Аудит сторонних виджетов: как оценить сбор данных картами, чатами и виджетами отзывов

Скрытая угроза на вашем сайте: почему привычные виджеты стали источником регуляторного риска

Почему эта тема стала срочной в 2025–2026 годах

Представьте типичный российский корпоративный сайт: в подвале встроена интерактивная карта Google Maps с адресом офиса, в правом нижнем углу всплывает чат-виджет на базе зарубежного SaaS, а на странице «О нас» красуется каруселька отзывов с Яндекс.Карт. Всё это — бизнес-стандарт, внедрённый несколько лет назад и с тех пор никем не трогавшийся.

С 1 июля 2025 года такой сайт автоматически попадает под мониторинг Роскомнадзора [9]. Регулятор запустил ИИ-систему сканирования, которая выявляет виджеты, скрипты и формы, передающие персональные данные пользователей на иностранные серверы без первичной обработки в России. Штрафы за первое нарушение — от 1 до 6 млн рублей, за повторное — от 6 до 18 млн [28].

Проблема в том, что большинство компаний не знает, что именно их виджеты собирают и куда это отправляют. Политики конфиденциальности провайдеров написаны юристами для юристов, а технические детали о потоках данных и вовсе редко публикуются в открытом виде. При этом ответственность за чужие скрипты лежит на операторе персональных данных — то есть на владельце сайта [9, 22].

Эта статья — практическое руководство по тому, как провести аудит сторонних виджетов, оценить их поведение с точки зрения персональных данных и выстроить устойчивый процесс контроля. Материал будет полезен ИБ-специалистам, DPO, юристам, ИТ-директорам и любому, кто отвечает за комплаенс в сфере персональных данных.

Часть 1. Что такое сторонний виджет с точки зрения защиты данных

1.1 Определение и классификация

Сторонний виджет — это фрагмент кода (JavaScript, iframe, пиксель), размещённый на вашем сайте, но выполняемый от имени другого юридического лица и обращающийся к внешним серверам этого лица. Ключевое юридическое следствие: как только виджет загружается у пользователя в браузере, данные этого пользователя начинают передаваться третьей стороне.

С точки зрения 152-ФЗ и практики Роскомнадзора, виджеты условно делятся на несколько категорий по характеру собираемых данных:

1. Картографические сервисы (Google Maps, Яндекс.Карты, 2ГИС). При загрузке iframe или JavaScript API фиксируют как минимум IP-адрес пользователя, данные браузера, геолокацию (если предоставлена), время и характер взаимодействия с картой. Google Maps API по условиям использования устанавливает cookies и требует, чтобы разработчик раскрывал факт их использования в политике конфиденциальности [6].
2. Онлайн-чаты и мессенджер-виджеты (Jivo, виджеты WhatsApp, Telegram). Это наиболее «богатые» источники ПДн среди виджетов: имя пользователя, номер телефона, email (если запрашиваются до начала диалога), содержание переписки, устройство, IP, история взаимодействий [19]. Данные, как правило, хранятся на серверах провайдера сервиса.
3. Виджеты отзывов (агрегаторы с Яндекс.Карт, Google Maps, 2ГИС). Обычно менее активно собирают данные сами по себе, однако они загружают сторонние скрипты и cookies, а также могут отправлять данные о просмотрах на серверы провайдера агрегатора.
4. Аналитические и маркетинговые пиксели (Google Analytics, Meta Pixel, Яндекс.Метрика). Собирают обширный цифровой отпечаток: IP, user-agent, поведение на странице, источник перехода, идентификаторы сессий.
5. Прочие: формы обратной связи на внешних платформах (Google Forms, Typeform), виджеты социальных сетей, CDN-скрипты, reCAPTCHA.

1.2 Почему «чужой» скрипт — ваша проблема

Согласно ФЗ-152, оператор персональных данных — это лицо, которое «организует и (или) осуществляет обработку персональных данных». Владелец сайта, разместивший виджет, становится оператором по отношению к данным своих пользователей, которые этот виджет собирает [2]. Провайдер виджета при этом выступает в роли обработчика (поручителя по обработке).

Это означает несколько вещей на практике: вы несёте ответственность за то, чтобы у пользователя было получено надлежащее согласие на передачу данных третьим лицам, провайдер виджета должен быть указан в документах об обработке ПДн, и при трансграничной передаче уведомление РКН является обязанностью именно вашей компании, а не провайдера [22, 27].

