Ситуация: пользователь зашёл на сайт. Фактически его данные уже обрабатываются метрическими программами (файлами cookie), хотя согласия на это он не давал. Пользователь не хочет, чтобы его данные собирались и обрабатывались, поэтому покидает сайт. Но данные уже получены. Что делать в этой ситуации? На каком основании можно обрабатывать данные пользователя сразу при входе на сайт?
Итак, все сайты используют метрические программы и файлы cookie (хотя бы сессионные). Это значит, что метрические программы собирают персональные данные пользователя уже при первом посещении сайта.
Роскомнадзор относит сведения, собираемые метрическими программами, к персональным данным. По закону для их обработки должны быть основания. У коммерческих организаций есть два основания для обработки персональных данных с помощью сайта: согласие и договор (пользовательское соглашение).
Пользовательское соглашение – это договор (оферта) между владельцем сайта и пользователем сайта. В договоре (оферте) необходимо наряду с иными условиями пользования сайтом указать, что на сайте применяются метрические программы и файлы cookie – они собирают данные пользователей. Также нужно прописать:
какие именно сведения о пользователях собирают метрические программы;
для каких целей они их собирают (например, для статистических);
каким образом можно прервать сбор данных (изменить настройки браузера или покинуть сайт);
порядок принятия условий пользовательского соглашения. Здесь рекомендуем зафиксировать, что пользователь принимает условия пользовательского соглашения при первом посещении сайта.
Напоминаю: для уведомления пользователей о применении метрических программ и условиях пользовательского соглашения размещайте на сайте всплывающие баннеры с информацией об использовании cookie и ссылкой на текст пользовательского соглашения. Опубликуйте также пользовательское соглашение в подвале сайта, чтобы пользователь в любой момент мог с ним ознакомиться.
Комментарии (61)
Rend
02.10.2025 20:21Вполне возможно до принятия соглашения не отдавать запросы "метрическим программам", т. е. обработчики Goodle/Yandex и др. можно вызывать только при наличии "согласия".
Вопрос только в том, что классические HTML-snippets, предлагаемые теми же Yandex или Google, такого поведения не поддерживают; требуется дополнительный код. Кто его будет писать?
Чисто в теории, кто-то может и написать очередной plugin для WordPress или другой CMS, реализующий подобные требования, но такое ещё должен найти (если будет искать) человек, обслуживающий сайт.
supercat1337
02.10.2025 20:21Все верно сказали. Классические сниппеты явно нельзя использовать. Только динамическое подключение джаваскриптом сайта. Писать такое пару строк.
Когда дают согласие на куки, то можно в localstorage записать инфу. Далее, проверяем при загрузке страницы если такая пометка в localstorage имеется, то динамически добавляем теги скриптов с метриками.
Schakal
02.10.2025 20:21все сайты используют метрические программы и файлы cookie (хотя бы сессионные)
Вообще-то нет. С чего им их использовать, если никакие данные о посетителе не нужны?
Wesha
02.10.2025 20:21С чего им их использовать, если никакие данные о посетителе не нужны?
А ну как понадобятся!
nivorbud
02.10.2025 20:21Коль не куки, так ip собираются и по любому записываются сервером в логи. Проблема не в этом, а в логике натягивания совы на глобус. Все эти нелепые выводы следуют лишь из одного сомнительного утверждения, что куки и ip сами по себе, без контекста, без дополнительных данных, являются ПД. При такой логике невозможно законно взять согласие, как ни крутись.
Assidis
02.10.2025 20:21да это ппц вобще. по такой логике ("любимого" РосКомПОЗОРА) у нас вобще всё подряд является ПДн. даже цвет трусов. без привязки к всему остальному.
nivorbud
02.10.2025 20:21у нас вобще всё подряд является ПДн. даже цвет трусов. без привязки к всему остальному.
А это, кстати, прямо следует из сабжевой логики.
Например, вы снаружи своего магазина повесили видеокамеру, чтобы обозревать крыльцо и его окрестности. Мимо проходят прохожие... вот прошел человек в красной куртке... А вы взяли у него согласие на обработку ПД? Нет? Значит, нарушение... Ведь этого человека в красной куртке теоретически можно отследить и идентифицировать, если поднять на ноги полицию, милицию, записи со всех видеокамер по пути его следования... Ведь именно так объясняют, почему ip является ПД, не так ли?
