEDA).
- В ЕС – Общий регламент по защите данных (GDPR).
2. Паблишить мобильные приложения в AppStore и Google Play
Паблишеры приложений для iOS должны опубликовать документ, прежде чем продукт будет отправлен на проверку в AppStore.
В Соглашении о распространении программных продуктов Google Play, с которым вы должны согласиться, говорится, что политика конфиденциальности требуется для всех приложений Android. В течение 2025 года Google заблокировал более 1,75 млн мобильных приложений, нарушавших правила Google Play, а также ограничил доступ более 255 000 приложений к чувствительным данным пользователей из-за нарушений требований и правил обработки персональных данных.
3. Подключить Google Analytics, Google Ads, собирать данные с помощью файлов Cookie, использовать инструменты ремаркетинга
Google Analytics, Google Ads, Meta Pixel и другие рекламные инструменты требуют, чтобы сайт публиковал политику конфиденциальности и сообщал посетителям, какие данные собираются с помощью Cookie-файлов, аналитики и ремаркетинга.
Если сайт использует Google Analytics или рекламные инструменты Google Ads, пользователь должен иметь возможность узнать:
- какие данные собирает ресурс;
- для каких целей используется tracking;
- передаются ли данные третьим лицам;
- как отказаться от Cookie-файлов и персонализированной рекламы.
Аналогичные требования действуют для Meta Pixel, TikTok Pixel и других маркетинговых сервисов, которые обрабатывают персональные данные посетителей сайта.
4. Подключить платежную систему для интернет-платежей
Системы эквайринга требуют, чтобы сайт или приложение уведомляли пользовотелей о передаче платежным системам персональных данных. Поэтому для подключения PayPal, Stripe, Apple Pay, Google Pay и других платежных систем придется разрабатывать политику конфиденциальности. Для оплаты в приложениях, интернет-магазинах и других IT-продуктах нужно уведомить пользователей, какую финансовую информацию вы собираете и куда уходят платежные данные.
Теперь вы знаете зачем нужна политика конфиденциальности на сайте и в мобильном приложении. Дальше расскажем как владельцам IT-продуктов составить документ.
Как создать политику конфиденциальности: чек-лист
Политика конфиденциальности должна объяснять, какие данные собирает сайт, зачем они используются, кому передаются и как пользователь может управлять своей информацией.
Какие данные вы собираете и обрабатываете?
В первую очередь дайте определение персональным данным. Например, это любая информация, которая прямо или косвенно относится к конкретному пользователю. А дальше фиксируйте отдельные категории данных в зависимости от типа продукта.
IT-юристы Stalirov&Co создали политику для InsuranceHunter, платформы поиска страховых компаний в США и ЕС. Документ составлен сразу по требованиям и CCPA, и GDPR. Вот список личной информации, которую собирает InsuranceHunter о посетителях сайта платформы:
- данные для идентификации: имя, дату рождения, возраст и любые сведения о семье;.
- биографические данные: семейное положение, пол и статус занятости;
- контактные данные: домашний или другой физический адрес, адрес электронной почты и номер телефона;
- данные о водителе: сведения об автомобильных авариях и информацию о транспортном средстве;
- финансовые данные: кредитная информация и годовой доход;
- данные о состоянии здоровья: биометрические параметры (рост, вес) и сведения о состоянии здоровья.
- техническая информация, такая как IP-адрес или идентификатор.
Какие цели и основания сбора и обработки данных?
Цели должны быть конкретными, законными и отчетливыми.
Для мобильной игры Island 211 IT-юристы прописали такие цели:
- регистрация в игре;
- демонстрация рекламного контента;
- проведение взаиморасчетов между игроками;
- выведение денежных средств;
- оказание клиентской поддержки и другие цели.
Запрещается использовать данные для целей, не указанных в политике. Компания Twitter нарушила это правил и ей придется выплатить 150 млн долларов по решению Федеральной торговой комиссии США. Все потому, что Twitter получили номера телефонов пользователей под предлогом использования в целях безопасности, но использовал их для таргетированной рекламы.
