Главные ошибки: Как делать НЕЛЬЗЯ
❌ Неправильный баннер
Только одна кнопка — нарушение GDPR
- • Нет кнопки «Отклонить»
- • Скрипты загружаются до клика
- • Предустановленные галочки
✅ Правильный баннер
Равноценные варианты выбора
- • Opt-in по умолчанию
- • Скрипты блокируются до согласия
- • Гранулярные настройки
Скрипты в очереди ожидания
Почему это важно:
Кнопка «ОК» в одиночестве
Согласие не считается свободным, если нет равноценной возможности нажать «Отклонить» прямо на первом экране.
Скроллинг как согласие
Продолжение просмотра страницы или свайп больше не являются «активным утвердительным действием».
Предустановленные галочки
Все категории cookies, кроме строго необходимых, должны быть выключены по умолчанию (принцип Opt-in).
Скрипты до решения
Если Яндекс.Метрика или пиксели соцсетей загружаются до клика пользователя по кнопке «Принять», вы нарушаете статью 5(3) директивы ePrivacy.
Технический стандарт Kolomna WEB
Мы внедряем каскадную защиту данных на уровне протокола HTTP (спецификация RFC 6265bis):
Визуализация заголовка Set-Cookie
HttpOnly
Запрещает доступ к cookies через JavaScript, блокируя кражу сессий (XSS-атаки)
Secure
Гарантирует передачу данных только по зашифрованному HTTPS-каналу
SameSite
Исключает подделку межсайтовых запросов (CSRF). Значения: Lax/Strict
__Host-
Префикс создает реальную границу безопасности, привязывая данные исключительно к вашему домену
1. Формы (имя + телефон + email)
Обязательно нужна галочка согласия
Любая форма, собирающая персональные данные (имя, телефон, email), должна содержать чекбокс согласия с политикой конфиденциальности. Предустановленная галочка = нарушение.
2. Яндекс.Метрика + Google Analytics
➡️ Это уже:
Яндекс.Метрика
- Cookies
- Аналитика
- IP-адрес пользователя
Google Analytics
- Cookies
- Аналитика
- Трансграничная передача данных
3. Уведомление в Роскомнадзор
Если не подали — формально уже нарушение
При обработке персональных данных российских граждан вы обязаны зарегистрироваться как оператор ПДн в реестре Роскомнадзора.
Реестр операторов Роскомнадзора →🧠 Как проверяют (реально)
Обычно не «ходят по сайтам» — проверки приходят:
По жалобе пользователя
Недовольный клиент или конкурент отправляет жалобу в Роскомнадзор
При подключении рекламы
Яндекс/Google могут триггернуть проверку при модерации рекламных кампаний
При работе с юрлицами
В тендерах и договорах с крупными компаниями проверяют соответствие 152-ФЗ
✅ Чек-лист: Минимум для compliance
Выполните все пункты — это базовый набор для защиты от штрафов
Обязательно
Политика конфиденциальности
Отдельная страница с описанием обработки данных
Согласие на обработку ПД
Отдельная страница или встроенный текст
Cookies-баннер
С выбором "Принять/Отклонить", не предустановлен
Дополнительно
Галочка в формах
Необходимо согласие перед отправкой данных
Уведомление в Роскомнадзор
При обработке ПД российских граждан
Хостинг в РФ
Для хранения персональных данных граждан РФ
Обязательный юридический чек-лист в РФ
Помимо технической части, ваш сайт в зоне .ru обязан соблюдать:
Уведомление в Роскомнадзор
Регистрация вас как оператора персональных данных в реестре операторов.
Локализация данных
Хостинг строго на территории Российской Федерации (требование 152-ФЗ).
HTTPS обязательный
Обязательное шифрование для законной передачи персональных данных.
Основные штрафы (для ИП = как для должностного лица)
Нет политики конфиденциальности / она "пустая"
Обрабатываешь данные без согласия (нет галочки)
Не уведомил Роскомнадзор как оператор ПД (а должен был)
Нарушение правил хранения (данные россиян не в РФ)
Нет защиты данных (утечка / слабая безопасность)
Не ответил на запрос пользователя ("удалите мои данные")
Передал данные третьим лицам незаконно (без указания в политике)
Штрафы суммируются
Пример реальной ситуации:
- •Нет галочки согласия
- •Нет уведомления в Роскомнадзор
- •Нет нормальной политики конфиденциальности
➡️ Легко выходит 20 000 — 40 000 ₽
Сколько стоит безопасность?
В Kolomna WEB разработка и внедрение GDPR-совместимой системы защиты данных
Простая
Базовая защита для небольших сайтов
- GDPR-совместимый баннер
- Кнопки «Принять/Отклонить»
- Блокировка 1 сервиса
- Базовые политики на сайт
Многоуровневая
Полная защита для бизнеса
- Всё из «Простой»
- Гранулярные настройки (аналитика, маркетинг)
- Блокировка неограниченного количества сервисов
- Защищенные cookies (HttpOnly, Secure, SameSite)
- Полный комплект политик (Privacy, Agreement, Cookies)