Статья 6. Условия обработки персональных данных ... 1. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 6
Требования к форме согласия установлены ст. 9. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Оно может быть получено в любой форме, подтверждающей факт его получения, но должно оформляться отдельно от иных документов и информации, которые подписывает субъект. Для сайта это означает, что согласие на обработку IP и cookie не может быть «зашито» в пользовательское соглашение или политику конфиденциальности; требуется отдельное активное действие пользователя, например, отметка соответствующего чекбокса или нажатие кнопки в специальном баннере cookie, причём пользователю должна быть предоставлена возможность отказаться от сбора данных для аналитики (кроме строго необходимых технических cookie).
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 9
Если владелец сайта использует сторонние сервисы аналитики, зарегистрированные за рубежом (например, Google Analytics), возникает трансграничная передача персональных данных. Ст. 12 Закона обязывает оператора до начала такой передачи уведомить уполномоченный орган (Роскомнадзор) о своем намерении. Уведомление подаётся отдельно от общего уведомления об обработке (ст. 22). Кроме того, если страна, в которую передаются данные, не включена в перечень государств, обеспечивающих адекватную защиту прав субъектов (США в этот перечень не входит), то требуется, помимо уведомления, получение согласия субъекта на трансграничную передачу, а также могут быть нужны дополнительные меры (например, включение в договор с иностранным сервисом стандартных оговорок). Из предоставленного контекста следует лишь обязанность уведомления.
- Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 н
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 12
В силу ст. 7 Закона, оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам без согласия субъекта. Если пользователь дал согласие на аналитику, это согласие должно явно распространяться и на передачу данных сервису аналитики (как третьему лицу). В противном случае такая передача без согласия будет нарушением.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 7
Владелец сайта желает избежать регистрации в Роскомнадзоре как оператор. Ст. 22 Закона устанавливает, что оператор до начала обработки обязан уведомить уполномоченный орган, за исключением случаев, перечисленных в ч. 2. В предоставленном контексте указано одно исключение — обработка исключительно без использования средств автоматизации (п. 8). Поскольку сбор IP и cookie через сайт происходит с использованием средств автоматизации (веб-сервер, CMS, скрипты аналитики), это исключение неприменимо. Других исключений, которые позволили бы не подавать уведомление при таких обстоятельствах, в контексте не содержится. Таким образом, если владелец сайта обрабатывает персональные данные (а IP и cookie при определённых условиях являются ПД), он обязан направить уведомление в Роскомнадзор. Единственный законный способ не делать этого — анонимизировать данные таким образом, чтобы они перестали быть персональными (например, агрегировать статистику без привязки к IP и уникальным идентификаторам), либо полностью отказаться от сбора любых данных, которые могут быть отнесены к ПД.
- Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
- Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 22
В предоставленном контексте отсутствуют нормы, прямо устанавливающие обязательные элементы политики обработки персональных данных и политики cookie (обычно они содержатся в ст. 18.1 и 18.2 152-ФЗ). Однако из системного толкования процитированных статей (особенно ст. 9 о согласии и ст. 7 о неразглашении) следует, что политика должна раскрывать цели обработки, состав собираемых данных (IP, cookies), способы получения согласия, порядок отказа от обработки, информацию о трансграничной передаче, а также контактные данные оператора. Текущая политика сайта, упомянутая в вопросе, по‑видимому, не соответствует этим требованиям, так как в ней отсутствуют механизмы получения согласия и данные о трансграничной передаче (если используется зарубежная аналитика).