Часть 2. Правовой контекст: что изменилось в 2024–2025 годах

2.1 Волна законодательных изменений

Период 2024–2025 годов стал эпохой наиболее масштабных изменений в российском законодательстве о персональных данных за последнее десятилетие [16].

Ключевые события:

1. Федеральный закон № 420-ФЗ от 30.11.2024 — внёс поправки в КоАП, ужесточив ответственность по ст. 13.11 [8]. С 30 мая 2025 года действуют новые санкции: за незаконную передачу данных о 1–10 тыс. человек — штраф от 200 тыс. рублей для должностных лиц; за нарушение правил трансграничной передачи — от 1 до 6 млн рублей (повторно — до 18 млн); за неуведомление об утечке — от 1 до 3 млн рублей [11, 28].
2. Оборотные штрафы — от 1% до 3% от выручки за предыдущий год. В отдельных случаях суммы достигают 500 млн рублей [12, 14].
3. Уголовная ответственность — с 11 декабря 2024 года введена ст. 272.1 УК РФ за незаконное обращение с персональными данными, включая продажу и распространение незаконно полученных сведений [12].
4. Федеральный закон № 23-ФЗ от 28.02.2025 — обновил ст. 18 п. 5 ФЗ-152: введён прямой запрет на первичный сбор персональных данных граждан РФ с использованием зарубежных баз данных без предварительного сохранения в России [27, 31].
5. С 1 июля 2025 года Роскомнадзор запустил автоматическую ИИ-проверку сайтов на наличие запрещённых виджетов и скриптов [9].
6. С 1 сентября 2025 года согласие на обработку ПДн должно быть оформлено как отдельный документ — запрещено встраивать его в политику или пользовательское соглашение [9, 13].

2.2 Трансграничная передача через виджеты: механизм нарушения

По разъяснениям практикующих юристов и данным правового анализа, даже подключение Google Analytics или встроенной карты Google к форме с полем для ввода данных уже квалифицируется как трансграничная передача персональных данных [29, 33]. Механизм прост: браузер пользователя при загрузке страницы автоматически отправляет HTTP-запросы к серверам Google (или другого провайдера), в которых содержится IP-адрес — а это персональные данные по российскому законодательству.

По сведениям из профессиональных источников, с января 2025 года Роскомнадзор начал активно рассылать предписания владельцам сайтов, использующим Google Analytics, с требованием либо уведомить регулятора о трансграничной передаче, либо прекратить использование сервиса [33]. Зафиксированы случаи предписаний за использование встроенной карты Google и reCAPTCHA на формах регистрации [28].

Под запрет в части первичного трансграничного сбора попали [9]:

1. Google Analytics — передаёт IP, геоточку, данные о браузере на серверы США.
2. Google Maps API и iframe — устанавливает cookies, собирает данные о местоположении пользователя при запросе разрешения.
3. Google reCAPTCHA — отправляет поведенческие паттерны на серверы Google.
4. Виджеты WhatsApp — серверы мессенджера находятся за рубежом.
5. Telegram-виджеты — аналогично.
6. Зарубежные SaaS-чаты без российских дата-центров.

Часть 3. Что реально собирают виджеты: технический разбор

3.1 Карты: скрытая геолокация и профилирование

Встроенный картографический виджет — один из самых незаметных, но технически насыщенных источников данных. При загрузке карты Google через iframe или JavaScript API происходит следующее.

Браузер отправляет запрос к серверам Google, в котором автоматически передаются IP-адрес, заголовки браузера (user-agent), реферер (адрес вашего сайта). Если пользователь ранее авторизован в Google-аккаунте — карта связывает посещение вашего сайта с его профилем. Если пользователь разрешает геолокацию — передаются GPS-координаты [4, 21].

Условия использования Google Maps Platform прямо обязывают разработчиков уведомлять пользователей о типах данных, которые будут собираться, и получать явное согласие до кэширования местоположения [6]. На практике большинство сайтов загружает карту сразу при открытии страницы, без какого-либо предупреждения [21].

Схожим образом ведут себя карты Яндекса: iframe с картой обращается к серверам Яндекса, передавая IP и данные браузера. Разница — в юрисдикции: Яндекс хранит данные на серверах в РФ [35], что снимает проблему трансграничной передачи, но не освобождает от необходимости указывать сбор этих данных в политике конфиденциальности.

