2025 год оказался богат на поправки в законодательство о персональных данных. Одна часть изменений вступила в силу весной, другая — летом, а некоторые начали действовать только с 1 сентября.
Привет, Хабр! На связи Алёна, аналитик по информационной безопасности в Selectel. В этой статье разберем, что делать владельцам интернет-ресурсов, чтобы избежать штрафов и других санкций. Материал основан на моем опыте работы с регулятором и анализе его публичных разъяснений.
Используйте навигацию, если не хотите читать весь текст
О выявлении нарушений
Многие владельцы сайтов ошибочно полагают, что перед проверкой Роскомнадзора они получат уведомление и успеют подготовиться. Кажется, что можно будет быстро исправить недочеты самостоятельно или нанять консультанта.
Действительно, плановые проверки — документарные или выездные — один из видов контроля. В этом случае компания получает официальное письмо и готовит документы либо ждет визита инспекторов.
Но помимо стандартных ревизий Роскомнадзор активно использует другой инструмент — контрольные мероприятия без взаимодействия. В ходе таких проверок инспекторы изучают сайт компании на соблюдение требований закона. При обнаружении несоответствий владельцу ресурса направляют письмо с перечнем нарушений и предписанием их устранить в сжатые сроки. Компания узнает о таком контроле уже по факту, получив результат.
Рассмотрим, какие нарушения чаще всего выявляют при анализе сайтов и что делать, чтобы их избежать.
Локализация баз данных
С 1 июля 2025 года требование о локализации баз данных российских граждан на территории РФ было уточнено — появились изменения в п. 5 ст. 18 ФЗ-152. Теперь закон четко определяет, какие именно действия с персональными данными (ПДн) необходимо выполнять в России. Это сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение.
Новая формулировка не запрещает трансграничную передачу данных. Она по-прежнему допускается, но в строгом соответствии с требованиями ст. 12 ФЗ-152.
Локализация — проблема не только юридическая, но и техническая. Владельцам сайтов необходимо проверить своих хостинг-провайдеров и убедиться, что ресурсы размещены на территории Российской Федерации. Также важно проанализировать код сайта на наличие сторонних скриптов, собирающих ПДн. Использование таких инструментов, как Google Fonts, Google Analytics или виджеты иностранных CRM-систем, — прямое нарушение.
Некоторые сервисы на первый взгляд никак не соприкасаются с персональными данными. Однако при более внимательном рассмотрении оказывается, что это не так. Рассмотрим, к примеру, Google Fonts, который собирает IP‑адреса пользователей.
Такой сетевой идентификатор косвенно определяет пользователя, поэтому может рассматриваться как персональные данные. На это намекает и ст. 53 ФЗ‑126 «О связи». Позиция судов в таких ситуациях, к сожалению, неоднозначна. Мы бы рекомендовали не создавать для компании дополнительных рисков.
Чаще всего на сайтах требование о локализации не соблюдается из-за зарубежных метрических систем. При их использовании сбор ПДн, включая cookie-файлы, происходит на серверах за пределами РФ.
Несоблюдение требований о локализации наказывается штрафом для юридических лиц в размере от 1 до 6 млн рублей. На данный момент за такие нарушения оштрафовано уже более 20 компаний на общую сумму 130 млн рублей.
Позиция Роскомнадзора и судов однозначна: если cookie-файлы позволяют выделить конкретного пользователя и отслеживать его поведение, их следует рассматривать как персональные данные. Потенциальная возможность идентификации посетителя — достаточное основание, чтобы считать cookie такими данными.
Security Center
Рассказываем о лучших практиках и средствах ИБ, требованиях и изменениях в законодательстве.
Передача ПДн третьим лицам
Закон предусматривает два способа привлечения сторонних компаний к обработке персональных данных.
Поручение обработки ПДн. В этом случае третье лицо обрабатывает данные в объеме и целях, которые определил оператор. Между сторонами заключается договор-поручение. Оператор делится частью своих полномочий, но ответственность перед человеком все равно несет сам.
Передача ПДн. Здесь третье лицо действует самостоятельно и в собственных целях. После получения данных от оператора оно само несет ответственность перед субъектом.