PS:
И я не уверен, что это логика РКН. Пока этой логикой юристы балуются.
Taywox
02.10.2025 20:21Снаружи камера это общественное место - там ничего не надо!
А вот внутри камера в магазине, уже да надо.
nivorbud
02.10.2025 20:21А вот внутри камера в магазине, уже да надо.
Значит, прежде чем впустить посетителя в магазин надо брать с него согласие об обработке персональных данных?
PowerMetall
02.10.2025 20:21
Andrey_V_S
02.10.2025 20:21Не всё. Домофонщики требовали полный адрес с указанием квартиры что бы выдать ключ от подъезда, написал в РКН жалобу что требуют ПДн, а РКН ответил что полный адрес не ПДн, фамилию же не спрашивают, а так ХЗ кто живёт в квартире.
Что касается куков, то обоснование отнесения к ПДн это то что Яндекс их считает таковыми, если не изменяет память.
nivorbud
02.10.2025 20:21Что касается куков, то обоснование отнесения к ПДн это то что Яндекс их считает таковыми, если не изменяет память.
Ну, Яндекс массово собирает реальные перс. данные и имеет возможность сопоставить выдаваемые куки с реальными личностями. Поэтому в данном случае логично, считать куки... нет не персональными данными, но средством их обработки или средством обезличивания.
askv
02.10.2025 20:21Так и не только на сайтах такая проблема. Согласия на обработку ПД сначала формируются в компьютере, только потом подписываются на бумаге. Поэтому данные изначально обрабатываются без согласия, а потом человек на бумаге ставит подпись. А если не поставит? Поэтому самые правильные согласия это те, в которых ПД вписаны собственноручно самим человеком.
P.S. В начале ковида ходил анекдот. В аптеку нельзя без маски, поэтому самую первую маску ты должен добыть в честном бою на улице...
Wesha
02.10.2025 20:21самую первую маску ты должен добыть в честном бою на улице...
Ну, это если своих трусов (чтобы тряпочку из них вырезать) нет!
PereslavlFoto
02.10.2025 20:21ip собираются и по любому записываются сервером в логи
Здесь интересное противоречие. С одной стороны, сервер провайдера записывает в свои логи IP-адрес. С другой стороны, владелец сайта не имеет доступа к этим логам и не видит IP-адрес.
nivorbud
02.10.2025 20:21Там еще этот ip проходит по цепочке маршрутизаторов, также урлы передаются ДНС-серверам... Все они должны согласие брать, прежде чем пакеты передавать? С кого? Абсурд это всё, в общем.
randomsimplenumber
02.10.2025 20:21владелец сайта не имеет доступа к этим логам и не видит IP-адрес
Что за странный хостинг? Все он видит.
vShadow
02.10.2025 20:21самый дешевый shared и сайт-визитка на голом html :-)
nero211
02.10.2025 20:21А зачем куки на визитке?
PereslavlFoto
02.10.2025 20:21Традиционно на этот вопрос отвечают так:
— Для сбора и продажи персональных данных!
randomsimplenumber
02.10.2025 20:21Персональные данные - то что введено руками при регистрации и отправлено на сервер post-запросом. Куки тут не участвуют никаким боком.
rust3
02.10.2025 20:21А fingerprint тоже не персональные данные? Ведь по нему можно отследить пользователя
randomsimplenumber
02.10.2025 20:21Слежка может привести к раскрытию персональных данных. А может и не привести.
Вот, допустим, сайт Васи Пупкина передал моєму браузеру куку с каким то хешом. Сайт Василия Алибабаевича сможет её прочитать?
azTotMD
02.10.2025 20:21подтверждаю, моя онлайн-игра не использует куков: https://dwdung.netlify.app/
Lastor
02.10.2025 20:21Если пользователь удалит куку из браузера, куда можно подать на него жалобу за препятствие исполнению закона, который обязывает хранить персональные данные 6 месяцев?
supercat1337
02.10.2025 20:21Требование к хранению собранной информации о пользователе предъявляется же к администратору сайта.
