Короткий ответ
Если сайт использует cookies, Яндекс Метрику, пиксели, онлайн-чаты, CRM-виджеты или другие инструменты аналитики, стоит проверить, какие данные собираются, для каких целей, кто их получает и как это отражено в документах сайта. Cookies и метрические данные могут быть связаны с обработкой персональных данных, поэтому на сайте нужны понятные уведомления, политика обработки персональных данных и корректная логика согласий.
Почему cookies важны
Cookies часто воспринимают как чисто техническую вещь: маленькие файлы для работы сайта. Но на практике cookies и похожие технологии могут использоваться для аналитики, рекламы, сохранения настроек, идентификации пользователя, отслеживания действий на сайте и передачи сведений внешним сервисам.
- аналитические cookies;
- рекламные пиксели;
- идентификаторы пользователей;
- сведения о просмотренных страницах и действиях;
- IP-адреса и параметры устройства;
- данные, которые передаются внешним сервисам.
Яндекс Метрика и аналитика
Яндекс Метрика и похожие сервисы помогают понимать поведение пользователей, но для юридической части сайта важно не просто установить счетчик, а описать, что сайт использует аналитику и какие данные могут обрабатываться.
- установлена ли Метрика или другие счетчики;
- используется ли Вебвизор, карта кликов, скроллинг, цели;
- какие данные передаются в аналитический сервис;
- отражено ли это в политике обработки персональных данных;
- есть ли уведомление о cookies и аналитике;
- не установлены ли старые пиксели или скрипты, о которых владелец сайта забыл.
Cookie-уведомление
Cookie-уведомление должно быть не просто декоративной полоской «мы используем cookies». Оно должно помогать пользователю понять, что именно происходит на сайте и где можно узнать подробнее.
- сообщать об использовании cookies и аналитики;
- содержать ссылку на политику обработки персональных данных или cookie-раздел;
- быть заметным до продолжения использования сайта;
- не противоречить фактическим настройкам сайта;
- учитывать рекламные и аналитические скрипты, если они есть.
Политика и согласия
Если сайт собирает заявки через формы, одного cookie-баннера недостаточно. Нужно проверить всю схему обработки данных: формы, согласия, политику, цели обработки, рассылки, рекламу, CRM и внешние сервисы.
- какие данные собираются через сайт;
- для каких целей они используются;
- какие сервисы аналитики и виджеты применяются;
- кому могут передаваться данные;
- как пользователь может направить запрос или отозвать согласие;
- какие меры защиты применяются.
Уведомление Роскомнадзора
Вопрос уведомления Роскомнадзора зависит от конкретной схемы обработки персональных данных. Но если сайт собирает заявки, ведет аналитику, использует CRM, рассылки или внешние сервисы, этот вопрос стоит оценить отдельно. На портале персональных данных Роскомнадзора в реестровых сведениях операторов встречаются категории вроде сведений, собираемых метрическими программами, cookies, IP-адресов и сведений о действиях пользователей на сайте.
Чек-лист сайта с cookies и Метрикой
- Проверить, какие счетчики, пиксели и виджеты установлены на сайте.
- Понять, какие данные они собирают.
- Добавить или обновить cookie-уведомление.
- Проверить политику обработки персональных данных.
- Проверить согласия рядом с формами.
- Разделить обычную заявку и рекламные коммуникации, если они есть.
- Оценить необходимость уведомления Роскомнадзора.
- Проверить, не передаются ли данные в сервисы, о которых не сказано в документах.
- Убрать старые или ненужные скрипты.