Человек должен быть уведомлен, кому, в каком объеме и для каких целей передаются его данные или поручается их обработка. Все третьи лица должны быть перечислены в согласии на обработку ПДн или в пользовательском соглашении. Если список контрагентов большой или часто меняется, можно дать ссылку на отдельную страницу сайта. Главное — поддерживать ее в актуальном состоянии.
Говоря о сайте, в качестве третьих лиц, действующих по поручению, обычно указывают метрические системы и хостинг-провайдеров.
При использовании метрических программ важно учесть несколько моментов.
Информируйте посетителя об этом при входе на сайт.
Укажите название метрической программы и способ согласия на сбор данных в основном документе — например, в пользовательском соглашении.
Отразите информацию о таких программах в Политике конфиденциальности.
Правильный cookie-баннер может содержать следующую формулировку.
Продолжая использовать сайт, вы соглашаетесь на обработку персональных данных, собираемых посредством метрической программы «Яндекс.Метрика», в целях аналитики посещаемости сайта.
При этом обязательно должна быть указана ссылка на политику конфиденциальности.
Привлекая третьих лиц, не забывайте: ответственность за безопасность данных перед субъектом лежит на операторе. Рекомендую запрашивать у партнеров информацию о принимаемых ими мерах защиты.
Мы в Selectel подтверждаем соответствие своей инфраструктуры требованиям по безопасности ПДн в форме регулярной оценки эффективности. Готовы заключить поручение на обработку ПДн с клиентом. Прочитать ответы на типичные вопросы, а также заказать консультацию можно на нашей странице, посвященной соответствию 152‑ФЗ.
Согласие на обработку ПДн
Требования к согласию определены в ч. 1 ст. 9 ФЗ‑152. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным.
На сайте согласие можно представить в виде оферты или отдельного документа. Способом его получения может служить чек-бокс под формой сбора данных. При этом формулировка должна быть предметной. Варианты «Я согласен на обработку ПДн» или «Я даю согласие на Политику конфиденциальности» Роскомнадзор считает некорректными.
Согласие должно содержать:
сведения об операторе (наименование или ФИО, ИНН);
перечень ПДн, категории субъектов;
цели обработки, способы и сроки хранения;
информацию о передаче данных третьим лицам — если она есть;
сведения о трансграничной передаче — если такое действие осуществляется;
способы связи с оператором для реализации прав субъекта;
ссылку на политику конфиденциальности.
Основанием для обработки ПДн может быть не только согласие, но и договор, заключаемый с человеком. Если данные собираются исключительно для подготовки и исполнения договора, например оферты на сайте, и не используются в других целях, то отдельное согласие не требуется.
Одно из новых требований, вступивших в силу в этом году, — согласие должно быть отдельным документом. Его нельзя «прятать» в многостраничных пользовательских соглашениях, если обработка ведется в целях, отличных от предмета договора. С 1 сентября 2025 года такая практика незаконна. Предоставление согласия должно быть осознанным и недвусмысленным действием пользователя.
Отдельно стоит отметить, что согласие на маркетинговые рассылки также должно быть обособленным.
Несоблюдение этих требований наказывается штрафом для юридических лиц в размере от 150 до 300 тыс рублей.
Политика обработки ПДн
Издание политики обработки персональных данных — одна из ключевых обязанностей каждого оператора. Ее структура определена в 152‑ФЗ. Документ необходимо не просто утвердить, но и опубликовать или иным образом обеспечить к нему неограниченный доступ — например, разместить на стенде.
Допускается иметь несколько документов, определяющих политику. Например, для посетителей сайта можно выпустить отдельную Политику конфиденциальности. При этом политику обработки ПДн, относящуюся к работникам, можно не публиковать, а разместить в другом, но доступном для них месте.
Обратите внимание, что ссылка на политику должна быть на каждой интернет-странице, где осуществляется сбор ПДн.
В структуре документа важно учесть, что категории ПДн и субъектов, перечень сведений, способы и сроки обработки данных описываются для каждой цели отдельно.
Представители Роскомнадзора часто рекомендуют следующую структуру. Сначала — цель № 1 и все ее атрибуты: субъекты, категории, сроки. Затем — цель № 2, а также ее атрибуты, и так далее. То есть правильная структура — такая же как в уведомлении про обработку ПДн, о котором поговорим ниже.