Legal-UP Автор
02.10.2025 20:21Здравствуйте! Закон не обязывает владельца сайта (оператора персональных данных) хранить данные пользователя, обрабатываемые метрическими программами. Если пользователь изменит настройки браузера, то это его право.
supercat1337
02.10.2025 20:21Насколько я помню, куки по мнению РКН персонифицируют пользователя. По этой причине всю информацию связанную с сессией надо хранить. Понятное дело, что куки разные бывают: одни для персонификации, другие для сохранения настроек отображения сайта и т.п. Но я не увидел нигде: законодатель разделяет эти понятия или нет. Как кому-то потом рассказывать какие у нас куки.
Если не так, то буду рад. Если есть ссылки на нормативную базу, буду только рад.
Redduck119
02.10.2025 20:21Лично я не понимаю - что творится в мире!
Как эти всплывающие окна с предупреждением о куках помогут сделать что-то полезное?
Какие цели решает роскомнадзор?
Мое личное мнение - это не нужное и вредное.
Вредное потому что съедает дополнительное время и энергию.
XXXXPro
02.10.2025 20:21Согласен целиком и полностью! Это требование абсолютно бессмысленно съедает сотни тысяч человеко-часов в год. На мой взгляд, целесообразнее было бы сделать так: пользователя должны предупредить, что есть такая штука как cookies, которые потенциально могут использоваться для сбора данных, на этапе подключения к Интернету, а дальше, если он этого не хочет, уже его зона ответственности принять меры против этого.
pshepshe
02.10.2025 20:21Ох, согласен, пусть на операторов связи лучше батон крошат.
Оффтопик.
Осторожно, простыня! Как получить согласие у неизвестного звонящего до его звонка?
3 Прочие условия
3.1 Продолжая пользоваться услугами связи по абонентским номерам после 25.01.2024 г.,
Абоненты @ соглашаются с описанными выше изменениями услуг «Мой помощник», «Голосовая
почта», «Автоответчик» и предоставлении функционала Голосового ассистента Миа.3.2 При несогласии с данными условиями, Абонент вправе отказаться от них, обратившись в
службу поддержки оператора, набрав USSD-команду * 519 * 0 # (правильная команда * 155 * 493 * 1 # ) или отключив в Личном кабинете.
Иное означает полное и безоговорочное согласие Абонента на пользование услугой на
обновленных условиях.3.3 Принимая описанные выше изменения услуг «Мой помощник», «Голосовая почта»,
«Автоответчик» Абонент:
подтверждает свое ознакомление и согласие с настоящими Правилами;
подтверждает свое согласие на получение Функционала в соответствии с условиями,
изложенными в настоящих Правилах;
подтверждает факт выполнения всех требований, предъявляемых настоящими Правилами
к Абоненту и абонентскому оборудованию, а также принимает на себя обязательство
следовать этим требованиям в период использования Функционала;
дает согласие на обработку Оператором данных, полученных Оператором в
автоматическом режиме от технических средств Оператора;
поручает Оператору исключительно на том абонентском номере, на котором
предоставляется Функционал, производить запись, хранение, использование,
расшифровку и передачу в личный кабинет Абонента в мобильном приложении «Мой @ »
аудиозаписей диалогов и их текстовой расшифровки и отправку части текстовой
расшифровки диалога в SMS на том абонентском номере, на котором предоставляется
Функционал, произведенных автоматизированным машинным способом (без участия
человека), в целях надлежащего предоставления Абоненту Функционала;
понимает и соглашается, что во время обработки входящих вызовов в случае, если Абонент не
принял входящий вызов при использовании Функционала, такой вызов переадресовывается на
Голосового ассистента, осуществляется соединение с вызывающим абонентом. Соединение с
Голосовым ассистентом является ответом оборудования, заменяющего Абонента в его отсутствие.