Кому можно передавать собранные данные?
IT-продукт может делиться информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями, а также с партнерами, судами, правоохранительными и государственными органам. Главное требование – раскрытие информации третьим лицам в объеме, необходимом для выполнения запроса, но не более. Такие лица должны соблюдать правила политики конфиденциальности при взаимодействии с данными пользователей. В политике нужно указать, кому передаются данные и для каких целей.
Наша команда писала политику для рекламной сети ConvertADV. В документе указано, что информация может передаваться платежным сервисам для выставления счетов и предотвращения мошенничества, а также поставщикам услуг и подрядчикам, которые обеспечивают работу ресурса.
Какие сторонние сервисы использует IT-продукт?
Предупредите пользователей о том, что к их персональным данным получают доступ сторонние сервисы. Например, приложение SmartWatch использует систему Flurry – платформу аналитики мобильных приложений. Все действия и клики пользователя внутри продукта, записываются и обрабатываются. Кроме этого SmartWatch использует AdMob для упрощения получения дохода благодаря рекламе, и Firebase для аналитики.
Дополнительно приложениям нужно получать согласие на доступ к системным настройкам телефона: местоположение и вибрация, фоновая работа, открытие сетевых ссылок, функции покупок, хранение данных во внешних хранилищах. Кроме перечня, нужно описать цель доступа. Например, приложению SmartWatch нужен доступ к местоположению для поиска устройств Bluetooth в радиусе действия.
Еще один кейс IT-юристов – Hypelitix. Это веб-сервис, который предоставляет общедоступные данные профилей Instagram: метаданные постов, IGTV и историй профиля. Для распознавания текста на изображениях и видео в Instagram сервис использует Google Cloud Vision.
Задача политики конфиденциальности информировать пользователя о сторонних сервисах и, по возможности, закрепить ссылки на их публичные документы. Это правило распространяется и на платежные системы.
Файлы Cookie
Cookie-файлы используются для аналитики, рекламы и персонализации контента. Политика конфиденциальности должна объяснять, какие Cookie использует сайт и как пользователь может отказаться от их обработки.
Сookie – это фрагмент данных, который сервер отправляет в веб-браузер пользователя. Чтобы выполнить требования GDPR нужно:
- Получить явное согласие пользователей перед активацией любых файлов Cookie.
- Объяснить, какие данные собирает каждый Cookie и с какой целью, используя понятный и доступный язык.
- Фиксировать и хранить подтвержденное согласие пользователей.
- Обеспечить пользователям доступ к страницам сайта даже при отказе от Cookie.
- Предоставить возможность отозвать согласие так же легко, как и дать его.
Нарушение правил GDPR o Cookie файлах приводит к штрафам. В январе 2022 года французский орган по защите данных (CNIL) наложил на Google LLC 90 млн EUR штрафа. Все потому, что на YouTube легко принять файлы cookie, а отказаться от них сложнее. CNIL отметил, что для отказа от файлов cookie YouTube требуется, чтобы пользователь сделал несколько кликов, а для принятия – всего один клик. Но отказ от использования Cookie должен быть таким же простым, как и согласие, а Google нарушили такое требования GDPR.
Важно получить явное согласие от пользователя на использование Cookie файлов и предоставить возможность отозвать такое решение.
Чтобы избежать штрафов, добавьте в политику следующую информацию:
- Какие виды файлов Cookie применяются на сайте?
- Какие персональные данные собираются и обрабатываются с их помощью?
- Где именно будут обрабатываться данные и в какие страны или организации они могут передаваться?
- Каковы цели использования файлов Cookie?
- В течение какого периода они будут отслеживать активность пользователей?
- Как пользователи могут дать согласие на использование Cookie или отказаться от них?
- Какие шаги нужно предпринять, чтобы отозвать свое согласие?
