Недавно по интернету разлетелась свежая интернет-страшилка: якобы Роскомнадзор запустил бота, который автоматически сканирует сайты в зонах .ru, .рф и .su, проверяет политики конфиденциальности, cookie, согласия на обработку персональных данных - и чуть ли не сам выписывает штрафы владельцам сайтов.
Правда, потом в Роскомнадзоре заявили, что это не соответствует действительности: никакого массового бота, который ходит по всем сайтам и автоматически выписывает штрафы, нет.
Фейк фейком, а проблема-то настоящая.
Роскомнадзор действительно смотрит сайты. Действительно обращает внимание на формы, cookie, метрические программы, Яндекс.Метрику, Facbook Pixel, уведомления в реестре операторов персональных данных и тексты политик. И на региональных страницах РКН уже есть живые сообщения - например, здесь и здесь - где прямо фигурируют нарушения, связанные с сайтами, персональными данными и метрическими программами.
То есть робота-терминатора, может, и нет.
А вот минное поле под большинством сайтов - есть.
И я решил сделать простой тест. Без юристов и нейросетевого комплаенса.
Я написал парсер, который тупо смотрит две вещи:
- Есть ли на сайте Яндекс.Метрика или Google Analytics.
- Есть ли на сайте cookie-banner или хоть какой-то механизм согласия по cookie.
И даже этого хватило, чтобы понять: если Роскомнадзор пойдёт по сайтам массово, весело будет не только лишь всем.
Почему вообще Яндекс.Метрика и cookie внезапно стали проблемой
Многие владельцы сайтов до сих пор живут в прекрасном 2012 году. У них в голове персональные данные - это когда человек оставил паспорт, СНИЛС, прописку, девичью фамилию бабушки и анализ крови.
А если на сайте просто форма "Оставьте телефон, мы вам перезвоним" - ну какие это персональные данные? Это же просто заявка!
Если стоит Яндекс.Метрика - ну она же у всех стоит!
152-ФЗ определяет персональные данные широко: это любая информация, которая относится к прямо или косвенно определяемому физическому лицу. И если сайт собирает имя, телефон, e-mail, заявку, данные из формы обратной связи, client ID, cookie, идентификаторы пользователя, пиксели и метрики - внезапно мы уже не в уютном мире "просто сайтик", а в мире обработки персональных данных.
Обычный коммерческий сайт может попасть в зону риска уже тогда, когда на нём есть:
- форма заявки;
- форма обратного звонка;
- онлайн-чат;
- регистрация;
- личный кабинет;
- подписка на рассылку;
- корзина;
- форма резюме;
- Яндекс.Метрика;
- Google Analytics;
- Facebook Pixel;
- cookie для аналитики и рекламы.
То есть почти любой сайт, который не выглядит как "Добро пожаловать на сайт ООО Ромашка" из 2004 года.
Отдельная песня - Google Analytics
Google Analytics - это не просто счётчик. Для сайта с пользователями из РФ это риск по 152-ФЗ, потому что данные уходят в инфраструктуру Google, то есть возникает трансграничная передача персональных данных.
GA собирает cookie ID, client ID, IP, данные устройства, страницы посещения и события. Даже без ФИО, телефона и email такой набор может считаться персональными данными, так как позволяет прямо или косвенно определить пользователя.
С Яндекс.Метрикой тоже нужны cookie-уведомление, согласие и описание в политике. Но с Google Analytics добавляется более опасный слой: нужно отдельно оформить и раскрыть передачу данных за рубеж.
Если без Google Analytics совсем никак, базовый минимум такой:
- проверить, указана ли трансграничная передача в уведомлении РКН и документах сайта;
- указать Google Analytics в политике обработки ПДн;
- описать состав данных: cookies, IP, технические данные, идентификаторы, события, страницы;
- запускать GA только после активного согласия на аналитические cookies;
- заблокировать GA до согласия;
- отключить рекламные функции GA, Google Signals, remarketing и Ads personalization, если они не нужны;
- не передавать в GA ФИО, телефон, e-mail, ID клиента и номера заказов.