Важный технический нюанс: с 2018 года Google переключился с iframe на облачный API [21]. Это создаёт дополнительные трудности: заблокировать iframe через браузерные инструменты было несложно, а блокировка API требует более сложного управления согласием — либо с помощью прокси-сервера, либо через специализированную CMP-платформу [22].

Исследование, опубликованное в Frontiers in Computer Science (2025), констатирует, что подавляющее большинство пользователей не осознают, что компании собирают о них данные через картографические и другие виджеты [20]. По данным одного из цитируемых исследований, 79,7% пользователей при предоставлении доступа к сервису не открывают политику конфиденциальности вообще [20].

3.2 Онлайн-чаты: поток персональных данных в реальном времени

Чат-виджеты — наиболее очевидный с точки зрения сбора данных тип стороннего кода. Их функция и есть получение персональных данных: имени, контактов, содержания сообщений. Однако проблема глубже, чем кажется.

Во-первых, большинство чат-виджетов начинают собирать данные ещё до того, как пользователь написал хоть слово. Уже при загрузке страницы скрипт чата фиксирует IP, устройство, поведение на сайте, источник перехода. Эти данные отправляются на серверы провайдера сервиса.

Во-вторых, данные чата, как правило, хранятся в облаке провайдера и интегрируются в CRM. Как описывает документация Jivo и Битрикс24, история переписки автоматически передаётся в CRM-систему [19]. Если CRM располагается на зарубежных серверах — вся цепочка становится нарушением.

В-третьих, исследование компании Reflectiz (анализ 4 700 ведущих сайтов за 12 месяцев, завершившийся в ноябре 2025 года) зафиксировало принципиальную проблему: 64% сторонних приложений получают доступ к чувствительным данным без бизнес-обоснования, что на 13 процентных пунктов больше, чем годом ранее [23]. Среди конкретных примеров нарушений — чат-боты, считывающие данные с платёжных полей страницы, хотя их функция к платежам отношения не имеет [23].

Положительный пример в части соблюдения требований — Битрикс24: платформа хранит данные на серверах в РФ в соответствии с п. 5 ст. 18 ФЗ-152 [17], а в настройках открытых линий предусмотрена опция автоматической отправки пользователю предупреждения о сборе ПДн с запросом согласия [18].

3.3 Виджеты отзывов: агрегация данных о поведении

Виджеты, отображающие отзывы с Яндекс.Карт, Google Maps, 2ГИС, внешне выглядят безобидно: они показывают уже опубликованный публичный контент. Однако на практике они работают как сторонние скрипты: обращаются к API или серверам агрегатора, при этом передавая данные о пользователе (IP, браузер, время просмотра, поведение на странице с виджетом).

Важно разграничивать два типа виджетов отзывов. Первый — виджет, загружающий данные с внешнего сервиса в реальном времени через API. Каждый просмотр страницы генерирует запрос к серверу провайдера. Второй — виджет, кэширующий отзывы на вашем сервере и отображающий их оттуда. Второй вариант значительно безопаснее с точки зрения приватности, хотя тоже требует проверки того, какие данные собирает сам скрипт виджета.

Отдельная история — виджеты сбора отзывов, то есть инструменты, которые запрашивают у пользователя оценку и перенаправляют на площадки. Такие виджеты, как правило, собирают email или телефон пользователя до отправки его на Яндекс.Карты или 2ГИС. Это уже прямой сбор персональных данных, требующий соответствующего согласия.

Часть 4. Как провести аудит: пошаговая методология

Аудит сторонних виджетов — это не разовая проверка «по списку», а структурированный процесс, включающий техническое, правовое и организационное измерения.

4.1 Шаг 1. Инвентаризация всех внешних скриптов и соединений

Задача первого этапа — получить полный список всех сторонних кодов, работающих на сайте. На практике реальное количество внешних скриптов всегда оказывается больше, чем помнят разработчики или маркетологи.

Технические инструменты для инвентаризации:

1. Инструменты разработчика браузера (DevTools > Network) — фильтрация по типу запроса (JS, XHR) позволяет увидеть все внешние домены, к которым обращается страница.
2. Специализированные сканеры (Blacklight, Privacy Analyzer, аналогичные сервисы) — автоматически выявляют трекеры, рекламные пиксели, fingerprint-скрипты на страницах [5].
3. Tag Manager Audit — если сайт использует Google Tag Manager или аналог, необходимо отдельно проверить, какие теги в нём активированы, поскольку через GTM может загружаться множество скриптов, не видных в коде страницы напрямую [5].
4. Content Security Policy (CSP) в режиме report-only — позволяет логировать все внешние соединения без блокировки, давая полную картину за несколько дней мониторинга [25].