Несоблюдение требований о размещении политики наказывается штрафом для юридических лиц в размере от 30 до 60 тыс рублей.
Политики конфиденциальности и обработки ПДн должны содержать:
данные об операторе — наименование, ИНН или ФИО;
цели обработки ПДн;
перечень обрабатываемых ПДн;
категории субъектов и ПДн;
способы и сроки обработки ПДн, включая порядок их уничтожения;
правовые основания обработки ПДн — в соответствии с ч. 1 ст. 6 ФЗ-152;
перечень мер, принимаемых оператором и направленных на обеспечение выполнения обязанностей предусмотренных ФЗ‑152.
Уведомление об обработке ПДн
Еще одна ключевая обязанность оператора согласно ч. 1 ст. 22 ФЗ‑152. Если вы обрабатываете персональные данные, то должны проинформировать об этом регулятора. Причем уведомление подается в территориальный орган Роскомнадзора до начала самого процесса обработки.
На порядке подачи уведомления и его составе сегодня подробно останавливаться не будем.
Важно: информация в уведомлении должна быть синхронизирована с вашей Политикой обработки ПДн. Расхождения между опубликованной на сайте политикой и сведениями в реестре операторов — одно из самых частых и легко выявляемых нарушений.
Уведомление — не разовый акт, а «живой» документ. Согласно ч. 3 ст. 22 ФЗ-152, при внесении изменений в политику необходимо не позднее 15-го числа следующего месяца скорректировать и сведения в реестре. Например, это могут быть:
цели,
категории обрабатываемых ПДн,
принимаемые меры,
адреса размещения баз данных.
Обязательный финальный шаг — подача уведомления об изменении сведений.
Забывчивость и недисциплинированность при работе с уведомлениями наказывается штрафом Роскомнадзора для юридических лиц в размере от 100 до 300 тыс рублей — согласно п. 10 ст. 13.11 КоАП РФ.
Сроки хранения ПДн и уничтожение ПДн
Одно из частых нарушений, выявляемых Роскомнадзором, — отсутствие ограничения сроков обработки ПДн. Формулировка «бессрочно» прямо противоречит требованиям ФЗ-152.
Сроки обработки должны быть установлены в согласии и в политике. Если в законодательстве они не определены, допускается указать 3 года — продолжительность исковой давности. Можно уточнить условие прекращения обработки — например, по достижении цели или до отзыва согласия.
После достижения цели, истечения сроков хранения или отзыва согласия ПДн необходимо уничтожить в соответствии с п. 4 и 5 ст. 21 ФЗ-152. Требования к подтверждению этого процесса утверждены приказом РКН № 179 от 28.10.2022. Если речь идет об уничтожении данных из базы сайта, необходимо составить Акт об уничтожении и приложить к нему выгрузку из журнала регистрации событий, подтверждающую удаление записей. Акт нужно хранить в течение 3 лет.
Заключение
Чтобы ваш сайт соответствовал требованиям 152-ФЗ и не вызывал вопросов у Роскомнадзора, необходимо учесть несколько ключевых моментов.
Базы данных, хранящие ПДн, разместите на территории РФ.
Сформируйте открытый перечень третьих лиц, которым передаются данные.
Ограничьте хранение ПДн конкретными, заранее определенными сроками.
Разработайте и опубликуйте на каждой странице со сбором данных Политику конфиденциальности и форму согласия.
Если планируете работать с cookie‑файлами, разместите специальный баннер, уведомляющий об этом пользователя.
Подайте уведомление об обработке ПДн в Роскомнадзор и поддерживайте его в актуальном состоянии.
Выполнение этих требований вполне доступно. Главное — внимательно изучить свой сайт, процессы обработки данных и учесть все рекомендации из этой статьи.
Комментарии (46)
nivorbud
05.09.2025 09:20Кстати, ключевой вопрос у меня возник. Что есть такое "определяемое лицо"?
1) Конкретное лицо с фамилией, именем, отчеством. Например, Иванов Петр Сидорович, зарегистрированный по адресу такому то.
или
2) Некто, кто посетил магазин Одуванчик, вчера в 12 часов дня, и сейчас пришел снова.
tretiakovaas Автор
05.09.2025 09:20определяемое лицо это какой-то человек и соответсвенно любая информация о нем в том или ином контексте может быть ПДн.
