«У нас просто визитка, мы ничего не собираем». Открываю код такой визитки: Яндекс Метрика, пиксель ВК, иногда ещё пара рекламных скриптов. Каждый из них собирает идентификаторы посетителя, данные об устройстве и поведении. Позиция Роскомнадзора здесь устойчивая: такие идентификаторы в совокупности позволяют определить пользователя, а значит, это обработка персональных данных со всеми последствиями.
Почему cookies это персональные данные
Сам по себе файл cookie безобиден. Но связка «идентификатор + IP + данные об устройстве + история поведения» позволяет выделить конкретного посетителя среди других, и именно эту связку собирают счётчики аналитики и рекламные пиксели. РКН в разъяснениях и практике проверок относит такие данные к персональным, и спорить с этим на проверке дороже, чем подготовиться.
Что должно быть на сайте
- Баннер о cookies при первом визите: заметный, с внятным текстом и ссылкой на документ, где расписано, что и зачем собирается.
- Раздел о cookies в политике обработки персональных данных либо отдельная политика cookies: какие счётчики стоят, какие данные им уходят, как отключить.
- Упоминание конкретных сервисов: Метрика, пиксели рекламных систем, онлайн-чаты. Политика, в которой написано «мы используем cookies» без конкретики, не описывает реальность и не защищает.
- Согласие на обработку: практика движется от пассивного «продолжая пользоваться сайтом, вы соглашаетесь» к активному действию пользователя. Кнопка «Принимаю» на баннере сегодня выглядит минимально достаточным вариантом, самый строгий вариант: не запускать счётчики до нажатия.
Уровни строгости: честный разговор
Идеальная схема, при которой аналитика не грузится до явного согласия, режет данные Метрики, и большинство малого бизнеса на неё не идёт. Мой подход на аудитах: показать клиенту три уровня, от формального баннера до полной блокировки счётчиков, с честной оценкой рисков каждого. Выбор за владельцем, но выбор должен быть осознанным, а не «дизайнер поставил баннер из шаблона, и мы забыли».
Чем рискует сайт без баннера
Обработка персональных данных без согласия наказывается по статье 13.11 КоАП: для компаний счёт идёт на сотни тысяч рублей, и штраф может прилететь одновременно юрлицу и директору. Отдельный неприятный сценарий: жалоба конкурента или недовольного клиента, по которой РКН приходит на сайт целенаправленно. Cookie-баннер и корректная политика в этом случае: первое, на что смотрят.
Чек-лист на сегодня
- Откройте свой сайт в режиме инкогнито: есть ли баннер при первом визите.
- Откройте политику: упомянуты ли Метрика и другие реально стоящие на сайте сервисы.
- Проверьте формы: чекбоксы согласия должны быть отдельно от баннера cookies, это разные согласия.
- Сохраните себе список всех скриптов на сайте: это пригодится и для политики, и для аудита.