Результат этого шага: реестр всех внешних скриптов с указанием домена, источника подключения (встроен разработчиком / загружен через GTM / добавлен плагином CMS) и частоты выполнения.

4.2 Шаг 2. Классификация по типу данных и риску

Для каждого выявленного скрипта необходимо определить:

1. Какие данные он собирает. Минимальный набор (IP, user-agent) есть у любого скрипта. Дополнительно стоит проверить: устанавливает ли он cookies, запрашивает ли геолокацию, обращается ли к localStorage, считывает ли данные форм.
2. Куда данные передаются. Юрисдикция серверов имеет ключевое значение. Серверы в РФ — один режим, серверы в США или ЕС — другой, требующий уведомления РКН о трансграничной передаче [26, 29].
3. Есть ли у провайдера соглашение об обработке данных. По требованиям 152-ФЗ взаимоотношения с обработчиком должны быть оформлены договором [2].
4. Как долго данные хранятся и на каком правовом основании. Провайдер должен иметь публичную политику хранения данных [1].

4.3 Шаг 3. Проверка правовых оснований и документации

На этом этапе аудит превращается из технического в юридический. Для каждого виджета необходимо проверить:

1. Отражён ли он в политике конфиденциальности сайта? По закону, если виджет собирает данные пользователей, это должно быть раскрыто [7, 10].
2. Включён ли провайдер в перечень обработчиков или упомянут в документах об обработке ПДн?
3. Получено ли согласие пользователя до загрузки виджета? С 1 сентября 2025 года согласие должно быть оформлено отдельным документом [9]. Для виджетов, передающих данные за рубеж, требуется явное согласие на трансграничную передачу.
4. Подано ли уведомление в РКН о трансграничной передаче (для зарубежных сервисов) [26, 29]?

4.4 Шаг 4. Оценка рисков по каждому виджету

Результаты шагов 2 и 3 позволяют присвоить каждому виджету уровень риска:

1. Критический: виджет осуществляет первичный сбор ПДн граждан РФ на зарубежных серверах, нет уведомления в РКН, нет согласия пользователя (Google Analytics с прямым подключением, чат-виджеты на иностранных серверах без надлежащей документации).
2. Высокий: виджет передаёт данные за рубеж, уведомление РКН подано, но нет явного согласия пользователей на трансграничную передачу, или провайдер не упомянут в политике конфиденциальности.
3. Средний: виджет работает в российской инфраструктуре, но не отражён в документах об обработке ПДн, или согласие реализовано через чекбокс в пользовательском соглашении (что с 1.09.2025 недопустимо).
4. Низкий: виджет полностью локализован, соответствует документам, согласие получено надлежащим образом.

4.5 Шаг 5. Remediation: устранение нарушений

Для каждого критического и высокорискового виджета необходимо выбрать один из сценариев:

1. Замена на российский аналог. Для Google Maps — Яндекс.Карты или 2ГИС (оба обеспечивают локализацию данных). Для иностранных чат-сервисов — Jivo на российских серверах, Битрикс24.Чат, ВКонтакте-виджет [8, 27].
2. Настройка режима «согласие до загрузки». Виджет загружается только после явного согласия пользователя. Технически реализуется через CMP (Consent Management Platform) или кастомную логику с заглушкой [5, 22].
3. Серверная интеграция (server-side). Данные первично обрабатываются на вашем российском сервере, и только после этого (опционально) могут передаваться за рубеж с соответствующими уведомлениями [32].
4. Полное удаление виджета. Если бизнес-ценность виджета ниже регуляторного риска — проще всего отказаться от него.

Часть 5. Чек-листы для разных типов виджетов

5.1 Карты (Google Maps, Яндекс, 2ГИС)

1. Проверьте, через какой механизм встроена карта — iframe или JavaScript API.
2. Для Google Maps: проверьте, загружается ли карта до получения согласия пользователя.
3. Для Google Maps: убедитесь, что подано уведомление в РКН о трансграничной передаче [26].
4. Проверьте наличие Google Maps в политике конфиденциальности с ссылкой на политику Google [6].
5. Для Яндекс.Карт: убедитесь, что используется iframe (менее рискованно) или API с ключом (требует указания в документах).
6. Проверьте, запрашивает ли виджет геолокацию пользователя — это требует отдельного согласия.
7. Рассмотрите использование «ленивой загрузки» карты: показывать скриншот карты со ссылкой до получения согласия, а интерактивную версию загружать после [22].
8. Обновите политику конфиденциальности, указав картографический сервис и передаваемые данные.