Рассылка рекламы
Отдельный пункт политики конфиденциальности стоит посвятить рассылке маркетинговых материалов. Обозначьте, что можете использовать данные для внутреннего маркетинга.
Если ресурс использует email-рассылки, SMS, push-уведомления или рекламные сообщения через мессенджеры, политика конфиденциальности должна содержать:
- цели рассылки;
- правовое основание обработки данных;
- порядок отказа от рекламы;
- информацию о сторонних сервисах рассылки.
Возможность отказаться от маркетинговых сообщений – обязательное требование GDPR и CCPA. Отписка должна быть простой и доступной для пользователя.
Нарушение этих правил приводит к крупным штрафам. В 2025 году Европейская комиссия оштрафовала Meta на 200 млн евро за модель “Consent or Pay” – механизм, при котором пользователь должен либо согласиться на использование персональных данных для персонализированной рекламы, либо оформить платную подписку без рекламы. Регуляторы пришли к выводу, что такое согласие нельзя считать полностью добровольным, поскольку у пользователей фактически не было равнозначной бесплатной альтернативы.
Какие меры безопасности предпринимает веб-сайт или приложение?
Сайты и приложения внедряют физические, электронные и процедурные меры безопасности для защиты персональных данных. Статья 32 GDPR предлагает такие меры безопасности:
- анонимизация;
- шифрование;
- целостность и постоянная конфиденциальность;
- устойчивость систем и сервисов обработки;
- способность своевременно восстановить доступ;
- тестирование эффективности.
Например, некастодіальный кошелек Hasher Wallet, для которого IT-юристы Stalirov&Co писали политику конфиденциальности, обеспечивает шифрование данных с использованием AES-192-CBC, хеширование md5 и анонимизацию. Доступ к приложению зашифрован с помощью технологии безопасности транспортного уровня (TLS). Также Hasher Wallet применяем строгую транспортную безопасность HTTPS.
Как долго хранятся персональные данные?
Данные должны храниться не дольше, чем это необходимо для достижения целей, для которых они были собраны. Например, мессенджер Dober хранит персональные данные пользователей до момента удаление учетной записи.
Как получить доступ, обновить или удалить данные?
Чтобы политика конфиденциальности соответствовала GDPR и CCPA, опишите как пользователь может получить доступ, просмотреть, обновить, исправить и удалить любые личные данные. Алгоритм действий должен быть простым. Например, отправить запрос на адрес электронной почты.
Вот как это сделали разработчики Youwex. Пользователь может войти в свой профиль и изменить информацию о себе в той степени, в которой это позволяет система. Также он имеет право подать запрос на изменение информации о себе по электронной почте: support@youwex.com.
Если он хочет подать запрос на удаление персональных данных в соответствии с требованиями GDPR, ему необходимо отправить сообщение на эл. почту support@youwex.com. При подаче запроса по электронной почте пользователя попросят предоставить информацию, для идентификации и проверки.
Пишите политику конфиденциальности понятным для пользователя языком. Журналист Kevin Litman-Navarro изучил 150 политик конфиденциальности. С помощью сервиса Lexile он проверил насколько легко понять документы. По стандартам сервиса врачи и юристы должны понимать материал с оценкой 1440. К удивлению журналиста, многие политики оказались слишком сложными и превысили этот стандарт.
Контролирующие органы обращают внимание на критерий доступности и простоты. DPA Ирландии в деле WhatsApp заявило, что мессенджер не выполнил требования о легкодоступности политики. Компания должна использовать язык, понятный для пользователей. Это и другие нарушения стоили WhatsApp 225 млн EUR.
Предлагаем не повторять ошибок мировых гигантов: делать текст политики понятным, выбирать удобное форматирование страниц и внедрять функциональную навигацию. Правильно составленная политика конфиденциальности защищает как пользователей, так и бизнес, обеспечивая соответствие законам и повышая доверие к продукту.