Если рассматривать ситуацию с магазином Одуванчик - то отдельно этот набор не ПДн. Но при этом категория "история посещений" может быть ПДн в совокупности с иной информацией о покупателе, например в программе лояльности магазинаnivorbud
05.09.2025 09:20Если рассматривать ситуацию с магазином Одуванчик - то отдельно этот набор не ПДн. Но при этом категория "история посещений" может быть ПДн в совокупности с иной информацией о покупателе, например в программе лояльности магазина
У меня аналогичная точка зрения, но в логике приведенных выше решений судов прослеживается стремление считать персональными статистические данные даже без четкой идентификации личности (ограничившись логикой, что поведение "кого-то" было отслежено, и этому "кому-то" была подсунута таргетированная реклама). Правда, в этих решения осуществлялся и сбор паспортных данных.
Если считать куки и ip сами по себе недостаточными для квалификации как ПД без дополнительной информации, то возникает еще такой вопрос: кто несет ответственность за чужие куки? Пример: ваш сайт использует рекламный код яндекса. Загрузка этого кода инициируется вашим сайтом, но сам рекламный код загружается в браузер посетителя (и исполняется в нем) напрямую с серверов яндекса. Яндекс при этом может использовать куки, может отслеживать действия и может у себя в закромах иметь реальные перс. данные посетителя и может быть может точно идентифицировать его. Однако, возникает вопрос: причем здесь ваш сайт? Касаемо ПД. Тоже самое и любыми другими скриптами, загружаемые со сторонних источников, включая загрузчик гугл-шрифтов. Если сторонний сервис (владелец скриптов) имеет возможность точной идентификации посетителя, то это означает, что хранит и обрабатывает персональные данные в исчерпывающем объеме, где то и как то их уже собрал. Но ключевое здесь: ОН хранит и обрабатывает ПД, а ваш сайт даже не имеет доступа к его кукам. Логично ли в этих случаях считать, что именно ваш сайт обрабатывает ПД?
Возьмем к примеру счетчики, собирающие статистику. Но о какой обработке кук вами может идти речь, если ваш сайт и ваш сервер не имеет никакого отношения к этим кукам: вы не имеете к ним доступа. Эти куки сохраняются в браузере посетителя и считываются напрямую сервисами счетчиков, минуя ваш сайт. И если они по этим своим кукам как-то могут идентифицировать конкретную личность (с ФИО), то получается, что это они как-то собирают и обрабатывают ПД, а не вы. А вы в аккаунте этого сервиса просматриваете обезличенные данные.
S-trace
05.09.2025 09:20Google Fonts, который собирает IP‑адреса пользователей.
Такой сетевой идентификатор косвенно определяет пользователя, поэтому может рассматриваться как персональные данныеА если внезапно на серсере выключить полностью логирование - по голове не настучат за отказ предоставить данные по запросу?
tretiakovaas Автор
05.09.2025 09:20а какой запрос вы имеете в виду в вопросе? от субъекта или от РКН? или может еще кого-то?
если опишите ситуацию чуть подробнее, я смогу предметно вам ответитьS-trace
05.09.2025 09:20К примеру от полиции, если та расследует чего-нибудь в отношении субъекта
tretiakovaas Автор
05.09.2025 09:20отвечу в контексте моей статьи, если вы взяли у пользователя согласие - но данные не обрабатывали, это не наказуемо - наказуемо если данные получили, а согласие нет
funca
05.09.2025 09:20А если внезапно на серсере выключить полностью логирование - по голове не настучат за отказ предоставить данные по запросу?
Аудит логи, которые необходимо предоставлять по запросу, представляют собой отдельный набор данных, сбор и обработка которых регулируется другими законодательными актами. Они хранятся отдельно, и доступ к ним для ваших сотрудников или сервисов не предусмотрен, за исключением случаев расследования инцидентов. Это аналогично архивам записей с видеокамер наблюдения.
