Какие персональные данные собирает сайт?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор при проверках сайтов исходит из того, что большинство сайтов собирают персональные данные пользователей, даже если владелец считает сайт «информационным» и не размещает на нём явных форм ввода данных. Основанием для такого вывода является автоматизированная обработка информации о пользователях при каждом посещении сайта.

Персональными данными признаётся не только информация, которую пользователь вводит самостоятельно, но и сведения, которые сайт получает автоматически: IP-адреса, cookies, технические параметры устройств и иные онлайн-идентификаторы. Отсутствие понимания полного объёма собираемых данных является одной из самых частых причин нарушений, выявляемых при проверках Роскомнадзора.

Почему сайт почти всегда собирает персональные данные

Современный сайт технически не может функционировать без обработки информации о пользователях. Даже при отсутствии форм обратной связи сайт автоматически обрабатывает данные, необходимые для установления соединения, отображения контента и обеспечения безопасности.

К таким данным относятся:

IP-адрес пользователя;
сведения о браузере и операционной системе;
технические идентификаторы устройства;
данные о времени и способе доступа к сайту;
файлы cookies и иные онлайн-идентификаторы.

В совокупности эти сведения позволяют прямо или косвенно идентифицировать пользователя, что соответствует определению персональных данных по 152-ФЗ.

Именно поэтому Роскомнадзор при проверках исходит из презумпции сбора персональных данных практически любым сайтом, доступным в сети Интернет.

Персональные данные, которые пользователь вводит сам

Наиболее очевидная категория персональных данных — это сведения, которые пользователь осознанно вводит на сайте через формы и интерактивные элементы. Именно с этих данных чаще всего начинают проверку Роскомнадзор.

К таким персональным данным относятся:

имя, фамилия и отчество;
адрес электронной почты;
номер телефона;
логин и иные идентификаторы пользователя;
текст обращений, сообщений и заявок, если он содержит сведения о личности;
данные, указываемые при регистрации, оформлении заказов или подписке.

Важно учитывать, что даже одно поле формы (например, только e-mail) уже означает сбор персональных данных.

Распространённая ошибка — считать, что персональные данные отсутствуют, если не запрашиваются ФИО или паспортные сведения. При проверках такие доводы Роскомнадзором не принимаются.

Персональные данные, которые собираются автоматически

Помимо информации, вводимой пользователем вручную, сайт автоматически обрабатывает технические и сетевые данные, без которых невозможно его функционирование.

Эти сведения также рассматриваются Роскомнадзором как персональные данные, если позволяют идентифицировать пользователя прямо или косвенно.

К автоматически собираемым данным относятся:

IP-адрес пользователя;
файлы cookies и аналогичные технологии хранения данных;
идентификаторы сессий;
сведения о браузере, операционной системе и устройстве;
данные о времени посещения, страницах и действиях на сайте;
технические логи сервера и хостинга.

Даже если по отдельности такие данные не указывают на конкретное лицо, в совокупности они позволяют идентифицировать пользователя, особенно при использовании аналитических и рекламных сервисов. Поэтому автоматический сбор данных на сайте почти всегда подпадает под требования законодательства о персональных данных.

Являются ли cookies персональными данными

Файлы cookies могут признаваться персональными данными, если они позволяют идентифицировать пользователя напрямую или косвенно. Роскомнадзор при проверках исходит не из названия технологии, а из фактической возможности идентификации.

Cookies признаются персональными данными, если:

содержат уникальные идентификаторы пользователя;
связаны с IP-адресом, аккаунтом или иными данными;
используются в аналитических, маркетинговых или рекламных целях;
передаются сторонним сервисам (аналитика, реклама, CRM).

Если cookies применяются исключительно для технического функционирования сайта и не позволяют идентифицировать пользователя, риск ниже.

Однако на практике большинство сайтов используют cookies в связке с аналитикой и сторонними сервисами, что делает их персональными данными в понимании 152-ФЗ.

Какие данные часто ошибочно считают «неперсональными»

Одной из самых распространённых причин нарушений является ошибочное убеждение владельцев сайтов, что отдельные сведения не являются персональными данными. При проверках Роскомнадзор последовательно опровергает такой подход.

Чаще всего к «неперсональным» ошибочно относят:

e-mail без ФИО — адрес электронной почты сам по себе позволяет идентифицировать пользователя;
номер телефона — всегда относится к персональным данным независимо от контекста;
IP-адрес — признаётся персональными данными при возможности идентификации пользователя;
никнеймы, логины, ID — если они связаны с конкретным пользователем;
технические идентификаторы, используемые в связке с аналитикой.

Роскомнадзор оценивает данные в совокупности, а не изолированно.