5.2 Онлайн-чаты и мессенджер-виджеты

1. Определите юрисдикцию серверов, на которых провайдер хранит данные переписки.
2. Проверьте, настроено ли в чате предупреждение о сборе ПДн перед началом диалога [18].
3. Убедитесь, что в форме до диалога (имя, телефон, email) есть чекбокс согласия, привязанный именно к чату, а не к общей политике.
4. Проверьте, куда данные из чата интегрируются (CRM, email-сервис) и каков правовой статус этой интеграции.
5. Если используется WhatsApp или Telegram виджет — либо перейдите на схему «ссылка без передачи параметров», либо уведомите РКН о трансграничной передаче [9].
6. Проверьте, установлена ли ваша компания в договоре с провайдером в роли оператора, а провайдер — в роли обработчика.
7. Убедитесь, что провайдер чата указан в ваших документах об обработке ПДн.

5.3 Виджеты отзывов

1. Определите тип виджета: загружает данные в реальном времени с внешних серверов или отображает кэш.
2. Для виджетов реального времени: проверьте, какие данные о пользователе-зрителе передаются провайдеру агрегатора.
3. Если виджет сбора отзывов собирает контактные данные пользователя (email, телефон) — убедитесь в наличии согласия на обработку до отправки.
4. Проверьте, включён ли провайдер виджета в вашу политику конфиденциальности.
5. Оцените юрисдикцию серверов провайдера (российские агрегаторы — ReviewLab, Repometr — работают в российской инфраструктуре).
6. Убедитесь, что сам скрипт виджета не считывает данные форм на странице (проверяется в DevTools: вкладки Network и Sources).

Часть 6. Типичные ошибки и как их избежать

6.1 «Мы ничего не собираем, просто показываем карту»

Это самое распространённое заблуждение. Сбор данных происходит не на уровне сайта-владельца, а на уровне браузера пользователя: при загрузке любого внешнего скрипта браузер автоматически передаёт IP-адрес и заголовки на сервер провайдера [21, 33]. При этом ответственность за этот процесс несёте вы как оператор персональных данных.

6.2 Согласие через общий чекбокс в подвале

С 1 сентября 2025 года это нарушение [9]. Согласие должно быть оформлено как отдельный документ, специфичный для каждой цели обработки. Единая галочка «я согласен со всем» более не является валидным правовым основанием. Для трансграничной передачи требуется отдельное согласие с явным указанием, в какую страну и кому передаются данные [8].

6.3 Уведомление в РКН «на всякий случай» без реальной инвентаризации

Недостаточно уведомить Роскомнадзор о трансграничной передаче данных, не разобравшись, какие именно виджеты что именно передают. Регулятор оценивает не отдельные документы, а целостность системы — соответствие реальных процессов задокументированным [16]. Если уведомление подано для одного сервиса, а на сайте используются ещё пять незадекларированных виджетов, это самостоятельное нарушение.

6.4 Разовый аудит вместо непрерывного мониторинга

Политики конфиденциальности провайдеров виджетов меняются без предупреждения в адрес операторов. Как прямо указано в политике СКБ Контур, «обработка таких cookies регулируется политиками соответствующих сайтов и может изменяться без уведомления» [7]. Провайдер может добавить новый тип сбора данных или изменить юрисдикцию хранения — и вы узнаете об этом только при проверке или инциденте. Аудит должен быть регулярным (не реже раза в квартал) или непрерывным с помощью автоматизированных инструментов [5, 16].

6.5 Игнорирование виджетов, добавленных через GTM или плагины CMS

Нередко маркетологи самостоятельно добавляют теги через Google Tag Manager или устанавливают плагины на CMS — без согласования с юристами или DPO. В результате ИТ-команда не знает о каждом третьем скрипте на сайте. Исследование компании Reflectiz показало, что сайты с нарушениями подключаются в среднем к 2,7 раза большему количеству внешних доменов, чем благополучные [23]. Необходимо выстраивать процесс согласования любых новых внешних интеграций.

