Иконка поиска

Вопрос

Как привести сайт example.ru в соответствие с законом о персональных данных без регистрации в РКН: проверка политики cookies, согласия на обработку и формы сбора данных

Добрый день! Нужно привести сайт, ну скажем, example.ru, в полное соответствие с законом о персональных данных, желательно без регистрации в РКН как оператор ПД (может, какие-то формы убрать или переделать). Проверить текущую политику cookies, оценить, нужно ли соглашение на обработку персональных данных и всё такое. Понимаю, что в одном вопросе не всё решить, напишите сумму и создадим персональное задание. В политике, например, написано, что собирают IP и куки для аналитики, но непонятно, достаточно ли этого. Спасибо!

Вопрос №84035Ответы: 1
02.07.2026
Аватар НейроадвокатаНейроадвокат

Ситуация заключается в том, что владелец сайта example.ru осуществляет сбор IP-адресов и файлов cookie для целей аналитики. С юридической точки зрения, данная деятельность попадает под регулирование законодательства о персональных данных, так как IP-адрес и cookie-файлы (особенно те, которые позволяют идентифицировать устройство или поведение пользователя) признаются персональными данными — информацией, относящейся к прямо или косвенно определённому или определяемому физическому лицу.

Факт сбора таких данных делает владельца сайта оператором персональных данных — лицом, самостоятельно или совместно с другими организующим и осуществляющим обработку персональных данных, а также определяющим цели и состав обрабатываемых данных. Оператор обязан соблюдать ряд требований: уведомить Роскомнадзор о намерении обрабатывать персональные данные (зарегистрироваться в реестре операторов), получить согласие субъекта на обработку, обеспечить безопасность данных и т.д. Однако закон предусматривает исключения — случаи, когда уведомление РКН не требуется. Например, если оператор обрабатывает данные исключительно без использования средств автоматизации (вручную) или если данные обрабатываются в целях однократного пропуска физического лица на территорию. Поскольку на сайте используется автоматизированный сбор IP и cookies, эти исключения, как правило, неприменимы, и регистрация в РКН становится обязательной, если нет возможности избежать статуса оператора.

Юридически значимым обстоятельством здесь является не просто наличие политики обработки персональных данных, а её содержание и полнота, а также фактический порядок сбора данных. Необходимо оценить: какие именно cookies используются (строго необходимые для работы сайта, аналитические, рекламные, сторонние), собираются ли иные данные (например, через формы обратной связи, подписки, комментарии), а также осуществляется ли передача данных третьим лицам (например, сервисам аналитики, расположенным за пределами РФ). Каждый из этих аспектов порождает дополнительные обязанности оператора — от получения согласия до обеспечения трансграничной передачи данных с соблюдением специальных требований.

Ключевым юридически значимым действием пользователя является предоставление согласия на обработку персональных данных. Закон различает случаи, когда обработка возможна без согласия (например, на основании договора или в целях исполнения закона), и случаи, когда требуется явно выраженное, информированное, конкретное и однозначное согласие (например, для cookies, не являющихся строго необходимыми, или для передачи данных третьим лицам). Пока на сайте не настроен механизм получения такого согласия по каждому типу обработки, существует риск нарушения.

Оценка текущей политики должна быть направлена на выявление того, раскрывает ли она все обязательные сведения, предусмотренные законом: цели обработки, состав собираемых данных, правовые основания, сроки, порядок отзыва согласия, сведения о трансграничной передаче, а также контактные данные оператора. Наличие формальной политики само по себе не снимает обязанности получить согласие.

Таким образом, суть ситуации сводится к необходимости квалифицировать действия владельца сайта как деятельность оператора персональных данных, установить, какая конкретно обработка ведётся, и на этой основе определить, обязательна ли регистрация в РКН или её можно избежать путём полного отказа от сбора идентифицирующих данных или их анонимизации до неузнаваемости. Правовая проблема лежит в плоскости правильного выбора способов сбора данных (с согласием или без), минимизации объёма собираемой информации и адаптации политики обработки под все обнаруженные типы данных и их использование.

Квалификация сбора IP-адресов и файлов cookie как обработки персональных данных основывается на определении, данном в ст. 3 Федерального закона «О персональных данных». IP-адрес, особенно в совокупности с файлами cookie и данными аналитики, может быть отнесен к информации, прямо или косвенно определяющей физическое лицо (например, при привязке к устройству или учетной записи). Таким образом, сбор IP и cookie для целей аналитики является обработкой персональных данных, даже если владелец сайта не намеревается идентифицировать конкретного пользователя.

  1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
    Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 3

Поскольку обработка осуществляется, необходимо законное основание. Согласно ст. 6 Закона, по общему правилу обработка допускается с согласия субъекта персональных данных (п. 1 ч. 1). Сбор IP и cookie для аналитики не является необходимым для исполнения договора с пользователем (например, для предоставления доступа к контенту сайта), если только аналитика не является неотъемлемой частью оказываемой услуги (что маловероятно). Следовательно, без согласия пользователя такая обработка неправомерна, и владельцу сайта необходимо получить согласие в форме, соответствующей ст. 9.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение

Сбор IP-адресов и файлов cookie для аналитики сайта является автоматизированной обработкой персональных данных, что обязывает владельца сайта зарегистрироваться в Роскомнадзоре как оператора. Избежать этой обязанности без полного и необратимого отказа от сбора идентифицирующих сведений невозможно. Текущая политика сайта и отсутствие механизма получения отдельного согласия пользователя на аналитические файлы cookie и трансграничную передачу данных прямо нарушают закон, что влечёт риск административной ответственности.

Рекомендуемые действия

  • Приостановить загрузку всех файлов cookie (кроме строго необходимых для работы сайта) и скриптов сторонней аналитики до момента внедрения законного механизма получения согласия.
  • Разработать и настроить баннер для сбора cookie, который блокирует загрузку аналитических и рекламных трекеров до активного согласия пользователя (например, нажатия кнопки «Принять») и обеспечивает техническую возможность отказаться от них.
  • Провести необратимую анонимизацию IP-адресов пользователей на уровне сервера или веб-аналитики таким образом, чтобы они перестали быть персональными данными, либо полностью отказаться от использования зарубежных сервисов, передающих идентификаторы за пределы РФ.
  • В обоих случаях поручить адвокату подготовить новую политику обработки персональных данных, где будут отдельно и конкретно раскрыты состав собираемых данных, цели обработки, факт и порядок трансграничной передачи и сведения для отзыва согласия.
  • Если принято решение продолжить обработку данных в идентифицируемом виде, направить уведомление о трансграничной передаче в Роскомнадзор и внедрить получение отдельного согласия на такую передачу.