Голосовой ассистент ведет диалог со звонящим абонентом на основе заранее подготовленных
шаблонов. После завершения соединения аудиозапись диалога и его текстовая расшифровка,
произведенная автоматизированным машинным способом, направляются в личный кабинет
Абонента в мобильном приложении «Мой @ »/и при технической возможности отправит часть
текстовой расшифровки в SMS. Прослушивание аудиозаписей возможно исключительно с
абонентского номера, который был указан при регистрации в мобильном приложении «Мой @ » и
на который подключен Функционал;
разрешает Оператору анализировать входящие звонки для выявления среди них на основе
собственных алгоритмов звонков, определяемых как подозрительных, построения
диалога исходя из имеющихся шаблонов и возможности завершения таких звонков; подтверждает, что получил согласие от звонящих ему абонентов на аудиозапись разговоров, а также их последующую текстовую расшифровку, анализ и обработку автоматизированным машинным способом;
соглашается, что Функционал, любые его элементы и составные части предоставляются
«как есть» («as is») и Оператор не может гарантировать полное отсутствие технических
ошибок и сбоев;
соглашается, что Оператор может приостанавливать работу Функционала для проведения
тестирования, профилактических, ремонтных или иных производственных работ без
предварительного уведомления Абонента;
принимает и соглашается, что Оператор не несет ответственности за возможный
причиненный Абоненту ущерб, вызванный противоправными действиями третьих лиц, а
также за действия самого Абонента с использованием Функционала.
Абонент самостоятельно несет ответственность перед третьими лицами за свои действия,
связанные с использованием Функционала, в том числе, если такие действия приведут к
нарушению прав или законных интересов третьих лицА ещё каждый раз добивает.
Оператор вправе в одностороннем порядке изменить Период предоставления Функционала,
указанный в п. 1.5. настоящих Правил, а также его условия предоставления Функционала.
Оператор информирует Абонентов об изменении Периода и условий предоставления
Функционала путем размещения информации на сайте https:// в срок не позднее 5
календарных дней до даты изменения срока.
Mike_666
02.10.2025 20:21Некомпетентность и безумие.
Нет, кроме как потратить время (и по раздражать) пользователя и чутка времени на разработку заодно. Ведь cookie храниться браузером, на стороне клиента, а значит на стороне клиента и только на стороне клиента принимается решение, что с этой печенкой делать - сохранять, игнорировать или что ещё.
Никаких, подозреваю, что РКН просто списал про печеньки у евробюрократов с их GDPR.
kirichenec
02.10.2025 20:21Что за воду я только что прочитал? Кусок википедии плюс закона.. а проблематика заголовка то будет решена? Что делать то, если пользователь не разрешил?))
Мне кажется, такие черновики нужно хранить в одноименном разделе, чтобы никто не видел и карму не минусил)
nivorbud
02.10.2025 20:21Итак, все сайты используют метрические программы и файлы cookie (хотя бы сессионные). Это значит, что метрические программы собирают персональные данные пользователя уже при первом посещении сайта.
Роскомнадзор относит сведения, собираемые метрическими программами, к персональным данным.
Имхо, это ложный посыл, из которого следуют ложные выводы.
Те судебные решения и ответы РКН, что я видел, всё же касались кук и метрических программ в контексте обработки реальных персональных данных, но не самих по себе кук.
Давайте, подумаем логически. Кука - это текстовая строка, которую сайт сохраняет в браузере посетителя. Не посетитель передает инфу сайту, а сайт передает инфу посетителю. Так же, как это делает гардеробщик в театре, выдавая вам номерок в обмен на пальто.
Никакие это не персональные данные сами по себе. А вот если посетитель оставил на сайте свои ФИО, номер телефона, адрес и пр., то в этом случае с помощью присвоения ему номера можно технически отслеживать действия этой (уже идентифицированной!) персоны. В этом случае уже можно рассматривать куки (и не только их), как техническое средство сбора и обработки ПД.
Таким образом, сабжевой проблемы имхо не существует. Пока не собраны реальные ПД, когда человек только зашел на сайт, кука никак не может его идентифицировать. Т.е. нет и сбора ПД на этом этапе.
А если следовать вашей логике, то никакая казуистика (и всплывающие плашки) вам не помогут - нарушение уже произойдет, а плашкой вы лишь подтвердите нарушение.
