SEO-приватность: разбор Политики ПД, оферты и cookies на примерах

В первой статье я раскрыл требования, которые предъявляются к окнам сбора индивидуальных данных на веб-сайте (окно регистрации, окно оборотной связи и пр.). Одним из таковых требований является размещение Политики в отношении обработки индивидуальных данных (Политика)1.

В данной статье я разберу главные моменты, связанные с сиим документом, также иными документами, которые касаются сбора и обработки индивидуальных данных. Потом я коротко расскажу о оформлении куки-файлов и рекомендательных технологий на веб-сайте.

1. Политика в отношении обработки индивидуальных данных

    Так как сам ФЗ-152 не содержит готовой структуры документа, Роскомнадзор выпустил официальные объяснения о его содержании2. Ниже таблица с разъяснениями по любому требуемому пт Политики:

    Заглавие раздела

    Описание содержания

    Общие положения

    Это вводная часть. Тут вы верно пишете, какая конкретно компания либо ИП обладает веб-сайтом (с реквизитами и контактами), и даете определения терминам. Юзер должен сходу осознать, кому он доверяет свои данные. Также тут фиксируются базисные права юзера (к примеру, право знать, что с его данными делают).

    Цели сбора данных

    Самый страшный пункт для штрафов. Недозволено собирать данные «про припас». Вы должны верно разъяснить причину сбора для всякого деяния. К примеру: email нужен для отправки писем, телефон – для доказательства заказа, а файлы cookies – для корректной работы личного кабинета.

    Правовые основания

    Тут вы объясняете, почему совершенно имеете право обрабатывать данные. Роскомнадзор раздельно подчеркивает: сам Закон № 152-ФЗ не является основанием! Основанием могут быть: Штатский кодекс РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина), утомившись вашей компании, договор-оферта, который юзер воспринимает при покупке, либо его прямое согласие (галочка на веб-сайте, о которой шла речь в прошлой статье).

    Размер данных и кто их дает

    Список данных должен строго соответствовать целям. Если для доставки продукта для вас нужен адресок и телефон, вы не имеете права добиваться паспортные данные либо девичью фамилию мамы. Также необходимо поделить людей на группы: к примеру, «гости веб-сайта», «клиенты» и «соискатели». Для каждой группы – собственный закрытый перечень данных.

    Порядок и условия обработки

    В этом блоке вы описываете «актуальный цикл» данных: как они записываются, где хранятся и когда уничтожаются. Тут же непременно указываются кому, как и в котором объеме будут передаваться индивидуальные данные.

    Критически принципиально: тут непременно обязано быть прописано, что все базы данных находятся на местности РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина) (требование о локализации). Если вы передаете данные третьим лицам (к примеру, службе доставки СДЭК либо сервису рассылок), вы должны указать их наименования и адреса.

    Изменение, исправление и удаление данных

    Это {инструкция} для юзера. Вы должны верно прописать, куда человек может обратиться (к примеру, на какой email написать), если он желает поменять неправильные данные, отозвать свое согласие либо стопроцентно удалить себя из вашей базы. Компания должна отдать ответ и выполнить требование в установленные законом сроки.

    Сейчас определимся, как верно именовать документ, чтоб он не вызвал вопросцев у Роскомнадзора. По закону вы должны опубликовать документ, «определяющий политику в отношении обработки индивидуальных данных».

    Обширно всераспространены западное заглавие «Privacy Policy» либо обычное «Политика конфиденциальности», но всё это коммерческие определения, а не юридические. Если инспектор Роскомнадзора зайдет на веб-сайт и увидит лишь зарубежный заголовок, у него могут появиться вопросцы. Потому юридический текст должен носить заглавие «Политика [Название вашей компании/ИП] в отношении обработки индивидуальных данных».

    На снимке экрана видно, что ссылка на Политику конфиденциальности ведет на Пользовательское соглашение. Объединение всех документов с Политикой неприемлимо

    Но таковой текст совсем труден для восприятия для обыденного юзера. Потому большие компании, в особенности с выходом на международные рынки, нередко публикуют пользовательскую версию этого документа, написанную обычным и понятным языком. Поглядите на Wildberries, Yandex либо Apple. Они не принуждают юзера продираться через дебри юридических определений. Они делают интерактивную и «гуманную» Privacy Policy: с картинами, примерами и ординарными объяснениями. К слову, этот документ вы сможете именовать как возжелаете.

