Неправильное использование сервисов аналитики «Google Analytics» и «Яндекс-метрика» может привести к ограничению доступа к сайту, заявил Роскомнадзор.
Таганский суд Москвы 19 декабря по иску Роскомнадзора к французскому регистратору доменов Gandi SAS вынес решение о блокировке сайта «коллективного голосования» 2019.vote. Ранее, 14 декабря, было опубликовано решение о добавлении сайта в реестр нарушителей обработчиков ПД в качестве обеспечительной меры по иску, а с 7 декабря началось ограничение доступа к сайту провайдерами:
Представитель Роскомнадзора объяснил, что в конце ноября на сайт поступили жалобы от нескольких неназванных граждан, которые пожаловались на незаконную обработку их данных на странице «умного голосования». После этого сотрудники ведомства провели собственную проверку, которая подтвердила наличие нарушений закона о персональных данных: форма для сбора данных на сайте Навального не соответствовала критериям, прописанным в законе, кроме того, на ресурсе не было прописанной политики конфиденциальности. Также Ампелонский добавил, что данные пользователей хранятся на зарубежных серверах, что противоречит законодательству.
В заседании 19 декабря в качестве одного из аргументов истец привел то, что на сайте используются системы аналитики «Google Analytics» и «Яндекс-метрика» в нарушение Закона о защите персональных данных и Условий их использования. В качестве доказательства были приведены фотографии HTML-кода сайта в браузере Opera. Эту информацию сегодня РКН подтвердил в официальном пресс-релизе на своем сайте:
Речь идет о требованиях Федерального закона «О персональных данных» и Условий использования GoogleAnalytics, предусматривающих обязанность администрации сайта при сборе персонифицированной информации о посетителях данного сайта уведомлять их о сборе данных, получать согласие на их обработку и размещать документ, регламентирующий политику конфиденциальности в отношении собираемых данных.
Однако данные требования администратором сайта 2019.vote не были выполнены.
Таким образом, речь шла не о претензиях Роскомнадзора к метрическим программам компаний Google, ООО «Яндекс», а о неисполнении администратором сайта 2019.vote требований метрических программ «GoogleAnalytics», «Яндекс.Метрика», указанных в Условиях их использования.
В связи с чем Таганским районным судом города Москвы за невыполнение, в том числе вышеперечисленных требований, принято решение об ограничении доступа к сайту до устранения выявленных нарушений.
К сожалению, в пресс-релизе не уточнено, какие именно категории «персональных данных» собирают сервисы аналитики. Так, при изучении официального сайта РКН можно найти комментарии, где говорится, что ФИО, номер телефона или email могут не являться персональными данными, а счетчики собирают менее чувствительные данные вроде IP-адреса (при этом просмотреть его целиком не дают). Например, ФИО сами по себе не считаются ПД:
3. Вопрос: Является ли обработкой персональных данных размещение фамилии, имени и отчества без иной дополнительной информации?
Ответ: Размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.
Номер телефона с точки зрения РКН не является ПД:
Вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?
Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
Также не считается ПД и адрес электронной почты:
Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.
К сожалению, многие сайты, использующие сервисы аналитики, не уведомляют посетителей, и не получают их согласие на сбор данных. Таким сайтам, во избежание блокировки, стоит срочно принять меры по исправлению ситуации. К примеру, если открыть исходный код сайта «Сервер органов государственной власти РФ» gov.ru, то можно увидеть использование «Google Analytics» и «Яндекс-метрики», при этом предупреждение о сборе данных не выводится и согласие пользователя на сбор данных не спрашивается.
Не спрашивается согласие на сбор данных и на сайте партии «Единая Россия», где установлены сервисы «Live Internet», «Яндекс-метрика», «Facebook Pixel» (2 экземпляра), «Рамблер топ 100». Нет этого и на сайте «Вести.ру», где подсчетом посетителей занимается плеяда из «Piwik», «Adblockmetrics», «Rating@Mail.ru», «Яндекс-метрика», «LiveInternet», «Google Analytics», равно как и рекламные сети «AdFox», «1banner». Не отстают от «второго» их коллеги с «первого» канала — на их сайте имеются «незадекларированные» «LiveInternet Counter», «Яндекс-Метрика», «Google Analytics», и виджеты от «Facebook», «VK», «Одноклассников», «Twitter», тоже собирающие аналитику.
Стоит заметить, что полноценная блокировка работы сайта на территории РФ пока не обеспечивается. По сообщению некоторых пользователей, сайт доступен у их провайдеров при использовании DNS-сервера 8.8.8.8 от компании Google. Судя по записям (от 4.12 и от 14.12) на сайте Роскомсвобода, сайт сменил уже более 330 IP адресов, а «за компанию» доступ мог быть ограничен, по оценке, к 362 доменам.
Хабрапользователям, использующим сервисы аналитики, рекомендуется проверить, соблюдаются ли на их сайтах требования регулятора.
Автор: Sabubu
