Короткий ответ
Если на сайте стоят Яндекс Метрика, Google Analytics, рекламные пиксели, онлайн-чаты, call tracking, формы заявок или CRM, нужно проверить не только документы, но и фактическую работу сайта.
Минимум:
- Найти все счетчики, пиксели, чаты, формы и внешние скрипты.
- Понять, какие данные они собирают.
- Проверить, не уходят ли в аналитику телефон, email, имя, номер заказа, адрес или комментарий пользователя.
- Описать cookie, Метрику, Google Analytics и другие сервисы в политике ПДн и cookie policy.
- Проверить согласия рядом с формами.
- Разделить российские и иностранные сервисы.
- Проверить трансграничную передачу, если есть иностранные сервисы.
- Перед запуском рекламы отдельно проверить пиксели, ретаргетинг, цели, события и передачу данных из CRM.
Эта статья — не про то, как написать cookie policy. Для документа и баннера есть отдельный гайд. Здесь — техническая проверка сайта.
Что видно снаружи сайта
Проверку лучше начинать как обычный пользователь.
Откройте сайт и посмотрите:
□ появляется ли cookie-уведомление;
□ есть ли ссылка на политику обработки ПДн;
□ есть ли cookie policy или раздел о cookie;
□ есть ли согласие рядом с формами;
□ открываются ли документы до отправки формы;
□ нет ли одной общей галочки “согласен со всем”;
□ есть ли Метрика, GA, пиксели, чаты, call tracking;
□ куда уходит заявка: CRM, email, Telegram, таблица, подрядчик;
□ не попадают ли ПДн в URL, UTM, события аналитики или записи Вебвизора;
□ описаны ли реальные сервисы в документах.Плохой признак — когда на сайте стоят счетчики, чаты, пиксели и CRM, а в политике написано только “мы обрабатываем персональные данные для улучшения сайта”.
Проверка за 20 минут без юриста
Шаг 1. Откройте сайт в новом браузере
Лучше использовать инкогнито или браузер, где вы раньше не открывали сайт.
Проверьте:
- появляется ли cookie-баннер;
- можно ли понять, какие cookie используются;
- есть ли кнопки “Принять”, “Настроить”, “Только обязательные”;
- не обещает ли интерфейс выбор, которого на самом деле нет;
- не загружаются ли рекламные пиксели раньше настроенной логики согласия, если такая логика заявлена.
Шаг 2. Найдите все формы
Проверьте:
- форму заявки;
- обратный звонок;
- заказ;
- регистрацию;
- личный кабинет;
- подписку;
- квиз;
- онлайн-чат;
- форму “задать вопрос”;
- форму скачивания файла.
Рядом с каждой формой должно быть понятно, какие данные пользователь передает и зачем.
Шаг 3. Посмотрите, какие сервисы стоят на сайте
Без программирования можно начать так:
- открыть политику и найти слова “Метрика”, “Google Analytics”, “cookie”, “пиксель”, “чат”, “CRM”;
- спросить у маркетолога список счетчиков и пикселей;
- проверить рекламные кабинеты;
- проверить CRM: откуда приходят заявки;
- проверить Google Tag Manager или Яндекс Тег Менеджер, если используются.
С техническим специалистом лучше выгрузить список внешних скриптов, тегов, пикселей и endpoint-ов.
Яндекс Метрика: что проверить
Яндекс Метрика использует cookie и localStorage, а также может фиксировать посещения, события, цели, страницы и поведение пользователей.
Проверьте:
1. Установлена ли Метрика
□ кто владелец счетчика;
□ у кого есть доступ;
□ какие цели настроены;
□ включен ли Вебвизор;
□ включены ли карты кликов и скроллинга;
□ передаются ли параметры посетителей;
□ есть ли электронная коммерция;
□ подключены ли рекламные кабинеты.2. Включен ли Вебвизор
Вебвизор может записывать сессии посещений. Проверьте:
□ не записываются ли поля с именем, телефоном, email, адресом, комментарием;
□ не попадают ли данные карты, заказа или личного кабинета;
□ скрыты ли чувствительные поля от записи;
□ есть ли в документах упоминание Вебвизора;
□ действительно ли команда использует Вебвизор или он включен “на всякий случай”.Если Вебвизор включен без понятной цели, лучше отключить или настроить аккуратно.
3. Передаются ли параметры посетителей и события
Проверьте, не передаются ли в Метрику:
email;
телефон;
имя;
ID клиента, который легко связать с человеком;
номер заказа;
адрес;
комментарий из формы;
сведения из CRM;
статус сделки;
данные о повторной покупке.Если это передается, нужно понять: зачем, на каком основании, где это описано и можно ли обойтись без таких данных.
4. Есть ли Яндекс Тег Менеджер
Тег-менеджер может быть контейнером для старых и новых скриптов. Проверьте:
кто имеет доступ;
какие теги внутри;
есть ли старые неиспользуемые теги;
нет ли тегов подрядчиков;
кто добавляет новые сервисы;
есть ли процесс проверки документов после добавления тега.5. Отражена ли Метрика в документах
В политике ПДн или cookie policy должно быть понятно:
что используется Яндекс Метрика;
зачем она используется;
какие данные могут собираться;
кто получает данные;
как пользователь может ограничить сбор данных;
какие cookie и идентификаторы используются;
включены ли дополнительные функции.Google Analytics и иностранные сервисы
Google Analytics не нужно описывать в стиле “все запрещено, срочно удалить”. Это неточный подход.