    Снимок экрана с веб-сайта Wildberries. Интерактивное погружение в процессы обработки ПД с обычным разъяснением сложных вещей

    Но помните о сохранности: «понятный» текст для людей – это непревзойденно для конверсии и доверия. Но он не отменяет обязанность иметь твердый официальный документ для проверяющих органов. И путать их недозволено!

    На снимке экрана видно сходу два документа: Политика конфиденциальности и Политика в отношении обработки ПД

    Ах так воплотить это на собственном веб-сайте:

    Юридический документ (непременно): создать страничку на веб-сайте с подробным юридическим текстом (см. таблицу выше). Обеспечить доступ к ней на каждой страничке веб-сайта. Проще всего это создать, поместив ссылку на документ в «подвал» веб-сайта, единый для всех страничек. Если вы уже расположили Политику, то проверьте ее актуальность для тех действий, которые работают на вашем веб-сайте на данный момент. Политика обязана поддерживаться в животрепещущем состоянии.

    Отсутствует ссылка на Политику

    Пользовательский документ (опционально): создать прекрасную посадочную страничку (Landing Page) либо раздел веб-сайта о приватности для юзеров, наполнив его понятным текстом и интерактивными элементами. Так вы угодите и клиентам, и проверяющим органам.

    Сейчас сможете проверить свои способности подготовки Политики:

    • Можете ли вы отличить необходимость внедрения легитимного энтузиазма от согласия, как основания обработки ПД?
    • Довольно ли хорошо вы сможете прописать каждую цель, снабдив ее перечнем из собираемых индивидуальных данных?
    • Как много вы осознаете и сможете обрисовать актуальный цикл индивидуальных данных?

    К огорчению, у большинства SEO-специалистов могут появиться трудности при составлении этого фундаментального документа. Потому без помощи спец юриста корректно составить таковой документ будет фактически нереально.

    Для что же тогда я так тщательно всё это обрисовал? Для того, чтоб вы могли отличить неплохой документ от отвратительного, осознать, как им воспользоваться и в которых вариантах он устарел и его необходимо поменять.

    Обращаясь к спецу, вы в любом случае доверяетесь его компетенции, но вы сможете надзирать процесс, чтоб осознать, когда что-то идет не так. На приеме у дантиста отлично осознавать, какие конкретно манипуляции он планирует с вами провести, чтоб не лишиться здоровых зубов. Для этого необходимо примерно осознавать, что и для чего он делает. Очевидно, таковая информация не сделает из вас дантиста, но дозволит обеспечить свойство услуги и сохранность. Обращаясь к юристу за услугой составления документа, вы уже будете осознавать, что конкретно ожидать в конце, и это дозволит для вас понизить опасности.

    Заимствовать Политику либо Согласие у остальных веб-сайтов глупо, равно как применять общий шаблон. Эти документы чисто персональны и заполнить их «как у всех» не получится.

    2. Не Политикой единой

      К огорчению, составления и опубликования Политики часто недостаточно для закрытия всех требований закона, поэтому что Политика – это декларативный документ. Обычно, для сбора индивидуальных данных для вас требуется получить согласие юзера (кроме случаев, когда это требуется по закону, во выполнение контракта либо по иному основанию).

      Снимок экрана формы сбора ПД для оборотной связи. Направьте внимание, что Политика конфиденциальности и Согласие на обработку ПД оформлены как две различных ссылки на два различных документа

      Согласие на обработку индивидуальных данных юзера не может быть частью Политики, а согласие с Политикой не значит автоматическое согласие на обработку. К огорчению, весьма нередко почти все веб-сайты помещают согласие на сбор индивидуальных данных прямо в свою Политику либо Оферту.

      В примере выше в разделе 3 Политики встроено Согласие. Очевидно, такое согласие не валидно

      Требования к содержанию согласия прописаны в законе3. Как и Политика, Согласие обязано быть расположено на отдельной страничке веб-сайта. Конкретно к данной страничке обязана ввести ссылка напротив чек-бокса, о котором шла речь в предшествующей статье.

      Согласие на распространение данных является отдельным видом согласия. Его необходимо оформить и обеспечить дачу согласия на него раздельно.

      3. Оферта

        Если совершенно просто: оферта – это ваше предложение заключить контракт на определенных критериях. Когда юзер совершает целевое действие (надавливает клавишу «Приобрести» либо оплачивает заказ), он совершает акцепт – другими словами соглашается на ваши условия. Отныне меж вами и клиентом заключен настоящий юридический контракт.

