SEO-приватность: разбор Политики ПД, оферты и cookies на примерах

Дмитрий Шеин

Юрист, магистр права, специалист в сфере privacy, член RPPA.,
Аудит сайтов и приложений

В первой статье я раскрыл требования, которые предъявляются к окнам сбора персональных данных на сайте (окно регистрации, окно обратной связи и пр.). Одним из таких требований является размещение Политики в отношении обработки персональных данных (Политика)1.

В этой статье я разберу ключевые моменты, связанные с этим документом, а также другими документами, которые касаются сбора и обработки персональных данных. Затем я кратко расскажу об оформлении куки-файлов и рекомендательных технологий на сайте.

1. Политика в отношении обработки персональных данных

    Поскольку сам ФЗ-152 не содержит готовой структуры документа, Роскомнадзор выпустил официальные разъяснения о его содержании2. Ниже таблица с разъяснениями по каждому требуемому пункту Политики:

    Название раздела

    Описание содержания

    Общие положения

    Это вводная часть. Здесь вы четко пишете, какая именно компания или ИП владеет сайтом (с реквизитами и контактами), и даете определения терминам. Пользователь должен сразу понять, кому он доверяет свои данные. Также здесь фиксируются базовые права пользователя (например, право знать, что с его данными делают).

    Цели сбора данных

    Самый опасный пункт для штрафов. Нельзя собирать данные «про запас». Вы должны четко объяснить причину сбора для каждого действия. Например: email нужен для отправки писем, телефон – для подтверждения заказа, а файлы cookies – для корректной работы личного кабинета.

    Правовые основания

    Здесь вы объясняете, почему вообще имеете право обрабатывать данные. Роскомнадзор отдельно подчеркивает: сам Закон № 152-ФЗ не является основанием! Основанием могут быть: Гражданский кодекс РФ, устав вашей компании, договор-оферта, который пользователь принимает при покупке, или его прямое согласие (галочка на сайте, о которой шла речь в прошлой статье).

    Объем данных и кто их дает

    Перечень данных должен строго соответствовать целям. Если для доставки товара вам нужен адрес и телефон, вы не имеете права требовать паспортные данные или девичью фамилию матери. Также нужно разделить людей на категории: например, «посетители сайта», «клиенты» и «соискатели». Для каждой группы – свой закрытый список данных.

    Порядок и условия обработки

    В этом блоке вы описываете «жизненный цикл» данных: как они записываются, где хранятся и когда уничтожаются. Здесь же обязательно указываются кому, как и в каком объеме будут передаваться персональные данные.

    Критически важно: здесь обязательно должно быть прописано, что все базы данных находятся на территории РФ (требование о локализации). Если вы передаете данные третьим лицам (например, службе доставки СДЭК или сервису рассылок), вы обязаны указать их названия и адреса.

    Изменение, исправление и удаление данных

    Это инструкция для пользователя. Вы должны четко прописать, куда человек может обратиться (например, на какой email написать), если он хочет изменить неверные данные, отозвать свое согласие или полностью удалить себя из вашей базы. Компания обязана дать ответ и выполнить требование в установленные законом сроки.


    Теперь определимся, как правильно назвать документ, чтобы он не вызвал вопросов у Роскомнадзора. По закону вы обязаны опубликовать документ, «определяющий политику в отношении обработки персональных данных».

    Широко распространены западное название «Privacy Policy» или привычное «Политика конфиденциальности», однако всё это коммерческие термины, а не юридические. Если инспектор Роскомнадзора зайдет на сайт и увидит только иностранный заголовок, у него могут возникнуть вопросы. Поэтому юридический текст должен носить название «Политика [Название вашей компании/ИП] в отношении обработки персональных данных».

    На скриншоте видно, что ссылка на Политику конфиденциальности ведет на Пользовательское соглашение. Объединение любых документов с Политикой недопустимо

    Однако такой текст совершенно труден для восприятия для обычного пользователя. Поэтому крупные компании, особенно с выходом на международные рынки, часто публикуют пользовательскую версию этого документа, написанную простым и понятным языком. Посмотрите на Wildberries, Яндекс или Apple. Они не заставляют пользователя продираться сквозь дебри юридических терминов. Они делают интерактивную и «человечную» Privacy Policy: с картинками, примерами и простыми объяснениями. К слову, этот документ вы можете назвать как захотите.

