152‑ФЗ · Руководство
reCAPTCHA и hCaptcha на формах: скрытые риски по 152‑ФЗ
Капча на форме кажется технической мелочью. Но reCAPTCHA, hCaptcha и Turnstile отправляют данные на внешние серверы — часто ещё до отправки заявки. Это отдельный получатель ПДн, который должен быть описан в документах.
Что передаёт капча
При загрузке страницы капча может отправлять IP, идентификаторы браузера и поведенческие сигналы на домены google.com/recaptcha, hcaptcha.com, challenges.cloudflare.com.
reCAPTCHA v3 работает невидимо на каждом просмотре — без явного виджета «я не робот».
Юридический минимум
Провайдер капчи — получатель данных третьего лица. Его указывают в политике с целью «защита от автоматизированных запросов».
- Google / hCaptcha / Cloudflare в политике
- Страны обработки при зарубежном провайдере
- Согласование с cookie-баннером при ранней загрузке
Технические ловушки
Капча часто включается плагином CMS или конструктором без ведома владельца. В сочетании с аналитикой и CRM получается несколько внешних скриптов, а в политике описана только форма.
Что входит в автоматическую проверку
- Провайдер капчи указан в политике с целью обработки
- Понятно, какая версия reCAPTCHA используется (v2 или v3)
- Капча не конфликтует с настройками cookie-баннера
- При зарубежном провайдере учтена трансграничная передача
- Форма имеет согласие на обработку ПДн независимо от капчи
Частые вопросы
Капча собирает ПДн, если пользователь не отправил форму?+
Технические данные (IP, идентификаторы) могут передаваться при загрузке страницы — особенно у reCAPTCHA v3. Это нужно учитывать в политике и баннере.
Можно ли оставить Google reCAPTCHA без упоминания в политике?+
Нет. Внешний сервис, обрабатывающий данные посетителей, должен быть раскрыт в документах.
Turnstile от Cloudflare безопаснее для 152‑ФЗ?+
Зависит от региона обработки, настроек и полноты документов. Любой внешний провайдер нужно описать и согласовать с политикой.
Читайте также