Практический вывод: если сайт работает под РФ, безопаснее не тащить на него Google Analytics, а использовать аналитику с хранением данных в России или self-hosted-решение.
Политика отдельно, сайт отдельно
У многих сайтов политика обработки персональных данных вроде бы есть. Ссылка в футере висит, документ открывается, формально галочка поставлена. Снаружи всё выглядит прилично.
Проблема в том, что часто это не политика, а шаблон из интернета, который к реальному сайту имеет примерно никакое отношение.
Внутри — общие фразы уровня "мы принимаем необходимые меры", "обрабатываем данные в соответствии с законом", "обеспечиваем конфиденциальность". Звучит солидно, но по факту ничего не объясняет: кто именно оператор, какие данные собираются, зачем они собираются, куда передаются, какие сервисы подключены, используется ли Метрика, CRM, рассылка, коллтрекинг, виджеты и прочая радость.
Сайт живёт активной жизнью: собирает заявки, ставит cookie, грузит Яндекс.Метрику, отправляет лиды в CRM, может быть, ещё и передаёт данные в сторонние сервисы. А политика делает вид, что сайт — это музейная HTML-визитка, где из активности только телефон в подвале.
При этом простая проверка может открыть документ, найти ИНН оператора и сверить его с реестром Роскомнадзора. А если ИНН нет, оператор описан мутно, реального описания обработки нет или компания по ИНН не находится в реестре РКН - это уже красный флаг.
То есть проблема не в том, что документа нет. Проблема в том, что документ есть только для красоты. Сайт делает одно, политика рассказывает другое, и при проверке это всплывает почти сразу.
Что Роскомнадзор может увидеть даже без робота-карателя
Чтобы найти базовые косяки, не нужен великий искусственный интеллект и дата-центр размером с область.
Достаточно обычного скрипта, написанного без особого героизма.
Он может проверить:
- есть ли формы сбора данных;
- есть ли ссылка на политику обработки персональных данных;
- указан ли в политике оператор;
- указан ли ИНН оператора;
- есть ли этот ИНН в реестре операторов персональных данных Роскомнадзора;
- совпадает ли оператор в политике с оператором в реестре;
- есть ли Яндекс.Метрика, Google Analytics, пиксели и другие трекеры;
- ставятся ли cookie до согласия пользователя;
- есть ли cookie-banner;
- есть ли отдельная галочка согласия под формой;
- не проставлена ли эта галочка заранее;
- ведёт ли ссылка на согласие к реальному тексту, а не "куда-нибудь".
Поэтому вопрос не в том, есть ли у Роскомнадзора прямо сейчас великий бот имени цифровой кары.
Вопрос в другом.
Ваш сайт уже выглядит так, будто его можно спокойно показать проверяющему?
Я отдельно собрал подробный алгоритм самопроверки сайта по 152-ФЗ: формы, cookies, Метрика, Google Analytics, политика обработки персональных данных, согласия, третьи лица и трансграничная передача.
А если сайт ведёт физлицо?
Отдельный миф - что 152-ФЗ только для компаний. А если ты частный специалист, самозанятый, эксперт, психолог, юрист, репетитор или мастер по ремонту айфонов, то можно не париться.
Нет.
Если человек через сайт собирает заявки, имена, телефоны, e-mail, сообщения из форм, записывает клиентов на консультации, ведёт рассылку или ставит аналитику - он тоже становится оператором персональных данных.
Вывод простой.
Не надо ждать, пока Роскомнадзор действительно придёт с проверкой, ботом, скриптом, шаманом или кем угодно ещё.
Большинство проблем на сайтах видно без великого ИИ: форма есть, cookie есть, Метрика есть, политика из копипасты есть, нормального согласия нет. Всё.
Это не повод бежать покупать "комплаенс под ключ" за цену подержанной "Приоры". Но это повод открыть свой сайт и честно посмотреть: что он собирает, куда это улетает и что об этом написано в документах.
Потому что стратегия "да кому я нужен" работает ровно до момента, пока вы кому-то не понадобились.