    Скриншот с сайта Wildberries. Интерактивное погружение в процессы обработки ПД с простым объяснением сложных вещей

    Но помните о безопасности: «понятный» текст для людей – это отлично для конверсии и доверия. Но он не отменяет обязанность иметь жесткий официальный документ для проверяющих органов. И путать их нельзя!

    На скриншоте видно сразу два документа: Политика конфиденциальности и Политика в отношении обработки ПД

    Вот как реализовать это на своем сайте:

    Юридический документ (обязательно): сделать страницу на сайте с подробным юридическим текстом (см. таблицу выше). Обеспечить доступ к ней на каждой странице сайта. Проще всего это сделать, поместив ссылку на документ в «подвал» сайта, единый для всех страниц. Если вы уже разместили Политику, то проверьте ее актуальность для тех процессов, которые функционируют на вашем сайте сейчас. Политика должна поддерживаться в актуальном состоянии.

    Отсутствует ссылка на Политику

    Пользовательский документ (опционально): сделать красивую посадочную страницу (Landing Page) или раздел сайта о приватности для пользователей, наполнив его понятным текстом и интерактивными элементами. Так вы угодите и клиентам, и проверяющим органам.

    Теперь можете проверить свои навыки подготовки Политики:

    • Сможете ли вы отличить необходимость применения законного интереса от согласия, как основания обработки ПД?
    • Достаточно ли грамотно вы можете прописать каждую цель, снабдив ее списком из собираемых персональных данных?
    • Насколько полно вы понимаете и можете описать жизненный цикл персональных данных?

    К сожалению, у большинства SEO-специалистов могут возникнуть трудности при составлении этого фундаментального документа. Поэтому без помощи специализированного юриста корректно составить такой документ будет практически невозможно.

    Для чего же тогда я так подробно всё это описал? Для того, чтобы вы могли отличить хороший документ от плохого, понять, как им пользоваться и в каких случаях он устарел и его нужно заменить.

    Обращаясь к специалисту, вы в любом случае доверяетесь его компетенции, однако вы можете контролировать процесс, чтобы понять, когда что-то идет не так. На приеме у стоматолога хорошо понимать, какие именно манипуляции он планирует с вами провести, чтобы не лишиться здоровых зубов. Для этого нужно приблизительно понимать, что и зачем он делает. Разумеется, такая информация не сделает из вас стоматолога, но позволит обеспечить качество услуги и безопасность. Обращаясь к юристу за услугой составления документа, вы уже будете понимать, что именно ждать в конце, и это позволит вам снизить риски.

    Заимствовать Политику или Согласие у других сайтов бессмысленно, равно как использовать общий шаблон. Эти документы сугубо индивидуальны и заполнить их «как у всех» не получится.

    2. Не Политикой единой

      К сожалению, составления и опубликования Политики зачастую недостаточно для закрытия всех требований закона, потому что Политика – это декларативный документ. Как правило, для сбора персональных данных вам требуется получить согласие пользователя (за исключением случаев, когда это требуется по закону, во исполнение договора или по иному основанию).

      Скриншот формы сбора ПД для обратной связи. Обратите внимание, что Политика конфиденциальности и Согласие на обработку ПД оформлены как две разных ссылки на два разных документа

      Согласие на обработку персональных данных пользователя не может быть частью Политики, а согласие с Политикой не означает автоматическое согласие на обработку. К сожалению, очень часто многие сайты помещают согласие на сбор персональных данных прямо в свою Политику или Оферту.

      В примере выше в разделе 3 Политики встроено Согласие. Разумеется, такое согласие не валидно

      Требования к содержанию согласия прописаны в законе3. Как и Политика, Согласие должно быть размещено на отдельной странице сайта. Именно к этой странице должна ввести ссылка напротив чек-бокса, о котором шла речь в предыдущей статье.

      Согласие на распространение данных является отдельным видом согласия. Его нужно оформить и обеспечить дачу согласия на него отдельно.