Grigorvyatkin
05.09.2025 09:20кто нибудь сам заполнял заяку на сбор персональных данных? Это возможно вообще или к юристу лучше обратиться?
tretiakovaas Автор
05.09.2025 09:20тот набор информации, который содержится в уведомлении не требует каких-то особых юридических знаний. Если обратить внимание, то возле многих полей есть подсказки
Maxim_Q
05.09.2025 09:20Где можно получить образец или шаблон для сайта с верно оформленными договорами на сбор и обработку персональных данных? Если что-то не так сделать они же штрафами обложат по самое небалуй.
nivorbud
Куки и ip - это тоже самое, что и номерок в театре, выдаваемый в гардеробной. Сам по себе он ничего не значит и никого не иденцифицирует. Вот если в гардеробной возьмут ваши паспортные данные, положат в папочку и ей присвоят номер, то это другое дело.
Таким образом, первичен сбор настоящих ПД, а куки, ip и прочее можно будет считать лишь способом обработки этих ПД. Да и то, если они для этих целей используются. В куках может храниться что угодно, например размер выбранного шрифта.
По поводу всплывающих плашек с согласием об использовании кук... откуда вы это требование берете? Если действительно собираются реальные ПД, то не достаточно про использование кук как способ обработки написать в соглашении?
И возникает логичный вопрос: Является ли записная телефонная книжка в смартфоне (с контактами коллег, сантехника, парикмахера, врача и пр.) сбором персональных данных? А если происходит синхронизация с зарубежным облаком, то это трансграничная передача? Закон на физиков вроде тоже распространяется. Значит, всем физикам-пользователям смартфонов надо тоже подавать уведомление и соблюдать все требования?
MountainGoat
У вас есть ссылка на решение суда где это говорится? Напоминаю, здравый смысл в суде не действует.
nivorbud
Я привел технические детали - это объективная реальность.
А вот по поводу судебной практики очень хороший вопрос. Я бы хотел увидеть примеры решений судов, где сами по себе куки и ip (без сбора другой информации) были бы признаны сбором ПД. То, что я видел, там собирались реальные ПД (чуть ли не паспортные данные).
Также интересуют ссылки на нормативные акты, где есть требования размещать всплывающую плашку об использовании кук.
tretiakovaas Автор
Добрый день. Примеры судебных решений я привела в комментарии.
Про всплывающую плашку - роскомнадзор о ней и о том как она должна выглядеть говорил на недавнем дне открытых дверей, можете поискать запись мероприятия и ознакомиться
tretiakovaas Автор
Добрый день, основная цель данной статьи была рассказать о том за что наказывают владельцев сайтов в контексте невыполнения требований по обработке персональных данных, при условии что штрафы растут и терять прибыль явно никто не хочет.
Про cookie интересное решение суда против МТС - Постановление Девятого арбитражного апелляционного суда от 23.05.2016 №09АП-17574/2016.
Про работу метрических программ - Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018.
Про IP - Постановление Девятого арбитражного апелляционного суда от 23.05.2016 №09АП-17574/2016 (он про статические IP, но когда владелец сайта обрабатывает IP, он не может определить статический он или динамический, поэтому я и рекомендовала учесть эти риски)
nivorbud
Это постановление я раньше видел, на него все ссылаются.
Но там всё же фигурирует крупный оператор связи, работающий с настоящими ПД и передающий часть данных другой компании.
Я же речь веду про чисто информационный сайт, сайт визитку например, который не требует никаких регистраций, никаких заполнений форм.
Кстати, если считать сам по себе ip персональными данными, то как взять согласие ДО их сбора? Т.е. получается вы еще до согласия уже получили ip, что формально является нарушением. Т.е. выходит само получение согласия об использовании ip сопровождается нарушением, ведь вы этот ip получили еще до согласия.
positroid
Никак не обрабатывать IP до получения согласия?
Включая снятие всех проверок по IP, вывод его в логи сервера и вообще все манипуляции.
Сюрреалистично, конечно, но де-юре как будто такой вариант легитимен
nivorbud
В теории да, но вряд ли на практике это реализуемо.
tretiakovaas Автор
Добрый день, отвечу на ваш комментарий по пунктам:
1. Я не настаиваю на том что конкретные cookie на конкретном сайте и IP адрес это ПДн, но в случае инцидентов и судебных разбирательств суд чаще встает на сторону регулятора и субъекта и относит указанные сведения к ПДн, так как они не прямо, а косвенно определяют конкретное физ. лицо.
2. Что касается всплывающего окна - порядок его оформления и порядок работы с cookie был освещен на последнем дне открытых дверей РКН и я это учла в своей статье. Поэтому все эти требования от регулятора.
