«Мы знаем, на какую кнопку он нажал, сколько секунд смотрел на цену и с какого устройства зашёл». Для маркетолога — это мечта. Для юриста — повод задать вопрос: а есть ли у вас документы, которые делают этот сбор законным?
Меня зовут Дмитрий, я IT-юрист. Сегодня разберём, когда поведенческая аналитика становится нарушением 152-ФЗ, какие ошибки допускают 9 из 10 владельцев сайтов и как за три шага привести трекинг в порядок — без отказа от Метрики и рекламных пикселей.
Что закон считает «персональными данными» на вашем сайте
Большинство владельцев бизнеса думают примерно так: «Пользователь сам зашёл на сайт — значит, разрешил нам за ним наблюдать».
Это распространённое заблуждение.
Федеральный закон № 152-ФЗ «О персональных данных» относит к персональным данным любую информацию, прямо или косвенно позволяющую идентифицировать физическое лицо. В контексте сайта под это определение могут подпадать:
- IP-адрес — сам по себе не всегда однозначно идентифицирует конкретного человека, но в совокупности с другими данными (браузер, устройство, время визита) позволяет это сделать.
- Файлы cookie — в особенности «постоянные» (persistent cookies), которые сохраняются между сессиями и позволяют отслеживать одного и того же пользователя на протяжении недель и месяцев.
- Данные о поведении: записи сессий (вебвизор), тепловые карты, клик-трекинг, глубина скролла.
- Параметры устройства и браузера: user-agent, разрешение экрана, часовой пояс — в совокупности образуют так называемый «цифровой отпечаток» (fingerprint), который де-факто уникален для большинства пользователей.
Важный нюанс: каждый из этих элементов в отдельности не всегда является персональными данными. Но как только вы начинаете их комбинировать или «привязывать» к конкретному человеку — вы работаете с ПДн, и требования 152-ФЗ применяются в полной мере.
4 критические ошибки, за которые штрафует Роскомнадзор
Ошибка 1: Сбор данных без уведомления («тихий трекинг»)
Вы установили Яндекс.Метрику с вебвизором, Facebook Pixel или систему записи сессий — но на сайте нет никакого уведомления о том, что вы это делаете.
С точки зрения закона пользователь не знает, что за ним наблюдают. Это нарушение принципа прозрачности обработки персональных данных (ст. 5 152-ФЗ).
Ошибка 2: «Склейка» анонимного профиля с реальным человеком
Распространённая практика: сначала вы собираете поведение «анонимного» пользователя через cookie-идентификатор, а потом — когда он регистрируется, оставляет email в форме или авторизуется через соцсети — «привязываете» всю историю его поведения к конкретной персоне.
Такое профилирование является отдельным видом обработки ПДн. Если пользователь не дал на него информированного согласия — вы нарушаете закон, даже если согласие на обработку ПДн в принципе получено.
Ошибка 3: Передача данных третьим лицам без упоминания в документах
Когда вы подключаете Яндекс.Метрику, Google Analytics, рекламные пиксели соцсетей или онлайн-чаты — вы фактически передаёте данные о поведении пользователей этим сервисам. Они становятся «третьими лицами» в смысле 152-ФЗ.
Если эти сервисы не перечислены в вашей Политике конфиденциальности как получатели данных — вы нарушаете требование об информировании субъектов ПДн.
Ошибка 4: Отсутствие возможности отказаться от трекинга
152-ФЗ (ст. 9) предоставляет субъекту право отозвать согласие на обработку его персональных данных. Если на вашем сайте нет технической возможности отказаться от поведенческого трекинга или написать запрос об удалении данных — это нарушение, даже если всё остальное оформлено правильно.
Где заканчивается законная аналитика и начинается нарушение
Граница между «можно» и «нельзя» проходит по двум критериям: цель сбора и степень идентификации.