        Оферта нужна хоть какому веб-сайту, который что-то реализует либо предоставляет платный/бесплатный доступ к сервису (интернет-магазины, онлайн-курсы, SaaS-платформы). Она защищает вас от потребительского экстремизма, регулирует правила возврата средств и доставки. Если ваш веб-сайт к таковым не относится, этот раздел статьи можно пропустить.

        Главные ошибки:

        • Ошибка №1: Оферта НЕ подменяет Политику конфиденциальности.
        • Ошибка №2: недозволено «зашивать» согласие на маркетинг вовнутрь оферты.

        Почему же юристы настаивают на правильной связке оферты и индивидуальных данных? Секрет кроется в правовом основании.

        В ФЗ-152 есть расчудесный пункт: вы имеете право обрабатывать индивидуальные данные человека без его отдельного согласия, если эта обработка нужна для выполнения контракта, стороной которого он является.

        А потому что принятая оферта – это и есть контракт, то для выполнения заказа (к примеру, чтоб привезти продукт либо открыть доступ к личному кабинету курса) для вас не надо брать у юзера отдельную кучу согласий. Вы берете данные на основании контракта.

        Чтоб спать тихо, добавьте в свою публичную оферту три маленьких пт:

        • Пункт о целях выполнения контракта: верно пропишите, что Клиент передает Торговцу свои данные (ФИО, адресок, телефон) только ради выполнения обязанностей по истинному Договору (доставка продукта, информирование о статусе заказа, техно поддержка).
        • Пункт о вербовании третьих лиц (служб доставки): если вы отправляете продукт через СДЭК, Почту Рф либо Boxberry, напишите в оферте: «Для выполнения контракта Торговец имеет право передавать нужный минимум данных (ФИО, телефон, адресок) транспортным компаниям». В таком случае это будет легитимное поручение обработки данных в рамках контракта.
        • Ссылка на Политику: добавьте строку: «Во всем остальном, что не урегулировано реальным Контрактом, стороны руководствуются Политикой в отношении обработки индивидуальных данных, размещенной по адресу [ссылка]».

        Оферта активизируется лишь в момент клика по кнопочке согласия либо оплаты, а данные юзера начинают собираться метриками веб-сайта (к примеру, Yandex Метрика) с первой секунды захода на страничку. Конкретно потому Политика нужна постоянно, а Оферта – лишь там, где есть сделка.

        О правильном оформлении оферты в целом, ее роли в спорах с клиентами и иных лайхаках я тут расписывать не буду. Если для вас это любопытно, то напишите о этом в комментах под данной статьей.

        4. Cookies-файлы – тоже ПД

          Почти все SEO-специалисты до сего времени считают cookies «техническими файлами», не связанными с ПД, что делает опасности для штрафов. Давайте разберемся, что это исходя из убеждений закона о ПД.

          Cookies (англ. «печенье») – это маленькие файлы, которые создаются и сохраняются браузером при посещении веб-сайтов в Вебе. Они сформировывают «цифровой след» юзера. Необходимо уточнить, что сookies бывают различных видов:

          • нужные cookies – они обеспечивают соответствующую работу сервисов веб-сайта, потому без их обойтись нереально;

          • многофункциональные cookies – сохраняют ваши предпочтения в отношении опций на веб-сайте;

          • аналитические cookies – сохраняют агрегированную информацию о использовании веб-сайта для предстоящего анализа.

          Так как cookies являются индивидуальными данными (хотя в юридическом обществе ведутся дебаты на этот счет), для вас нужно получить разрешение на их сбор и обработку. Для этого при входе на веб-сайте нужно оповестить юзера, что вы собираете cookies, отдать ссылку на документ, в каком прописан порядок обработки cookies, также непременно предугадать возможность согласиться со всеми cookies, избрать желаемые из перечня либо отрешиться от всех, не считая нужных.

          К огорчению, крайний пункт весьма нередко бывает упущен, из-за что вся форма согласия на обработку cookies от юзера становится недействительной, а означает и все деяния с cookies стают противозаконными.

          На снимке экрана выше вы сможете созидать, что ознакомление юзера со сбором cookies вышло, есть ссылка на Политику, которая регулирует этот процесс, но предусмотрена только одна клавиша «ОК», которая лишает юзера права выбора.