3. По поводу записной телефонной книжки. Если персональные данные обрабатываются исключительно в личных и семейных целях, то эти отношения не попадают под действие 152-ФЗ, поэтому перечисленные вами требования не являются обязательными для выполнения
nivorbud
Я сейчас вам присвоил номер (сгенерил случайно, от балды): 12345. Т.е. создал сессионную куку. Объясните мне, как с помощью этого номера 12345 (мною же созданному) я могу определить, кто вы есть?
В каком нормативном акте эта обязанность прописана?
Обратите внимание, я в примере контактов указал не личный семейный круг, а сторонних людей: сантехника, парикмахера, врача...
tretiakovaas Автор
хорошо, я понимаю ваши вопросы, но моя статья призвана снизить риски владельцев сайтов, а не навязать вам мое мнение.
1. О сессионном cookie, сами по себе они могут не являться персональными данными по привычному нам смыслу, но в ФЗ-152 сказано, что ПДн - это любая информация позволяющая прямо или косвенно идентифицировать лицо. Например если я после получения сессионного cookie залогинюсь на сайте, тогда они будут рассматриваться в совокупности с данными из моего личного кабинета - и они станут одной из категорий обрабатываемых ПДн
2. Если мы рассматриваем концепцию что cookie это ПДн, тогда согласно ст. 6 ФЗ-152 должно быть выполнено одно из условий обработки ПДн и в рассматриваемом случае это будет согласие. Согласно ст.9 ФЗ-152 согласие должно быть получено до начала обработки ПДн и у оператора должна быть возможность доказательства факта получения такого согласия. Так как cookie начинают формироваться с момента подключения к сайту - то и согласие мы должны получить в этот самый момент. Законодательством четко не определен способ получения согласия на cookie, но банер удовлетворяет требования ст. 9 ФЗ-152.
3. Указанные вами номера (сантехник, врач и т.д.) вы используете в личных целях (т.е. не обязательно быть в семейных отношениях с этими лицами, достаточно того что вы обращаетесь к ним по какой-то своей личной цели и мотивации), и если вы не нарушаете права указанных лиц (например не продаете эти данные мошенникам), то нормы 152-ФЗ к вам не применяются
nivorbud
С этим согласен, об этом и веду речь: на первом месте - сбор настоящих ПД, а далее, как технический способ обработки, - можно притянуть и ip и куки.
В момент открытия первой страницы посетитель уже получит куку и его ip будет зафиксирован. Обратите внимание, что это произойдет ДО получения согласия. Получается, вы без согласия уже собрали персональные данные. (при трактовке самих по себе кук и ip как ПД).
Здесь я вижу широкое поле для трактовок.
Да всё в целом правильно, за исключением того, что сейчас пошла волна страшилок с явным перегибом. Вот скажите, Вы действительно считаете целесообразным посылать уведомление об обработке ПД всем ипэшникам без работников (даже если он в компе и хранит сканы договоров со всеми своими тремя заказчиками) или владельцам сайтов-визиток (без регистраций и прочего)? Имхо, рисков от этого только больше будет.
tretiakovaas Автор
У нас с вами сложился интересный диалог, действительно в законодательстве о персональных данных есть нюансы, которые можно трактовать по разному, поэтому и регулятор часто проводит мероприятия, выпускает какие-то материалы, что бы познакомить нас с его видением тех или иных норм.
Что касается вопроса об ИПешниках и сайтах без регистраций - тут очень много нюансов, но наверно могу дополнить свою статью и раннее написанные комментарии тем, что чаще РКН проверяет те сайты где есть сбор каких-либо данных, формы регистрации или обратной связи. То есть не подав уведомление, в случае если у вас сайт визитка, формально вы попадаете под действие ст 13.11 КоАП, но вычислят ли вас - вопрос
nivorbud
Ну, вот опять :) Мы же выше уже пришли вроде как к консенсусу, что при рассмотрении вопроса о принадлежности кук и ip к ПД, важны детали - как и для чего они используются, используются ли они для обработки настоящих ПД или связаны ли как-то с ними.
Ну, вот пример: я на своем информационном сайте сохранял выбранный посетителем размер шрифта (мелкий, средний, большой) в куку. Всё? Это нарушение закона о персональных данных?