Wesha
02.10.2025 20:21Более того, строго говоря, в момент получения ПД человеку можно выдать новую куку, отличную от старой.
gun_dose
02.10.2025 20:21Давайте начистоту, большинство сайтов показывают всплывашку про кукис просто от балды. Практически нигде нет реального обработчика для наличия/отсутствия согласия. Я, к примеру, видел сайты, которые даже не запомниают выбор, а показывают эту всплывашку каждый раз, даже если выбрать опцию принятия.
Wesha
02.10.2025 20:21Чтобы эта всплывашка имела смысл — это ж умного программиста нанять надо, чтобы он смог правильно закодировать. А он, сцуко, за миску риса не согласен — денюх хочет! /s
Idakopas
02.10.2025 20:21это ж умного программиста нанять надо
В банках вроде как должны быть такие. Но... из принципа и любопытства «А что будет» долго не нажимала на очередную всплывашку с запросом «согласия на обработку данных» в веб‑кабинете банка, что, впрочем, не мешало пользоваться кабинетом, попап только сиротливо маячил внизу страницы. Потом мне надоело его видеть, «согласилась». Сейчас думаю, надо было скрыть его через кастомный CSS, чтобы и далее «смотреть, что будет». Однако... не знаю, среагировали бы безопасники на внедрение чужеродного CSS, пусть даже пользовательского, на страницу или нет...
p07a1330
02.10.2025 20:21Скорее всего даже не заметили бы
Чтобы отслеживать измнение стилей через консоль - нужно сделать много плясок с бубньм для неочевидного профита
anzay911
02.10.2025 20:21Потом мне надоело его видеть, «согласилась».
Согласие сохранено в кукисе, его можно удалить.
Prologos
02.10.2025 20:21В логах сервера все равно останутся данные куда ходил пользователь с каким IP, и с каким агентом, понятно что куки нужны иногда для авторизации например, а что тут такого? По закону Яровой вообще всё хранится много лет, включая записи с камеры вашего домофона... и если хочется анонимности, есть специальные браузеры дакдакго например, и много альтернатив, как можно прятать трафик, но это все полумеры, лучше не включать интернет)
funca
02.10.2025 20:21Это немного не так работает. Персональные данные могут собираться для разных целей и по разным причинам. Если это требуется по закону (например, аудит логи), то тут отдельное согласие пользователя не нужно.
Idakopas
02.10.2025 20:21Недавно встретила попап запроса согласия на куки, в котором чекбокс‑кнопки в обоих состояниях — on/off — имели одинаковые цвета — так, что, хоть ползунок и двигается туда‑сюда, не понять, когда включено, а когда выключено. Пришлось лезть в DevTools...
Выглядели примерно так:
UPD: сделала не очень удачный пример — тут видно, что Work немного темнее, но в том попапе реально было трудно различить цвета переключателей.
broondulyak
02.10.2025 20:21данные получены - потому что он уже дал на это разрешение где то где эти днные заполнялись - иначе бы они вам не отрравлялись - так что все ок
Ramirez174
02.10.2025 20:21Подобный баннер это профанация чистой воды, как вы сами и описали. Иллюзия выбора. К тому же на этих баннерах всегда кнопки типа:
Огромная кнопка "Да, я люблю котят, бабушку, демократию, поэтому согласен поделиться куки"
Малюсенькая "Нет, я террорист, экстремист, эксгибиционист и отказывают дать файлы куки"
Pabloritas
02.10.2025 20:21Может ли пользователь декларативно аннулировать все оферты в одностороннем порядке?
Допустим он на публичной странице вывешивает декларацию намерений и публичный договор согласно которого он дает запрет на любые способы электронной обработки своих данных всем кроме белого списка, а все последующие механические способы согласия на сбор и обработку объявляет недействительными и единственный способ подтверждения своего согласия объявляет только бумажный персональный договор с живой подписью. Так как он владелец и источник своих персональных данных, то его полномочия прямы и очевидны. Что будет с правмочностью сбора данных сайтами и сервисами?
lexore
02.10.2025 20:21Опубликуйте также пользовательское соглашение в подвале сайта, чтобы пользователь в любой момент мог с ним ознакомиться.
А потом сделайте бесконечный скролл ленты на главной
Nexoic
А что изменилось с тем что было слово метрических программ ?