Правильнее так:
Если на сайте используется Google Analytics или другой иностранный сервис, нужно проверить, какие данные передаются, есть ли трансграничная передача, как соблюдается локализация, что написано в документах и не уходят ли в аналитику данные, по которым можно прямо определить человека.
Google прямо требует не передавать в Google Analytics данные, которые Google может использовать или распознать как персонально идентифицирующую информацию. Рискованные места: URL, параметры ссылок, заголовки страниц, поля поиска, события, User-ID и данные, введенные пользователем.
Плохой URL:
/thanks?email=ivan@example.com&phone=79990000000Лучше:
/thanks?lead=successЧто проверить в Google Analytics
□ стоит ли Google Analytics на сайте;
□ какая версия используется;
□ связан ли аккаунт с Google Ads;
□ используются ли advertising features;
□ передаются ли события из форм;
□ передаются ли ecommerce-данные;
□ используется ли User-ID;
□ не передаются ли email, телефон, имя, адрес;
□ настроена ли очистка URL-параметров;
□ настроен ли срок хранения данных;
□ описан ли GA в политике и cookie policy;
□ проверена ли трансграничная передача.Пиксели и ретаргетинг
Пиксель рекламы может фиксировать визиты, действия, конверсии, аудитории и использоваться для повторного показа рекламы.
Проверьте для каждого пикселя:
зачем он стоит;
какие события передает;
какие аудитории собирает;
есть ли ретаргетинг;
используются ли look-alike аудитории;
передаются ли данные формы;
передаются ли хешированные email или телефоны;
отражен ли сервис в документах;
есть ли отдельная рекламная логика, если пользователь подписывается на коммуникации.Плохой подход:
У нас просто пиксель, это не персональные данные.
Лучше:
На сайте используются рекламные и аналитические технологии для измерения эффективности рекламы, формирования аудиторий и показа релевантных объявлений. Состав сервисов и способы управления описаны в cookie policy и политике ПДн.
Чаты, call tracking, формы и CRM
Самые неприятные ошибки часто не в Метрике, а в связке:
форма → чат → CRM → рассылка → аналитика → рекламный кабинетОнлайн-чаты
Чат может собирать имя, телефон, email, текст сообщения, историю переписки, страницу обращения, IP, источник перехода, данные устройства и оценку оператора.
Проверьте:
какой чат стоит;
российский он или иностранный;
где хранятся переписки;
кто имеет доступ;
передаются ли данные в CRM;
есть ли согласие перед отправкой сообщения;
описан ли чат в политике.Call tracking
Call tracking может собирать номер телефона, запись звонка, источник рекламы, UTM, связь с заявкой и статус сделки.
Проверьте:
предупреждаете ли о записи звонка;
описан ли call tracking;
куда уходят записи;
кто имеет доступ;
как долго хранятся записи;
передаются ли звонки в CRM и аналитику.CRM
CRM — это часть обработки данных, а не “где-то потом”.
Проверьте:
какая CRM используется;
кто владелец аккаунта;
где находится сервис;
кто имеет доступ;
какие поля передаются;
есть ли договор с подрядчиком;
есть ли связь с телефонией, рассылкой, аналитикой и рекламой;
отражена ли CRM в документах.Таблица: сервис → что может собирать → где отразить
| Сервис | Что может собирать | Где отразить |
|---|---|---|
| Яндекс Метрика | cookie, визиты, страницы, события, цели, устройство | Политика ПДн, cookie policy, уведомление РКН при необходимости |
| Вебвизор | записи действий пользователя, клики, скроллинг, взаимодействие с формами | Cookie policy, политика ПДн, настройки маскирования |
| Google Analytics | cookie, client ID, события, страницы, устройство, источник трафика | Политика ПДн, cookie policy, блок про иностранные сервисы |
| Рекламные пиксели | события, конверсии, аудитории, ретаргетинг | Cookie policy, политика ПДн |
| Онлайн-чат | контакт, сообщение, история переписки, данные визита | Согласие рядом с чатом, политика ПДн |
| Call tracking | телефон, запись звонка, источник рекламы | Политика ПДн, уведомление о записи, договоры с подрядчиками |
| Форма заявки | имя, телефон, email, комментарий, файл | Согласие рядом с формой, политика ПДн |
| CRM | данные заявки, статус сделки, история общения | Политика ПДн, договор с подрядчиком, внутренние документы |
| Сервис рассылок | email, имя, история рассылок, открытия, клики | Отдельное согласие на рассылку, политика ПДн |
Чеклист перед запуском рекламы
□ Пиксели установлены только нужные.
□ События названы понятно.
□ В события не уходят email, телефон, имя и адрес.
□ URL страницы “спасибо” не содержит персональные данные.
□ Вебвизор не пишет поля формы.
□ CRM не передает лишние данные в аналитику.
□ Cookie policy обновлена.
□ Политика ПДн обновлена.
□ Согласия рядом с формами проверены.
□ Рекламное согласие отделено от privacy-согласия.
□ Проверена трансграничная передача при иностранных сервисах.
□ Уведомление РКН сверено с фактическими целями обработки.На что опирается этот материал
- 152-ФЗ, общий текст
- 152-ФЗ, статья 18.1
- 152-ФЗ, статья 12 о трансграничной передаче
- РКН — электронные формы уведомлений
- Яндекс Метрика о cookie и localStorage
- Google Analytics о запрете передачи PII
Что делать дальше
Соберите список всех счетчиков, пикселей, тегов, чатов и CRM-интеграций. Уберите передачу ПДн в URL и события аналитики. Потом обновите политику cookie, политику ПДн и тексты согласий рядом с формами.