          Естественно, юзер может не жать на клавишу, но это ограничивает его работу на веб-сайте. Таковая форма будет считаться недействительной, потому что не обосновывает волю юзера на дачу такового согласия (вы практически вынудили его отдать).

          Таблица cookies-файлов сессии

          Но ужаснее другое. Открыв панель разраба через нажатие клавиши F12 и обнаружив хранилище cookies на веб-сайте, я узрел, что веб-сайт уже собрал их, хотя я не надавил на клавишу «ОК». Другими словами сам баннер фиктивный.

          Как обозначено выше, часть cookies нужны для работы веб-сайта и их сбор оправдан. Но собираются и аналитические, и трекинговые данные. К примеру, advcake_session_id и advcake_track_id необходимы лишь для того, чтоб зафиксировать, кому из маркетинговых партнеров компания обязана заплатить за мой визит. А carrotquest_device_guid выдает моему устройству глобальный маркер device_guid на год вперед, чтоб склеить мои будущие визиты с моей же личностью, когда я заполню какую-нибудь форму. Эти cookies являются рекламными, а не неотклонимыми.

          Таблица cookies-файлов сессии

          Сейчас прошу направить внимание на положительный пример того, как надо оформлять cookies-баннер на веб-сайте.

          Снимок экрана с веб-сайта Philips

          Находится клавиша «отклонить все» (в эталоне, верно указывать «все, не считая нужных» либо «опциональные» cookies – это не вводит в заблуждение юзера, который может пошевелить мозгами, что его cookies не собираются совсем, хотя это не так), также клавиша «настроить характеристики», нажав на которую юзер может сам избрать, какие cookies он желает разрешить собирать (см. снимок экрана ниже).

          Снимок экрана с веб-сайта Philips

          Если для вас любопытно выяснить о том, как верно оформить сбор cookies в документах на веб-сайте, а не только лишь на техническом уровне, то напишите, пожалуйста, о этом в комментах, и я расскажу о этом в последующей статье.

          Также в последующей статье я раскрою, что такое «рекомендательные технологии», как их верно оформить на веб-сайте и как верно ознакомить с ними юзера. И разглядим опасности интеграции разных сервисов (в т.ч. забугорных) на веб-сайт, включая Call tracking, reCAPTCHA, Гугл Fonts, Iframe и пр.

          Если я что-то упустил, то напишите, пожалуйста, о этом в комментах к данной статье, чтоб я не запамятовал добавить это в последующую статью.

          Чек-лист по данной статье:

           [ ] На вашем веб-сайте расположен официальный документ, определяющий вашу политику в отношении обработки индивидуальных данных.

           [ ] Документ содержит все неотклонимые разделы (Цели, Основания, Размер данных, Порядок обработки, Аннотации по удалению), а размер собираемых данных строго соответствует целям.

           [ ] В Политике очевидно прописано, что все базы данных юзеров находятся на местности РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина). И это положение соответствует реальности.

           [ ] Ссылка на Политику находится в «подвале» (footer) и просто доступна с хоть какой странички веб-сайта.

           [ ] Согласие на обработку ПД существует как отдельный документ/действие и не встроено по дефлоту вовнутрь Политики либо Оферты.

           [ ] Согласие на распространение ПД (для публикации фото/отзывов) и согласие на получение маркетинговых рассылок оформлены как отдельные, самостоятельные документы.

           [ ] Если на веб-сайте есть реализации, в Оферту добавлены пункты о обработке ПД.

           [ ] Баннер согласия на сбор файлов cookies содержит клавиши «Принять все», «Отклонить все» (либо опциональные) и «Настроить», предоставляя юзеру настоящий выбор.

           [ ] Аналитические (Yandex Метрика, Гугл Analytics) и рекламные cookies не собираются веб-сайтом до того момента, пока юзер не нажмет клавишу очевидного согласия.

          Читайте также:

          SEO-приватность: самоанализ веб-сайта и аудит форм сбора

          1 п. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 24.06.2025) «О индивидуальных данных».

          2 Советы по составлению документа, определяющего политику оператора в отношении обработки индивидуальных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ «О индивидуальных данных» // https://www.consultant.ru/document/cons_doc_LAW_221615/

          3 п. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 24.06.2025) «О индивидуальных данных».

          Добавить комментарий

          Ваш адрес email не будет опубликован. Обязательные поля помечены *