Оператор персональных данных при использовании веб-аналитики на сайте без форм взаимодействия

Использование счетчика аналитики на сайте: обязанности оператора персональных данных

На основании вашего запроса проведен юридический анализ вашей ситуации. Ответ структурирован в соответствии с ключевыми вопросами.

1. Являются ли собираемые данные персональными?

Да, технические данные, которые может фиксировать счетчик аналитики (IP-адреса, данные cookies, параметры устройств), с высокой вероятностью признаются персональными данными по российскому законодательству.

Согласно закону, персональные данные — это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (Источник: Федеральный закон "О персональных данных", статья 3, пункт 1).

IP-адрес, особенно в совокупности с другими данными (например, cookies), часто позволяет косвенно идентифицировать пользователя (установить его принадлежность к конкретному интернет-сеансу, а при наличии дополнительной информации — и к конкретному лицу). Следовательно, их обработка подпадает под действие законодательства о персональных данных.

2. Являетесь ли вы оператором персональных данных?

Да, в описанной ситуации вы признаетесь оператором персональных данных.

Оператор — это "юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон "О персональных данных", статья 3, пункт 2).

Вы определяете цель сбора данных (анализ посещаемости) и используете для этого инструмент (счетчик), который осуществляет автоматизированную обработку. Тот факт, что обработку технически выполняет сторонний сервис, не меняет вашего статуса как оператора, определяющего цели и состав данных. Более того, закон прямо устанавливает, что "оператор вправе поручить обработку персональных данных другому лицу", но ответственность перед субъектом данных несет оператор (Источник: Федеральный закон "О персональных данных", статья 6, часть 5).

3. Нужно ли уведомлять Роскомнадзор?

Да, в вашем случае, скорее всего, обязанность направить уведомление в Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) существует.

Общее правило для оператора — "до начала обработки персональных данных обязан уведомить уполномоченный орган" (Источник: Федеральный закон "О персональных данных", статья 22, часть 1).

Однако закон предусматривает исключения, когда уведомление не требуется. Из предоставленного контекста наиболее релевантным для вас может показаться пункт 8 части 2 статьи 22: обработка без использования средств автоматизации. Но в вашем случае используется онлайн-счетчик, который является средством автоматизации, поэтому это исключение не применяется.

Другое исключение (пункт 9 части 1 статьи 6) касается обработки в статистических целях при условии обязательного обезличивания. Если ваш счетчик аналитики собирает и хранит данные в обезличенном виде (когда из данных невозможно определить субъекта без использования дополнительной информации), и вы используете их исключительно для формирования агрегированной статистики, этот пункт может быть применим. Однако стандартные настройки многих счетчиков часто предполагают хранение данных, позволяющих идентифицировать пользовательские сессии, что не является обезличиванием в строгом смысле закона.

Таким образом, без уверенности в том, что данные с самого начала собираются и хранятся в обезличенном виде, безопаснее исходить из необходимости уведомления.

4. Какие еще обязанности у вас возникают?

Как оператор, вы обязаны соблюдать ряд требований закона о персональных данных:

• Законность и справедливость обработки: Обработка должна осуществляться "на законной и справедливой основе" (Источник: Федеральный закон "О персональных данных", статья 5, часть 1).
• Соблюдение принципов обработки: Например, обработка должна ограничиваться заранее определенными целями, данные не должны быть избыточными (Источник: Федеральный закон "О персональных данных", статья 5, части 2, 5).
• Обеспечение безопасности данных: Вы обязаны "принимать необходимые правовые, организационные и технические меры... для защиты персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19, часть 1).
• Размещение информации (политики конфиденциальности): Так как данные собираются не напрямую от субъекта (пользователя заходит на сайт, а не заполняет форму), на вас распространяется обязанность предоставить ему определенную информацию. Если не применяются исключения (например, обработка для статистики с обезличиванием), то до начала обработки вы должны предоставить пользователю информацию о себе как об операторе, целях обработки, его правах и т.д. (Источник: Федеральный закон "О персональных данных", статья 18, часть 3). На практике это реализуется через размещение на сайте ясной и доступной политики в отношении обработки персональных данных.
• Хранение данных на территории РФ: Важно убедиться, что "запись, систематизация, накопление, хранение, уточнение... извлечение персональных данных граждан Российской Федерации с использованием баз данных" осуществляется на территории России, если только не действуют определенные исключения (Источник: Федеральный закон "О персональных данных", статья 18, часть 5). Это касается и данных, которые может обрабатывать ваш провайдер аналитики.

Выводы и рекомендации

1. Вы являетесь оператором персональных данных, так как организуете сбор и обработку информации (IP-адреса, cookies), которая позволяет идентифицировать посетителей сайта.
2. Вам, вероятнее всего, необходимо направить уведомление об обработке персональных данных в Роскомнадзор через специальную форму на сайте ведомства, так как стандартный сбор аналитики не подпадает под заявленные в законе исключения (особенно из-за использования средств автоматизации).
3. Вам необходимо выполнить иные обязанности оператора:
   • Разработать и опубликовать на сайте политику обработки персональных данных, в которой раскрыть информацию, требуемую статьей 18 закона.
   • Обеспечить безопасность обрабатываемых данных (на организационном уровне, приняв соответствующий локальный документ).
   • Убедиться, что данные граждан РФ обрабатываются и хранятся на территории Российской Федерации. Проверьте, где расположены серверы используемого вами сервиса аналитики.
4. Рекомендация: Учитывая тонкости трактовки понятий "обезличивание" и "статистические цели", а также потенциальные риски (вплоть до блокировки сайта по решению суда за нарушение законодательства о персональных данных), для точной оценки вашей конкретной ситуации и настройки счетчика в правовом поле рекомендуется обратиться к адвокату, специализирующемуся на информационном праве.