Соответствует ли ваш сайт DPA? Вероятно, нет.

Тревожное наблюдение

Я регулярно проверяю веб-сайты швейцарских PME, и наблюдение почти всегда одно и то же: большинство сайтов не соответствуют новому LPD.

В большинстве случаев это просто незнание. Разработчик или агентство, создавшее сайт, не подумали о защите данных. Начальник понятия не имеет, чего требует закон. А потом «так всегда работало».

Проблема в том, что с 1 сентября 2023 года действует новый Федеральный закон о защите данных (nLPD). Штрафы достигают 250 000 швейцарских франков и направлены против ответственных лиц, а не против компании. Другими словами, платит менеджер.

7 самых распространенных нарушений

1. Google Analytics без юридического основания

Проблема: большинство швейцарских сайтов работают под управлением Google Analytics. Google собирает данные о посетителях, передает их в США и потенциально использует их для собственной рекламы.

Что говорит закон: передача в страну без адекватной защиты (США после решения Шремса II) требует дополнительных гарантий, таких как стандартные договорные положения или явное согласие.

Что делает большинство сайтов: ничего. Google Аналитика установлена, работает, мнения посетителей никто не спрашивает.

Решение: – Используйте GA4 с включенной анонимизацией IP-адресов.

• Получите явное согласие перед загрузкой сценария. Старого баннера «продолжая просматривать, вы принимаете…» уже недостаточно.
• Посмотрите на европейские альтернативы, такие как Matomo (автономное размещение) или Plausible (ЕС).

2. Файлы cookie, размещенные до согласия

Проблема: вы заходите на сайт, отображается баннер cookie, но файлы cookie уже установлены. Согласие — это всего лишь фасад.

Что говорит закон: в Швейцарии LPD требует прозрачности. RGPD требует предварительного согласия на использование второстепенных файлов cookie, как только у вас появятся посетители из Европы. Перед нажатием «Принять» не следует размещать файлы cookie для отслеживания или маркетинга.

Что делает большинство сайтов: они загружают Google Analytics, Facebook Pixel, HubSpot и около пятнадцати других трекеров, как только открывается страница. Повязка носит чисто декоративный характер.

Решение:

• Внедрить реальное управление согласием: ненужные скрипты не загружаются до клика.
• Классифицировать файлы cookie (необходимые, аналитические, маркетинговые).
• Сделайте отказ таким же простым, как принятие, без темных шаблонов.
• На своем сайте я использую систему, которая блокирует GA4 до тех пор, пока посетитель не согласится. На мой взгляд, это единственно правильный подход.

3. Контактные формы без информации

Проблема: контактная форма, которая собирает имя, адрес электронной почты, телефон и сообщение, но при этом не сообщает, что вы делаете с этими данными.

Что говорит закон: любой сбор должен сопровождаться четкой информацией. Кто собирает, почему, как долго, кому передаются данные.

Что делает большинство сайтов: форма, кнопка «Отправить» и все.

Решение:

• Добавьте ссылку на политику конфиденциальности под формой
• Укажите что-то вроде «Ваши данные используются только для ответа на ваш запрос и хранятся в течение X месяцев».
• Если данные передаются третьей стороне (FormSubmit, Mailchimp…), так и скажите.
• При необходимости добавьте неустановленный флажок для согласия.

4. Политика конфиденциальности отсутствует или скопирована.

Проблема: либо политики конфиденциальности вообще нет, либо это общий текст, скопированный из Интернета, не имеющий ничего общего с реальностью сайта.

Что говорит закон: Политика должна быть конкретной для вашего сайта. В нем описываются инструменты, которые вы на самом деле используете, данные, которые вы собираете, и способы их обработки.

Ошибки, которые я вижу чаще всего:

• Упомяните инструменты, которыми вы не пользуетесь, или забудьте о тех, которые используете.
• Храните молчание о передаче данных за пределы Швейцарии.
• Не указывайте контактные данные контролера данных
• Текст только на французском языке, хотя сайт многоязычный.

Решение:

• Напишите индивидуальную политику, которая соответствует вашей реальной ситуации.
• Обновите его, как только добавите инструмент (новый плагин, новая интеграция).
• Сделайте его доступным с каждой страницы с помощью ссылки в нижнем колонтитуле.

5. Нет HTTPS или истек срок действия SSL сертификата.

Проблема: в 2026 году это кажется очевидным. Однако я все еще встречаю сайты PME с HTTP или с сертификатом SSL, срок действия которого истек несколько месяцев назад.

Что это означает:

• Данные из контактной формы циркулируют в сети в незашифрованном виде.
• Их может перехватить любой, кто подключен к тому же Wi-Fi.
• Google блокирует сайт в результатах поиска.
• Браузер отображает предупреждение «Небезопасно», которое отпугивает посетителей.

Решение:

• Установите сертификат SSL (Let’s Encrypt бесплатен).
• Настройте перенаправление HTTP на HTTPS.
• Убедитесь, что сертификат обновляется сам.
• Добавьте заголовок HSTS для принудительного использования HTTPS.

