152‑ФЗ · Руководство

reCAPTCHA и hCaptcha на формах: скрытые риски по 152‑ФЗ

Капча на форме кажется технической мелочью. Но reCAPTCHA, hCaptcha и Turnstile отправляют данные на внешние серверы — часто ещё до отправки заявки. Это отдельный получатель ПДн, который должен быть описан в документах.

Что передаёт капча

При загрузке страницы капча может отправлять IP, идентификаторы браузера и поведенческие сигналы на домены google.com/recaptcha, hcaptcha.com, challenges.cloudflare.com.

reCAPTCHA v3 работает невидимо на каждом просмотре — без явного виджета «я не робот».

Юридический минимум

Провайдер капчи — получатель данных третьего лица. Его указывают в политике с целью «защита от автоматизированных запросов».

  • Google / hCaptcha / Cloudflare в политике
  • Страны обработки при зарубежном провайдере
  • Согласование с cookie-баннером при ранней загрузке

Технические ловушки

Капча часто включается плагином CMS или конструктором без ведома владельца. В сочетании с аналитикой и CRM получается несколько внешних скриптов, а в политике описана только форма.

Что входит в автоматическую проверку

  • Провайдер капчи указан в политике с целью обработки
  • Понятно, какая версия reCAPTCHA используется (v2 или v3)
  • Капча не конфликтует с настройками cookie-баннера
  • При зарубежном провайдере учтена трансграничная передача
  • Форма имеет согласие на обработку ПДн независимо от капчи

Частые вопросы

Капча собирает ПДн, если пользователь не отправил форму?+

Технические данные (IP, идентификаторы) могут передаваться при загрузке страницы — особенно у reCAPTCHA v3. Это нужно учитывать в политике и баннере.

Можно ли оставить Google reCAPTCHA без упоминания в политике?+

Нет. Внешний сервис, обрабатывающий данные посетителей, должен быть раскрыт в документах.

Turnstile от Cloudflare безопаснее для 152‑ФЗ?+

Зависит от региона обработки, настроек и полноты документов. Любой внешний провайдер нужно описать и согласовать с политикой.

Читайте также