Что такое персональные данные по 152-ФЗ
Персональные данные по 152-ФЗ — это любая информация, которая относится к прямо или косвенно определённому человеку. Для сайта это не только ФИО, телефон и email, но и cookie, IP-адрес, ID аналитики, заявки, заказы и сообщения в чате, если по ним можно выделить пользователя.
На практике для сайта важен не один конкретный реквизит, а связка данных: что вы собираете, зачем и можно ли по этому набору выделить пользователя. Поэтому проверять нужно не только формы, но и аналитику, виджеты, CRM и рекламные пиксели.
Прямые и косвенные данные
Прямые данные называют человека без дополнительных действий: ФИО, телефон, email, адрес доставки, номер договора, ссылка на профиль в личном кабинете. Если такая информация попадает в форму, CRM, чат или заявку, сайт уже обрабатывает персональные данные.
Косвенные данные сами по себе могут выглядеть техническими. IP-адрес, cookie, Client ID, device ID, идентификатор сессии или рекламный пиксель становятся юридически значимыми, когда помогают отличить одного посетителя от другого и связать его действия с профилем, заказом или обращением.
| Тип данных | Пример на сайте | Как оценивать |
|---|---|---|
| Контактные | имя, телефон, email | почти всегда ПДн |
| Заказ и доставка | адрес, состав заказа, комментарий | ПДн в связке с покупателем |
| Технические | IP, cookie, ID аналитики | смотреть, можно ли выделить пользователя |
| Поведенческие | просмотры, клики, корзина | риск выше при связке с аккаунтом или email |
Cookie и аналитика
Cookie не стоит считать безобидной технической мелочью. Аналитические cookie могут храниться месяцами и отличать конкретного посетителя от остальных. Если сайт использует Яндекс Метрику, рекламные пиксели, сквозную аналитику или виджеты обратного звонка, их нужно описать в политике и согласии.
Безопаснее вести инвентаризацию не по принципу «это же не паспорт», а по вопросу: помогает ли этот идентификатор узнать, что один и тот же человек вернулся, оставил заявку или попал в рекламную аудиторию.
Что обычно забывают владельцы сайтов
- формы обратного звонка и квизы;
- онлайн-чаты, где пользователь пишет телефон или email;
- комментарии к заказу, где покупатель может указать лишние сведения;
- пиксели рекламных систем и сквозной аналитики;
- серверные логи, если они связаны с действиями пользователя.
Если данные попадают не только в форму сайта, но и дальше в CRM, Telegram, email, коллтрекинг или рекламную систему, это тоже часть обработки.
Мини-чек-лист для сайта
- Выпишите все формы, виджеты, чаты, cookie и трекеры.
- Отметьте, где есть имя, телефон, email, адрес или ID пользователя.
- Проверьте, описаны ли эти данные в политике конфиденциальности.
- Проверьте, есть ли согласие там, где оно нужно: формы, рассылка, аналитические cookie.
- Повторяйте проверку после установки нового виджета или рекламного пикселя.
Коротко
Email считается персональными данными?
Да, если email относится к конкретному человеку или помогает связаться с ним. Даже корпоративный email может быть персональными данными, если в нём есть имя или он используется для заявки конкретного сотрудника.
IP-адрес всегда персональные данные?
Его нужно оценивать по контексту. Если IP или другой технический идентификатор помогает выделить пользователя и связать его с действиями на сайте, риск обработки ПДн есть.
Практический следующий шаг
Проверьте, какие данные реально собирает сайт
Бесплатное превью покажет формы, cookie, виджеты и базовые риски. Для регулярного контроля можно поставить сайт на месячный мониторинг 152-ФЗ и добавить проверку 168-ФЗ.