      3. Оферта

        Если совсем просто: оферта – это ваше предложение заключить договор на определенных условиях. Когда пользователь совершает целевое действие (нажимает кнопку «Купить» или оплачивает заказ), он совершает акцепт – то есть соглашается на ваши условия. С этого момента между вами и клиентом заключен полноценный юридический договор.

        Оферта нужна любому сайту, который что-то продает или предоставляет платный/бесплатный доступ к сервису (интернет-магазины, онлайн-курсы, SaaS-платформы). Она защищает вас от потребительского экстремизма, регулирует правила возврата денег и доставки. Если ваш сайт к таким не относится, этот раздел статьи можно пропустить.

        Ключевые ошибки:

        • Ошибка №1: Оферта НЕ заменяет Политику конфиденциальности.
        • Ошибка №2: нельзя «зашивать» согласие на маркетинг внутрь оферты.

        Почему же юристы настаивают на правильной связке оферты и персональных данных? Секрет кроется в правовом основании.

        В ФЗ-152 есть чудесный пункт: вы имеете право обрабатывать персональные данные человека без его отдельного согласия, если эта обработка необходима для исполнения договора, стороной которого он является.

        А так как принятая оферта – это и есть договор, то для выполнения заказа (например, чтобы привезти товар или открыть доступ к личному кабинету курса) вам не нужно брать у пользователя отдельную кучу согласий. Вы берете данные на основании договора.

        Чтобы спать спокойно, добавьте в свою публичную оферту три коротких пункта:

        • Пункт о целях выполнения договора: четко пропишите, что Покупатель передает Продавцу свои данные (ФИО, адрес, телефон) исключительно ради исполнения обязательств по настоящему Договору (доставка товара, информирование о статусе заказа, техническая поддержка).
        • Пункт о привлечении третьих лиц (служб доставки): если вы отправляете товар через СДЭК, Почту России или Boxberry, напишите в оферте: «Для исполнения договора Продавец имеет право передавать необходимый минимум данных (ФИО, телефон, адрес) транспортным компаниям». В таком случае это будет законное поручение обработки данных в рамках договора.
        • Ссылка на Политику: добавьте строчку: «Во всем остальном, что не урегулировано настоящим Договором, стороны руководствуются Политикой в отношении обработки персональных данных, размещенной по адресу [ссылка]».

        Оферта активируется только в момент клика по кнопке согласия или оплаты, а данные пользователя начинают собираться метриками сайта (например, Яндекс Метрика) с первой секунды захода на страницу. Именно поэтому Политика нужна всегда, а Оферта – только там, где есть сделка.

        О правильном оформлении оферты в целом, ее роли в спорах с клиентами и прочих лайхаках я здесь расписывать не буду. Если вам это интересно, то напишите об этом в комментариях под этой статьей.

        4. Cookies-файлы – тоже ПД

          Многие SEO-специалисты до сих пор считают cookies «техническими файлами», не связанными с ПД, что создает риски для штрафов. Давайте разберемся, что это с точки зрения закона о ПД.

          Cookies (англ. «печенье») – это небольшие файлы, которые создаются и сохраняются браузером при посещении сайтов в Интернете. Они формируют «цифровой след» пользователя. Нужно уточнить, что сookies бывают разных видов:

          • необходимые cookies – они обеспечивают надлежащую работу сервисов сайта, поэтому без них обойтись невозможно;

          • функциональные cookies – сохраняют ваши предпочтения в отношении настроек на сайте;

          • аналитические cookies – сохраняют агрегированную информацию об использовании сайта для дальнейшего анализа.

          Поскольку cookies являются персональными данными (хотя в юридическом сообществе ведутся дебаты на этот счет), вам необходимо получить разрешение на их сбор и обработку. Для этого при входе на сайте необходимо оповестить пользователя, что вы собираете cookies, дать ссылку на документ, в котором прописан порядок обработки cookies, а также обязательно предусмотреть возможность согласиться со всеми cookies, выбрать желаемые из списка или отказаться от всех, кроме необходимых.

          К сожалению, последний пункт очень часто бывает упущен, из-за чего вся форма согласия на обработку cookies от пользователя становится недействительной, а значит и все действия с cookies становятся противозаконными.