Даже если по отдельности сведения кажутся обезличенными, их совместная обработка часто позволяет идентифицировать пользователя, что автоматически относит их к персональным данным.

Сбор данных через сторонние сервисы

Даже если владелец сайта не собирает персональные данные напрямую, они могут обрабатываться через подключённые сторонние сервисы. При этом ответственность за такую обработку всё равно несёт оператор сайта.

К таким сервисам относятся:

системы веб-аналитики;
формы обратной связи и онлайн-чаты;
CRM-системы и сервисы заявок;
почтовые сервисы для отправки уведомлений;
хостинг-провайдеры и облачные платформы.

Важно учитывать, что:

данные пользователей передаются третьим лицам автоматически;
сбор и передача происходят в момент посещения сайта;
согласие пользователя и уведомление должны учитывать такую передачу.

Типичная ошибка — считать, что персональные данные «собирает сервис, а не сайт». При проверках Роскомнадзор исходит из того, что именно владелец сайта определяет цели обработки и выбирает сервисы, а значит остаётся оператором персональных данных.

Уверены, что формы и чаты на сайте не несут рисков?

Аудит и документы для сайтов с внешними сервисами

Проверим все подключённые виджеты и формы и разработаем ОРД, где ваша ответственность за передачу данных будет юридически закреплена.

Какие данные сайт может собирать законно

Закон допускает сбор персональных данных только в объёме, необходимом для достижения конкретных целей обработки. Это называется принципом минимизации.

Сайт может законно собирать:

данные, без которых невозможно оказать услугу или обработать обращение;
контактные данные для обратной связи;
технические данные, необходимые для функционирования сайта и безопасности;
данные, прямо указанные в политике ПДн и уведомлении.

Недопустимо:

собирать данные «на всякий случай»;
запрашивать избыточные сведения;
использовать данные не по заявленным целям.

Избыточный сбор персональных данных является самостоятельным нарушением, даже при наличии согласий.

Как Роскомнадзор проверяет сбор персональных данных на сайте

При проверках сайтов Роскомнадзор использует технический и документальный анализ.

Проверяются:

формы ввода данных на сайте;
исходный код страниц и подключённые скрипты;
cookies и сетевые запросы;
используемые сторонние сервисы;
соответствие фактического сбора данных политике ПДн и уведомлению.

Часто выявляются случаи, когда сайт фактически собирает больше данных, чем указано в документах. Такие расхождения фиксируются как нарушение требований 152-ФЗ.

Знает ли Роскомнадзор о ваших сервисах больше вас?

Проверка и легализация всех каналов сбора данных

Выявим все точки сбора данных и разработаем необходимые документы: от политики ПДн до приказов.

Типичные нарушения при сборе данных на сайте

На практике чаще всего выявляются:

неполное указание собираемых данных в политике ПДн;
расхождение между сайтом, уведомлением и документами;
скрытый сбор данных через сторонние скрипты;
отсутствие правового основания для части обработки;
отсутствие уведомления в Роскомнадзор при наличии сбора ПДн.

Большинство нарушений связано не с техническими ошибками, а с отсутствием инвентаризации собираемых данных.

Как корректно описать сбор ПДн на сайте

Для корректного оформления необходимо:

провести инвентаризацию всех собираемых данных;
определить, какие данные вводит пользователь, а какие собираются автоматически;
учесть все сторонние сервисы и передачи данных;
отразить фактический сбор данных в политике ПДн;
привести в соответствие уведомление оператора.

Ключевым шагом является подача уведомления в Роскомнадзор, основанная на реальной схеме обработки данных, включая работу сторонних сервисов. Это позволяет зарегистрироваться как оператор без риска выявления расхождений между заявленным и фактическим сбором информации.

На практике

На практике Роскомнадзор исходит из принципа: если сайт функционирует, значит он обрабатывает персональные данные. Большинство нарушений выявляется у владельцев сайтов, которые учитывают только формы обратной связи и игнорируют автоматический и сторонний сбор данных.

Корректное понимание того, какие персональные данные собирает сайт, является базой для законной обработки, правильного уведомления и снижения рисков при проверках.

Не хотите рисковать штрафами?

Доверьте защиту персональных данных профессионалам

Создадим индивидуальный пакет документов и выстроим систему защиты данных под ваш бизнес под ключ.

Последние статьи

9 марта, 2026

Какие документы по персональным данным нужны ИП на УСН

Нужна подробная консультация?

Оформите заявку, мы свяжемся с вами в ближайшее время и ответим на все интересующие вас вопросы.

Я ознакомлен(а) с политикой и даю согласие на обработку персональных данных

Заявка успешно отправлена

Произошла ошибка