Как RANext фиксирует этот риск
RANext анализирует публичные страницы и технические подключения, чтобы найти cookie и внешние скрипты, которые могут участвовать в сборе или передаче данных.
- на сайте подключены счётчики веб-аналитики, например Яндекс.Метрика;
- используются рекламные пиксели, ретаргетинг, онлайн-чат, callback-виджеты, карты или внешние формы;
- в политике ПДн или cookie policy нет описания cookie и внешних сервисов;
- пользователь не видит уведомление о cookie или не понимает, как управлять настройками;
- в документах не описана передача данных третьим лицам или возможная трансграничная передача.
Почему это может быть нарушением
Cookie и внешние скрипты могут собирать технические идентификаторы, сведения об устройстве, поведении на сайте и другие данные. В зависимости от настроек и связки с другими данными это может относиться к обработке персональных данных.
Если сайт использует аналитику, рекламные пиксели, чаты или внешние формы, это нужно отразить в политике ПДн и/или cookie policy: какие данные собираются, для каких целей, какие сервисы участвуют и как пользователь может управлять cookie.
Штрафы и санкции по закону
| ООО | 30 000–60 000 ₽ как риск неполноты публичной политики; при обработке без надлежащего согласия — 300 000–700 000 ₽ |
|---|---|
| ИП | 10 000–20 000 ₽; при обработке без надлежащего согласия — 100 000–300 000 ₽ |
| Должностное лицо | 6 000–12 000 ₽; при обработке без надлежащего согласия — 100 000–300 000 ₽ |
Ниже указаны ориентиры по административным штрафам и правовым последствиям для оператора персональных данных. Конкретная сумма зависит от состава нарушения, повторности, категории данных, масштаба обработки, статуса малого бизнеса и позиции регулятора При проверке или рассмотрении дела Роскомнадзор и суд оценивают фактический состав нарушения, повторность и статус оператора.
Что нужно исправить
- Провести инвентаризацию cookie, аналитики, пикселей, чатов, карт и внешних форм.
- Добавить cookie-уведомление или cookie policy с понятным описанием используемых технологий.
- Обновить политику обработки ПДн: цели, категории данных, внешние сервисы, передача третьим лицам.
- Проверить, не возникает ли трансграничная передача данных через внешние сервисы.
- Настроить получение согласия или иной правовой механизм там, где это требуется для конкретного сценария.
Кто должен участвовать в исправлении
- Маркетолог или владелец сайта — перечисляет аналитику, рекламу, чаты и сервисы, которые реально используются.
- Разработчик — проверяет скрипты, внешние домены, cookie и настройки баннера.
- Юрист — обновляет документы и формулировки о cookie, целях обработки и передаче данных.
Ссылки на закон и нормы
Частые вопросы
Нужно ли описывать Яндекс.Метрику в политике ПДн?
Да, если на сайте используется веб-аналитика, её лучше отразить в политике и cookie-уведомлении: цели, типы данных, сервис и общий порядок обработки.
Cookie всегда являются персональными данными?
Не всегда сами по себе, но в связке с устройством, поведением, аккаунтом, заявкой или рекламными идентификаторами они могут участвовать в обработке персональных данных.
Достаточно ли просто написать “мы используем cookie”?
Обычно этого мало. Лучше указать, какие категории cookie используются, для каких целей, какие внешние сервисы подключены и как пользователь может управлять настройками.
Нужен ли отдельный cookie-баннер?
Это зависит от набора cookie и сценария обработки. Для аналитики, рекламы и внешних пикселей баннер или отдельное уведомление обычно снижает риск претензий.
Что делать, если на сайте есть онлайн-чат?
Нужно проверить, какие данные чат собирает, где они хранятся, кто является поставщиком сервиса и описана ли передача данных в политике ПДн.
Что сделать дальше
Проверьте сайт: RANext покажет внешние скрипты, cookie и виджеты, которые видны на публичных страницах. После этого можно обновить политику, cookie-уведомление и настройки согласий.