02.10.2025 20:10
Legal-UP 19 6800 Источник

Ситуация: пользователь зашёл на сайт. Фактически его данные уже обрабатываются метрическими программами (файлами cookie), хотя согласия на это он не давал. Пользователь не хочет, чтобы его данные собирались и обрабатывались, поэтому покидает сайт. Но данные уже получены. Что делать в этой ситуации? На каком  основании можно обрабатывать данные пользователя сразу при входе на сайт? 

Больше полезной информации здесь
Больше полезной информации здесь

Итак, все сайты используют метрические программы и файлы cookie (хотя бы сессионные). Это значит, что метрические программы собирают персональные данные пользователя уже при первом посещении сайта.

Роскомнадзор относит сведения, собираемые метрическими программами, к персональным данным.  По закону для их обработки должны быть основания. У коммерческих организаций есть два основания для обработки персональных данных с помощью сайта: согласие и договор (пользовательское соглашение).

Пользовательское соглашение – это договор (оферта) между владельцем сайта и пользователем сайта. В договоре (оферте) необходимо наряду с иными условиями пользования сайтом указать, что на сайте применяются метрические программы и файлы cookie – они собирают данные пользователей. Также нужно прописать:

  • какие именно сведения о пользователях собирают метрические программы;

  • для каких целей они их собирают (например, для статистических); 

  • каким образом можно прервать сбор данных (изменить настройки браузера или покинуть сайт);

  • порядок принятия условий пользовательского соглашения. Здесь рекомендуем зафиксировать, что пользователь принимает условия пользовательского соглашения при первом посещении сайта.

Напоминаю: для уведомления пользователей о применении метрических программ и условиях пользовательского соглашения размещайте на сайте всплывающие баннеры с информацией об использовании cookie и ссылкой на текст пользовательского соглашения. Опубликуйте также пользовательское соглашение в подвале сайта, чтобы пользователь в любой момент мог с ним ознакомиться.

Комментарии (19)


  1. Nexoic
    02.10.2025 20:21
    #28912608

    А что изменилось с тем что было слово метрических программ ?


  1. Rend
    02.10.2025 20:21
    #28912710

    Вполне возможно до принятия соглашения не отдавать запросы "метрическим программам", т. е. обработчики Goodle/Yandex и др. можно вызывать только при наличии "согласия".

    Вопрос только в том, что классические HTML-snippets, предлагаемые теми же Yandex или Google, такого поведения не поддерживают; требуется дополнительный код. Кто его будет писать?

    Чисто в теории, кто-то может и написать очередной plugin для WordPress или другой CMS, реализующий подобные требования, но такое ещё должен найти (если будет искать) человек, обслуживающий сайт.


    1. supercat1337
      02.10.2025 20:21
      #28913200

      Все верно сказали. Классические сниппеты явно нельзя использовать. Только динамическое подключение джаваскриптом сайта. Писать такое пару строк.

      Когда дают согласие на куки, то можно в localstorage записать инфу. Далее, проверяем при загрузке страницы если такая пометка в localstorage имеется, то динамически добавляем теги скриптов с метриками.


  1. Schakal
    02.10.2025 20:21
    #28912772

    все сайты используют метрические программы и файлы cookie (хотя бы сессионные)

    Вообще-то нет. С чего им их использовать, если никакие данные о посетителе не нужны?


    1. Wesha
      02.10.2025 20:21
      #28913046

      С чего им их использовать, если никакие данные о посетителе не нужны?

      А ну как понадобятся!


    1. nivorbud
      02.10.2025 20:21
      #28914060

      Коль не куки, так ip собираются и по любому записываются сервером в логи. Проблема не в этом, а в логике натягивания совы на глобус. Все эти нелепые выводы следуют лишь из одного сомнительного утверждения, что куки и ip сами по себе, без контекста, без дополнительных данных, являются ПД. При такой логике невозможно законно взять согласие, как ни крутись.


      1. Assidis
        02.10.2025 20:21
        #28914262

        да это ппц вобще. по такой логике ("любимого" РосКомПОЗОРА) у нас вобще всё подряд является ПДн. даже цвет трусов. без привязки к всему остальному.


        1. nivorbud
          02.10.2025 20:21
          #28914346

          у нас вобще всё подряд является ПДн. даже цвет трусов. без привязки к всему остальному.

          А это, кстати, прямо следует из сабжевой логики.

          Например, вы снаружи своего магазина повесили видеокамеру, чтобы обозревать крыльцо и его окрестности. Мимо проходят прохожие... вот прошел человек в красной куртке... А вы взяли у него согласие на обработку ПД? Нет? Значит, нарушение... Ведь этого человека в красной куртке теоретически можно отследить и идентифицировать, если поднять на ноги полицию, милицию, записи со всех видеокамер по пути его следования... Ведь именно так объясняют, почему ip является ПД, не так ли?