6.6 Доверие «репутации бренда» провайдера

Провайдеры виджетов — даже крупные и известные — могут быть скомпрометированы или сами нарушать нормы. По данным того же исследования Reflectiz, Google Tag Manager ответственен за 8% случаев неоправданного доступа к чувствительным данным, Shopify — за 5%, Facebook Pixel — за 4% [23]. Кроме того, инциденты типа Polyfill.io (2024) показали, что популярный скрипт, подключённый к сотням тысяч сайтов, может быть захвачен злоумышленниками [23].

Часть 7. Примеры и кейсы

7.1 Google Analytics как триггер проверки

По сведениям из открытых профессиональных источников, Роскомнадзор в начале 2025 года начал рассылать массовые предписания владельцам сайтов, использующим Google Analytics. Требование — либо уведомить о трансграничной передаче через реестр РКН, либо прекратить использование [33]. Показательно, что под раздачу попали не только крупные компании, но и небольшие корпоративные сайты с простой аналитикой. Правильное решение с технической точки зрения — server-side tagging: данные сначала поступают на ваш российский сервер, а затем (опционально, при наличии уведомления в РКН) пересылаются в Google [32].

7.2 WhatsApp-виджет на лендинге

Типичная ситуация: маркетолог добавляет кнопку «Написать в WhatsApp» в виде виджета, генерирующего ссылку. Если виджет реализован как кнопка-ссылка без сторонних скриптов — это относительно безопасно. Но многие реализации включают JavaScript-скрипт, который при загрузке страницы инициализирует соединение с серверами WhatsApp и собирает данные об устройстве и поведении пользователя. Такая реализация требует уведомления РКН и явного согласия пользователя [9, 28]. Правильный подход: использовать простую HTML-ссылку вида https://wa.me/7XXXXXXXXXX без дополнительных скриптов.

7.3 Виджет карты на странице контактов

Один из наиболее часто встречающихся кейсов: на странице «Контакты» встроена карта Google Maps через iframe для отображения местоположения офиса. Сама по себе карта не запрашивает у пользователя никаких данных. Однако iframe при загрузке устанавливает cookies Google на устройство пользователя и отправляет IP на серверы Google в США — это трансграничная передача. Практическое решение, которое активно используют европейские сайты для соблюдения GDPR, — показывать статичный скриншот карты с подписью «Нажмите, чтобы открыть интерактивную карту», и загружать iframe только после клика пользователя [22, 21].

Часть 8. Инструменты для автоматизации аудита

Ручной аудит каждого виджета на каждой странице сайта возможен для небольших ресурсов, но нереалистичен для корпоративных порталов с сотнями страниц и динамически добавляемыми скриптами. Профессиональное сообщество всё активнее применяет автоматизированные инструменты [24, 25]:

1. Сканеры cookies и трекеров — автоматически обходят все страницы сайта, выявляют сторонние скрипты и cookies, классифицируют их по целям и провайдерам. Примеры: Cookiebot Scanner, Consentmanager, UserCentrics Audit [24, 34].
2. Платформы непрерывного мониторинга (типа Reflectiz, cSide) — работают в режиме реального времени, отслеживают изменения в поведении сторонних скриптов и сигнализируют об аномалиях [24].
3. Content Security Policy (CSP) отчётность — технический механизм, позволяющий получать уведомления о любых попытках загрузки скриптов с несанкционированных доменов [25].
4. Платформы управления согласием (CMP) — не только получают согласие от пользователей, но и блокируют запуск скриптов до его получения, тем самым технически обеспечивая compliance [5, 22].

Часть 9. Тренды и что будет дальше

Регуляторное давление на сторонние виджеты будет только усиливаться, и к этому ведут несколько параллельных тенденций.

В России: Роскомнадзор развивает автоматизированный мониторинг сайтов, в том числе с применением ИИ [9]. По имеющимся данным, перечень индикаторов риска для внеплановых проверок расширяется. Оборотные штрафы создают мощный финансовый стимул для реального, а не формального compliance [14, 16].

В мире: GDPR-регуляторы в 2022–2024 годах выписали штрафов в совокупности свыше 2 млрд евро, значительная часть — связана именно с cookies и сторонними скриптами [34]. Французский CNIL наложил штраф 150 млн евро на компанию SHEIN — это крупнейший в мире штраф за нарушения cookie-конфиденциальности [5]. Нидерландский DPA объявил о планах ежегодно предупреждать 500 компаний [5].

Технологически: Google отложил окончательный отказ от third-party cookies в Chrome, но направление движения не изменилось — отрасль движется к privacy sandbox и first-party data [35]. Яндекс.Браузер ввёл ограничения на сторонние cookies в рамках Yandex Tracking Protection [35]. Это означает, что часть виджетов, опирающихся на третьесторонние куки для идентификации пользователей, будет терять функциональность, что потребует переосмысления подходов к сбору данных.