6. Отсутствуют заголовки безопасности.

Проблема: даже при использовании HTTPS, если заголовки безопасности HTTP не настроены, сайт остается уязвимым.

Заголовки, которые имеют значение:

• Content-Security-Policy (CSP) блокирует загрузку вредоносных скриптов (XSS-защита)
• X-Frame-Options предотвращает интеграцию вашего сайта в мошеннический iframe (кликджекинг)
• X-Content-Type-Options не позволяет браузеру интерпретировать файл иначе, чем ожидалось.
• Strict-Transport-Security (HSTS) принудительно применяет HTTPS без возможности возврата к HTTP.
• «Referrer-Policy» контролирует информацию, отправляемую при переходе на другой сайт.
• Permissions-Policy контролирует доступ к API браузера (камера, микрофон, геолокация).

Что делает большинство сайтов: Ни один из этих заголовков не настроен.

Решение: определить их на веб-сервере (Apache, Nginx, CloudPanel). Подождите около тридцати минут, и уровень безопасности сайта полностью изменится.

7. Данные резервирования/формы хранятся без шифрования.

Проблема: данные, отправленные через форму, хранятся в базе данных в виде открытого текста. В случае взлома всё читается сразу.

Что говорит закон: DPA требует соответствующих технических мер для защиты персональных данных. Чистое хранение нецелесообразно.

Решение:

• Шифрование конфиденциальных данных в базе
• Хешируйте пароли с помощью bcrypt или Argon2, никогда не храните их в виде обычного текста.
• Ограничить доступ к базе данных (принцип наименьших привилегий)
• Удалить данные, как только они больше не нужны

Как подтвердить свой сайт за 10 минут

Поставить первоначальный диагноз можно самостоятельно, без каких-либо специальных инструментов.

Тест 1: HTTPS

Ваш URL-адрес начинается с https://, а в браузере отображается замок? Если нет, то это приоритет номер один.

Тест 2: файлы cookie

Откройте свой сайт в режиме приватного просмотра. Прежде чем щелкнуть где-либо, откройте DevTools (F12), затем «Приложение», затем «Cookies». Файлы cookie уже размещены? Если они не являются строго необходимыми, это является нарушением.

Тест 3: Форма

В вашей контактной форме четко указано, что происходит с данными? Есть ли ссылка на вашу политику конфиденциальности?

Тест 4: Политика конфиденциальности

У вас есть такой? И упоминается ли в нем по имени Google Analytics, формы, файлы cookie и возможные передачи за пределы Швейцарии?

Тест 5: Заголовки безопасности

Перейдите на securityheaders.com и введите свой URL-адрес. Ниже B есть работа.

Почему веб-агентства этого не делают

Я буду откровенен: большинство веб-агентств в Швейцарии не проверяют соответствие LPD сайтов, которые они предоставляют. За что ?

1. Это не их работа. Они занимаются дизайном, разработкой, SEO. Соблюдение требований законодательства – это другой мир.
2. Это требует времени. Правильная настройка файлов cookie, заголовков и политики конфиденциальности не вписывается в стоимость в 5000 швейцарских франков.
3. Клиент об этом не просит. Если он не знает, что это необходимо, никто не поднимает эту тему.
4. CMS способствует плохим практикам. Возьмите WordPress с пятнадцатью плагинами, каждый из которых размещает свои файлы cookie в своем углу без какой-либо координации.

Это не обвинение, а просто наблюдение. И именно поэтому ценен профессионал, который понимает технику так же, как и право.

Что поставлено на карту

Соблюдение требований LPD – это не роскошь. Это юридическое обязательство, а также вопрос этики.

Ваши посетители сообщают вам свое имя, адрес электронной почты и вопросы. Это не пустяки. Каждые собранные данные — это доверие, оказанное вам, и декоративного баннера с файлами cookie недостаточно, чтобы оправдать это доверие. Нужны реальные технические меры.

На моем сайте вот как это делается:

• Настоящее согласие на использование файлов cookie, при этом GA4 блокируется до тех пор, пока не будет выполнен щелчок по клику.
• Настроены заголовки безопасности.
• HTTPS везде, с HSTS
• Индивидуальная политика конфиденциальности
• Никакие данные не передаются третьим лицам без причины.

Это не паранойя, это просто минимум, который должен делать любой веб-сайт в Швейцарии.

---

Источники и ресурсы

• Швейцарская Конфедерация, Новый закон о защите данных (nLPD), 1 сентября 2023 г.
• PFPDT, Практическое руководство для бизнеса, 2024 г.
• СЕС, решение Шремса II (C-311/18), июль 2020 г.
• OWASP, 10 крупнейших веб-уязвимостей, 2021 г.
• Mozilla, Обсерватория (заголовки безопасности)
• SecurityHeaders.com, инструмент проверки заголовков HTTP.

---

Соответствует ли ваш сайт требованиям? Заказать бесплатный аудит: я проверю ваш сайт на соответствие LPD, техническую безопасность и производительность за 30 минут.