          PS:

          И я не уверен, что это логика РКН. Пока этой логикой юристы балуются.


    1. XXXXPro
      02.10.2025 20:21
      #28915948

      Я бы сформулировал так: почти все, кроме тех, кого либо вообще не волнует посещаемость, либо тех, кому достаточно self-hosted аналитики.


  1. Lastor
    02.10.2025 20:21
    #28913042

    Если пользователь удалит куку из браузера, куда можно подать на него жалобу за препятствие исполнению закона, который обязывает хранить персональные данные 6 месяцев?


    1. supercat1337
      02.10.2025 20:21
      #28913226

      Требование к хранению собранной информации о пользователе предъявляется же к администратору сайта.


      1. Zhabrozavr
        02.10.2025 20:21
        #28914150

        Это он потом суду будет доказывать!


    1. Legal-UP Автор
      02.10.2025 20:21
      #28914414

      Здравствуйте! Закон не обязывает владельца сайта (оператора персональных данных) хранить данные пользователя, обрабатываемые метрическими программами. Если пользователь изменит настройки браузера, то это его право.


      1. supercat1337
        02.10.2025 20:21
        #28915182

        Насколько я помню, куки по мнению РКН персонифицируют пользователя. По этой причине всю информацию связанную с сессией надо хранить. Понятное дело, что куки разные бывают: одни для персонификации, другие для сохранения настроек отображения сайта и т.п. Но я не увидел нигде: законодатель разделяет эти понятия или нет. Как кому-то потом рассказывать какие у нас куки.

        Если не так, то буду рад. Если есть ссылки на нормативную базу, буду только рад.


  1. Redduck119
    02.10.2025 20:21
    #28913748

    Лично я не понимаю - что творится в мире!
    Как эти всплывающие окна с предупреждением о куках помогут сделать что-то полезное?
    Какие цели решает роскомнадзор?
    Мое личное мнение - это не нужное и вредное.
    Вредное потому что съедает дополнительное время и энергию.


    1. Assidis
      02.10.2025 20:21
      #28914304

      90% согласий на обработку ПДн собираются "чтобы было", как и почти все остальные документы, они нужны для защиты от проверяющих.


    1. XXXXPro
      02.10.2025 20:21
      #28915972

      Согласен целиком и полностью! Это требование абсолютно бессмысленно съедает сотни тысяч человеко-часов в год. На мой взгляд, целесообразнее было бы сделать так: пользователя должны предупредить, что есть такая штука как cookies, которые потенциально могут использоваться для сбора данных, на этапе подключения к Интернету, а дальше, если он этого не хочет, уже его зона ответственности принять меры против этого.


  1. kirichenec
    02.10.2025 20:21
    #28913936

    Что за воду я только что прочитал? Кусок википедии плюс закона.. а проблематика заголовка то будет решена? Что делать то, если пользователь не разрешил?))

    Мне кажется, такие черновики нужно хранить в одноименном разделе, чтобы никто не видел и карму не минусил)


  1. nivorbud
    02.10.2025 20:21
    #28914020

    Итак, все сайты используют метрические программы и файлы cookie (хотя бы сессионные). Это значит, что метрические программы собирают персональные данные пользователя уже при первом посещении сайта.

    Роскомнадзор относит сведения, собираемые метрическими программами, к персональным данным.

    Имхо, это ложный посыл, из которого следуют ложные выводы.

    Те судебные решения и ответы РКН, что я видел, всё же касались кук и метрических программ в контексте обработки реальных персональных данных, но не самих по себе кук.

    Давайте, подумаем логически. Кука - это текстовая строка, которую сайт сохраняет в браузере посетителя. Не посетитель передает инфу сайту, а сайт передает инфу посетителю. Так же, как это делает гардеробщик в театре, выдавая вам номерок в обмен на пальто.

    Никакие это не персональные данные сами по себе. А вот если посетитель оставил на сайте свои ФИО, номер телефона, адрес и пр., то в этом случае с помощью присвоения ему номера можно технически отслеживать действия этой (уже идентифицированной!) персоны. В этом случае уже можно рассматривать куки (и не только их), как техническое средство сбора и обработки ПД.

    Таким образом, сабжевой проблемы имхо не существует. Пока не собраны реальные ПД, когда человек только зашел на сайт, кука никак не может его идентифицировать. Т.е. нет и сбора ПД на этом этапе.

    А если следовать вашей логике, то никакая казуистика (и всплывающие плашки) вам не помогут - нарушение уже произойдет, а плашкой вы лишь подтвердите нарушение.