Исследователи всё активнее применяют AI для автоматического анализа политик конфиденциальности — это должно облегчить задачу мониторинга изменений в документах провайдеров виджетов [20].

От разовой проверки к непрерывному контролю

Аудит сторонних виджетов — это не та задача, которую можно закрыть галочкой раз в год. ИТ-ландшафт меняется постоянно: маркетологи добавляют новые интеграции, провайдеры обновляют скрипты и политики, регулятор ужесточает требования. При этом с 2025 года цена ошибки выросла многократно — штрафы сопоставимы с европейскими, а автоматический мониторинг Роскомнадзора сокращает вероятность того, что нарушение останется незамеченным.

Правильный подход состоит из трёх уровней:

Первый — технический: полная инвентаризация всех внешних скриптов, автоматизированный мониторинг изменений в их поведении, CSP для контроля новых подключений.

Второй — правовой: корректные документы об обработке ПДн, отдельные согласия для каждой цели, уведомления в РКН о трансграничных передачах, договоры с провайдерами виджетов.

Третий — организационный: процесс обязательного согласования новых виджетов и интеграций с юристами/DPO, регулярный аудит, назначение ответственного за реестр внешних обработчиков.

О платформе «Пятый фактор»

Одной из ключевых сложностей, с которой сталкиваются компании при аудите виджетов и внешних интеграций, является отсутствие актуальной «карты данных»: никто в организации не знает в реальном времени, где, в каких системах и у каких провайдеров хранятся персональные данные, и что изменилось за последний месяц.

Именно эту проблему решает on-prem платформа «Пятый фактор». Система автоматически обнаруживает, инвентаризирует и непрерывно контролирует персональные данные в корпоративной инфраструктуре: базах данных, хранилищах, почте, AD/LDAP, CRM, 1С и API. Ключевое преимущество в контексте аудита виджетов и внешних интеграций — платформа работает с метаданными, структурой и агрегатами, не передавая и не храня сырые значения ПДн. Это означает, что сама платформа не становится дополнительным источником риска.

Когда на сайте появляется новый виджет и начинает передавать данные в новое поле базы данных или внешний API — «Пятый фактор» обнаруживает это изменение, сигнализирует ответственным и помогает быстро оценить риск до того, как это превратится в инцидент или предписание Роскомнадзора.

В условиях, когда ИТ-ландшафт меняется быстрее, чем его успевают проверять вручную, непрерывный автоматизированный контроль становится не опциональной функцией, а условием реального compliance.

Источники

[1] КонсультантПлюс — Аудит персональных данных, 2024 — https://www.consultant.ru/law/podborki/audit_personalnyh_dannyh/

[2] BSO Privacy Group — Аудит персональных данных: требования GDPR — https://bsoprivacygroup.com/ru/personal-data-audit-inventory-gdpr/

[3] Google — Security and Compliance Overview for Google Maps Platform — https://developers.google.com/maps/security/compliance/security-compliance

[4] iubenda — Google Maps and the GDPR — https://www.iubenda.com/en/help/62728-google-maps-and-the-gdpr-how-to-be-compliant/

[5] SecurePrivacy — Cookie Consent Implementation: 2026 Guide — https://secureprivacy.ai/blog/cookie-consent-implementation

[6] Google — Maps APIs Terms of Service — https://developers.google.com/maps/terms-20180207

[7] СКБ Контур — Политика обработки персональных данных — https://kontur.ru/about/policy

[8] Linkodium — Новые требования Роскомнадзора по закону 152-ФЗ (на 30 мая 2025) — http://linkodium.com/news/novye-trebovaniya-roskomnadzora-po-zakonu-152-fz-na-30-maya-2025-goda/

[9] Klerk.ru — Обработка персональных данных: новые требования с 01.07.2025 и 01.09.2025 — https://www.klerk.ru/blogs/fedresurs/658225/

[10] РБК Компании — Поправки в 152-ФЗ: что бизнесу нужно знать о персональных данных в 2025 — https://companies.rbc.ru/news/LfIRlNzMxt/popravki-v-152-fz-chto-biznesu-nuzhno-znat-o-personalnyih-dannyih-v-2025/

[11] КонсультантПлюс — Новые штрафы за утечку персональных данных — https://www.consultant.ru/legalnews/27142/