          На скриншоте выше вы можете видеть, что ознакомление пользователя со сбором cookies произошло, есть ссылка на Политику, которая регулирует этот процесс, однако предусмотрена лишь одна кнопка «ОК», которая лишает пользователя права выбора.

          Конечно, пользователь может не нажимать на кнопку, однако это ограничивает его работу на сайте. Такая форма будет считаться недействительной, так как не доказывает волю пользователя на дачу такого согласия (вы буквально вынудили его дать).

          Таблица cookies-файлов сессии

          Однако хуже другое. Открыв панель разработчика через нажатие кнопки F12 и найдя хранилище cookies на сайте, я увидел, что сайт уже собрал их, хотя я не нажал на кнопку «ОК». То есть сам баннер фиктивный.

          Как указано выше, часть cookies необходимы для работы сайта и их сбор оправдан. Однако собираются и аналитические, и трекинговые данные. Например, advcake_session_id и advcake_track_id нужны только для того, чтобы зафиксировать, кому из рекламных партнеров компания должна заплатить за мой визит. А carrotquest_device_guid выдает моему устройству глобальный маркер device_guid на год вперед, чтобы склеить мои будущие визиты с моей же личностью, когда я заполню какую-нибудь форму. Эти cookies являются маркетинговыми, а не обязательными.

          Таблица cookies-файлов сессии

          Теперь прошу обратить внимание на положительный пример того, как следует оформлять cookies-баннер на сайте.

          Скриншот с сайта Philips

          Присутствует кнопка «отклонить все» (в идеале, правильно указывать «все, кроме необходимых» или «опциональные» cookies – это не вводит в заблуждение пользователя, который может подумать, что его cookies не собираются вовсе, хотя это не так), а также кнопка «настроить параметры», нажав на которую пользователь может сам выбрать, какие cookies он хочет разрешить собирать (см. скриншот ниже).

          Скриншот с сайта Philips

          Если вам интересно узнать о том, как правильно оформить сбор cookies в документах на сайте, а не только технически, то напишите, пожалуйста, об этом в комментариях, и я расскажу об этом в следующей статье.

          Также в следующей статье я раскрою, что такое «рекомендательные технологии», как их правильно оформить на сайте и как правильно ознакомить с ними пользователя. И рассмотрим риски интеграции различных сервисов (в т.ч. зарубежных) на сайт, включая Call tracking, reCAPTCHA, Google Fonts, Iframe и пр.

          Если я что-то упустил, то напишите, пожалуйста, об этом в комментариях к этой статье, чтобы я не забыл добавить это в следующую статью.

          Чек-лист по этой статье:

           [ ] На вашем сайте размещен официальный документ, определяющий вашу политику в отношении обработки персональных данных.

           [ ] Документ содержит все обязательные разделы (Цели, Основания, Объем данных, Порядок обработки, Инструкции по удалению), а объем собираемых данных строго соответствует целям.

           [ ] В Политике явно прописано, что все базы данных пользователей находятся на территории РФ. И это положение соответствует действительности.

           [ ] Ссылка на Политику находится в «подвале» (footer) и легко доступна с любой страницы сайта.

           [ ] Согласие на обработку ПД существует как отдельный документ/действие и не встроено по умолчанию внутрь Политики или Оферты.

           [ ] Согласие на распространение ПД (для публикации фото/отзывов) и согласие на получение рекламных рассылок оформлены как отдельные, самостоятельные документы.

           [ ] Если на сайте есть продажи, в Оферту добавлены пункты об обработке ПД.

           [ ] Баннер согласия на сбор файлов cookies содержит кнопки «Принять все», «Отклонить все» (или опциональные) и «Настроить», предоставляя пользователю реальный выбор.

           [ ] Аналитические (Яндекс Метрика, Google Analytics) и маркетинговые cookies не собираются сайтом до того момента, пока пользователь не нажмет кнопку явного согласия.

          Читайте также:

          SEO-приватность: самоанализ сайта и аудит форм сбора


          1 п. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 24.06.2025) «О персональных данных».

          2 Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных» // https://www.consultant.ru/document/cons_doc_LAW_221615/

          3 п. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 24.06.2025) «О персональных данных».

          (Голосов: 3, Рейтинг: 5)

          Теги: ЗаконыПерсональные данныеКонфиденциальность