- Агрегированная статистика: «500 визитов, 60% с мобильных» - Законно при наличии уведомления
- Запись сессий конкретного пользователя (вебвизор) - Требует явного уведомления и возможности отказа
- Построение профиля: предпочтения + история + устройство - Требует информированного согласия на профилирование
- Ретаргетинг: «догнать» пользователя рекламой на других сайтах - Требует согласия на передачу данных рекламным сетям
- Продажа поведенческих данных третьим лицам - Запрещено без отдельного письменного согласия
Как легализовать трекинг: три практических шага
Шаг 1. Cookie-уведомление (баннер)
При первом визите пользователь должен видеть понятное сообщение о том, что сайт использует файлы cookie и собирает данные о поведении. Уведомление должно:
- Быть заметным — не мелким шрифтом в подвале.
- Содержать цели сбора: аналитика, улучшение интерфейса, таргетированная реклама.
- Давать пользователю выбор: принять все, принять только необходимые, или отказаться от маркетинговых cookie.
Важно: российский 152-ФЗ не требует кнопку «Принять» в том виде, в котором это предписывает европейский GDPR. Однако уведомление о сборе данных и возможность отказа — обязательны. Не подменяйте требования GDPR российским законодательством: они разные.
Шаг 2. Политика конфиденциальности с разделом о cookie
В Политике должен быть отдельный, читаемый раздел, который описывает:
- Какие данные собираются: технические (IP, браузер), поведенческие (клики, скролл, сессии).
- Цели обработки: аналитика, улучшение UX, таргетинг.
- Кто получает данные: конкретный список сервисов (Яндекс.Метрика, Google Analytics, VK Pixel и т. д.).
- Срок хранения: как долго хранятся данные и когда удаляются.
- Права пользователя: как отозвать согласие, как запросить удаление данных.
Шаг 3. Техническая возможность отказа
Это самый часто игнорируемый пункт. У пользователя должна быть реальная возможность отказаться от поведенческого трекинга. На практике это реализуется через:
- Настройки cookie в баннере (отдельные категории: необходимые, аналитика, маркетинг).
- Контактную форму или email для запросов на удаление данных.
- Ответ на такие запросы в разумный срок (по закону — 30 дней).
Чек-лист: проверьте свой сайт прямо сейчас
- На сайте есть видимое уведомление об использовании cookie.
- Пользователь понимает, что его поведение отслеживается в маркетинговых целях.
- В Политике конфиденциальности перечислены все сервисы аналитики и рекламы, которые получают данные.
- Есть отдельный раздел про cookie с описанием типов и целей.
- Пользователь технически может отказаться от маркетингового трекинга.
- Есть контакт или форма для запроса об удалении данных.
- Срок хранения поведенческих данных указан в документах.
- Если вы используете профилирование — получено информированное согласие на него.
Вопрос, который задают чаще всего: «А нас реально штрафуют за это?»
До 2025 года — редко. Сейчас — всё чаще. Роскомнадзор планомерно расширяет практику проверок сайтов и мобильных приложений на предмет соблюдения 152-ФЗ. Штрафы за нарушения в сфере ПДн выросли: с 2025 года максимальный штраф для юридических лиц за повторные нарушения достигает 18 миллионов рублей.
Но дело не только в штрафах. Пользователи становятся грамотнее. Жалоба в РКН от одного недовольного клиента — достаточное основание для проверки. А проверка при отсутствии документов почти гарантированно заканчивается предписанием и штрафом.
Заключение
Трекинг поведения — это мощный инструмент, без которого современный маркетинг невозможен. Никто не требует от вас его отключить. Закон требует одного: быть честным с пользователем.
Если вы открыто сообщаете: «Мы отслеживаем ваше поведение на сайте, чтобы улучшить сервис и показывать релевантную рекламу» — и даёте возможность отказаться — вы работаете в правовом поле. Если вы собираете данные «под капотом», строите профили без согласия и не упоминаете в документах треть используемых сервисов — вы создаёте риски, которые с каждым годом становятся ощутимее.
Три шага: уведомление, документы, возможность отказа. Это не сложно. Но без юридически грамотного оформления даже добросовестный бизнес оказывается в зоне риска.
Не уверены, насколько ваш текущий набор аналитических инструментов соответствует 152-ФЗ? Пишите на kartashovdmitriyi@yandex.ru — проведу аудит настроек трекинга и помогу оформить документы так, чтобы вы получали данные без риска штрафа.