[12] Правовест Аудит — Ответственность за неподачу уведомления в Роскомнадзор — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/otvetstvennost-za-nepodachu-uvedomleniya-v-roskomnadzor-ob-obrabotke-personalnykh/

[13] РБК Компании — Как работать с персональными данными в 2025 году — https://companies.rbc.ru/news/BSZ231iAod/kak-rabotat-s-personalnyimi-dannyimi-v-2025-godu-izmeneniya-s-1-sentyabrya/

[14] data-sec.ru — Штрафы за персональные данные в 2026 году — https://data-sec.ru/personal-data/fines/

[15] vc.ru — Персональные данные 2025: штраф до 15 млн ₽ и запрет зарубежных баз — https://vc.ru/legal/2186769-personalnye-dannye-2025-izmeneniya-i-shtrafy

[16] ic-tech.ru — Персональные данные 2026: изменения 2025 года — https://ic-tech.ru/blog/personalnye-dannye-2026-izmeneniya-2025-i-chto-srochno-proverit/

[17] Bitrix24 — Хранение персональных данных — https://helpdesk.bitrix24.ru/open/7206357/

[18] Bitrix24 — Как настроить открытую линию — https://helpdesk.bitrix24.ru/open/25004908/

[19] Jivo — Интеграция с Битрикс24 — https://www.jivo.ru/help/integrations/bitrix-integrasia.html

[20] Frontiers in Computer Science — Awareness of privacy and data collection: exploring privacy policy effectiveness in Google Maps (2025) — https://www.frontiersin.org/journals/computer-science/articles/10.3389/fcomp.2025.1568179/full

[21] Complianz — Google Maps and GDPR — https://complianz.io/google-maps-and-gdpr-what-you-should-know/

[22] SecurePrivacy (embedding guide) — Embedding Third Party Widgets Maps Videos With Prior Consent — https://docs.google.com/document/d/1xwzkm_3iPZ7a1oQGaloFat5q8zUc9_z8Xljb_8nhHKA/mobilebasic

[23] The Hacker News / Reflectiz — New Research: 64% of 3rd-Party Applications Access Sensitive Data Without Justification — https://thehackernews.com/2026/01/new-research-64-of-3rd-party.html

[24] cSide — Top AI Tools For Website Privacy Compliance in 2026 — https://cside.com/blog/best-ai-tools-for-website-privacy-compliance

[25] Spider AF — Understanding Third-Party Script Vulnerabilities (2025) — https://spideraf.com/articles/understanding-third-party-script-vulnerabilities

[26] E-Офис 24 — Трансграничная передача персональных данных: новые требования — https://e-office24.ru/blog/transgranichnaya-peredacha-personalnykh-dannykh/

[27] roskom24.ru — Что запрещено на сайте с 1 июля 2025 — https://roskom24.ru/chto_zapreshcheno_na_sayte_s_1_iyulya_2025/

[28] Klerk.ru — С 1 июля 2025 Google аналитика, формы, капча, WhatsApp и Telegram на сайте — https://www.klerk.ru/blogs/roskom24/652336/

[29] enkod.io — Закон о персональных данных: что нужно знать CRM-маркетологу — https://enkod.io/blog/zakon-o-personalnyh-dannyh-chto-nuzhno-znat-crm-marketologu-ob-ispolzovanii-telegram-whatsapp-i-google-analytics/

[30] action-market.ru — Трансграничная передача персональных данных 2025 — https://action-market.ru/blog/biznes/transgranichnaya-peredacha-personalnyh-dannyh-novye-pravila-i-trebovaniya-dlya-biznesa-v-2025-godu/

[31] comply.ru — Локализация и трансграничная передача персональных данных с 1 июля 2025 — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[32] vc.ru — Новые требования РКН в 2025: как пройти проверку — https://vc.ru/legal/2149867-novye-trebovaniya-rkn-2025-kak-izbezhat-shtrafov-za-lokalizatsiyu-dannyh

[33] Klerk.ru — Трансграничная передача персональных данных (2025) — https://www.klerk.ru/user/2416162/646367/

[34] consentmanager.net — Privacy-friendly tools for your website in 2025 — https://www.consentmanager.net/en/knowledge/privacy-friendly-tools-websites-2025/

[35] Яндекс Браузер — Ограничение работы сторонних cookies — https://webmaster.yandex.ru/blog/yandeks-brauzer-ogranichit-rabotu-storonnikh-cookies