152-ФЗ для сайта

Что такое персональные данные по 152-ФЗ

Персональные данные по 152-ФЗ — это любая информация, которая относится к прямо или косвенно определённому человеку. Для сайта это не только ФИО, телефон и email, но и cookie, IP-адрес, ID аналитики, заявки, заказы и сообщения в чате, если по ним можно выделить пользователя.

На практике для сайта важен не один конкретный реквизит, а связка данных: что вы собираете, зачем и можно ли по этому набору выделить пользователя. Поэтому проверять нужно не только формы, но и аналитику, виджеты, CRM и рекламные пиксели.

Прямые и косвенные данные

Прямые данные называют человека без дополнительных действий: ФИО, телефон, email, адрес доставки, номер договора, ссылка на профиль в личном кабинете. Если такая информация попадает в форму, CRM, чат или заявку, сайт уже обрабатывает персональные данные.

Косвенные данные сами по себе могут выглядеть техническими. IP-адрес, cookie, Client ID, device ID, идентификатор сессии или рекламный пиксель становятся юридически значимыми, когда помогают отличить одного посетителя от другого и связать его действия с профилем, заказом или обращением.

Тип данныхПример на сайтеКак оценивать
Контактныеимя, телефон, emailпочти всегда ПДн
Заказ и доставкаадрес, состав заказа, комментарийПДн в связке с покупателем
ТехническиеIP, cookie, ID аналитикисмотреть, можно ли выделить пользователя
Поведенческиепросмотры, клики, корзинариск выше при связке с аккаунтом или email

Cookie и аналитика

Cookie не стоит считать безобидной технической мелочью. Аналитические cookie могут храниться месяцами и отличать конкретного посетителя от остальных. Если сайт использует Яндекс Метрику, рекламные пиксели, сквозную аналитику или виджеты обратного звонка, их нужно описать в политике и согласии.

Безопаснее вести инвентаризацию не по принципу «это же не паспорт», а по вопросу: помогает ли этот идентификатор узнать, что один и тот же человек вернулся, оставил заявку или попал в рекламную аудиторию.

Что обычно забывают владельцы сайтов

  • формы обратного звонка и квизы;
  • онлайн-чаты, где пользователь пишет телефон или email;
  • комментарии к заказу, где покупатель может указать лишние сведения;
  • пиксели рекламных систем и сквозной аналитики;
  • серверные логи, если они связаны с действиями пользователя.

Если данные попадают не только в форму сайта, но и дальше в CRM, Telegram, email, коллтрекинг или рекламную систему, это тоже часть обработки.

Мини-чек-лист для сайта

  • Выпишите все формы, виджеты, чаты, cookie и трекеры.
  • Отметьте, где есть имя, телефон, email, адрес или ID пользователя.
  • Проверьте, описаны ли эти данные в политике конфиденциальности.
  • Проверьте, есть ли согласие там, где оно нужно: формы, рассылка, аналитические cookie.
  • Повторяйте проверку после установки нового виджета или рекламного пикселя.

Коротко

Email считается персональными данными?

Да, если email относится к конкретному человеку или помогает связаться с ним. Даже корпоративный email может быть персональными данными, если в нём есть имя или он используется для заявки конкретного сотрудника.

IP-адрес всегда персональные данные?

Его нужно оценивать по контексту. Если IP или другой технический идентификатор помогает выделить пользователя и связать его с действиями на сайте, риск обработки ПДн есть.

Практический следующий шаг

Проверьте, какие данные реально собирает сайт

Бесплатное превью покажет формы, cookie, виджеты и базовые риски. Для регулярного контроля можно поставить сайт на месячный мониторинг 152-ФЗ и добавить проверку 168-ФЗ.