А если сайт будет использовать для сбора статистики не куки, а браузерное хранилище (значительно более мощный инструмент, чем куки) или через УРЛ будет номер сессии передавать, то нарушения уже не будет?
funca
Вы можете классифицировать куки по типу использования и запрашивать разрешение по каждому классу отдельно: функциональные, аналитические и т.п. Если пользователь не дал согласия, то размер шрифта в куках вы сохранять не должны (используйте для этого local storage, чай не каменный век за окном).
nivorbud
Вот об этом я и говорю. Всё сводится к какой-то профанации, типа: если размер шрифта сохранить в куку, то это нарушение, а если сессионный идентификатор сохранить в намного более мощное браузерное хранилище - то это уже не нарушение... И это при том, что в самих законах ничего про куки не сказано, мы обсуждаем по сути не законы, а трактовки.
funca
Логика в том, что настройка из local storage не покидает пределов устройства пользователя, соответственно вы не занимаетесь её обработкой на своих серверах. Куки же чисто технически к вам передаются в каждом запросе, значит вам нужны основания. Как владельц сервиса контролирует то, что передавать в сторону пользователя, так и у пользователя должна быть возможность контролировать что от него передаётся сервису.
nivorbud
Важно только то, что я сохраняю идентификатор в браузер посетителя и считываю его. А какое хранилище я использую для этого, разве это должно иметь значение?
Передаются мои куки, которые я же создал и сохранил в браузере посетителя. Чужие куки я прочесть не могу.
Hamletghost
И все таки:
А что если это контакты клиентов в телефоне предпринимателя? Получается что синхронизация контактов с гуглом/эплом это трансграничная передача пд и ее нужно отключать?
positroid
И дополню - а если я ПДн на своем личном сайте собираю в своих личных целях - это освобождает от ответственности?)
tretiakovaas Автор
нужно рассматривать конкретную цель сбора персоанльных данных, что бы понять можно ли ее отнести к личной обработке или нет.
Например, если вы собираете данные друзей, что бы организовать поход - то это личная цель.
А вот если вы собираете данные заказы на ремонт компьютеров на дому - то в таком случае вы уже скорее пытаетесь оказать услугу и это не личная цель
positroid
Допустим, собираю email/имя при оставлении комментария, чтобы имя отображалось всем, а по email подтягивать аватарку с gravatar.
Никаких услуг, денег и прочего, но формально персональные данные хранятся и обрабатываются
tretiakovaas Автор
вопрос отнесения того или иного состава к ПДн кажется даже у самого РКН вызывает сложности иногда, поэтому рассматривая вашу ситуацию - я бы сказала да, этот набор данных может являться ПДн (обращаю внимание, что это сугубо мое личное мнение и оно вряд ли может быть использовано где-то). Если рассматривать подобную ситуацию в контексте крупных интернет-площадок - то у них всегда есть пользовательское соглашение, в котором обычно пользователю говорят о том что его персональные данные в указанном объеме обрабатываются при публикации комментариев, или что-нибудь подобное
nivorbud
Еще много чего можно придумать, если натягивать сову на глобус.
Например, почтовый клиент. Вы почту от разных лиц получаете? Получаете. В каждом письме фиксируется IP отправителя? Фиксируется. Значит, вы занимаетесь сбором ПД? А если зарубежной (например gmail) почтой пользуетесь, то это трансграничная передача? Можно сходу многомиллионный штраф накладывать?
tretiakovaas Автор
Формально, если действовать по закону, то в случае если контакты используются, например, для обзвона с целью продажи какой-то услуги, то такая база данных может считаться ПДн и попадать под требования ФЗ-152.
Но я не встречала прецедентов на счет нарушений связанных с телефонными книгами, чаще базы данных контактов рассматриваются в контексте например CRM-систем
konst90
А если это номер подчиненного, которому начальник звонит с личного телефона? Или, допустим, номер контрагента?
ki11j0y
Куки способны вас распознавать на любых смежных сайтах, через куки за нами шпионят. Ip чаще всего динамический и куча пользователей за nat. Я всегда блокирую куки и использую песочницу там где необходимо.
nivorbud
Куку может прочесть только тот, кто ее создал и записал.
И что вы подразумеваете под "вас распознавать"?
Если то, что "некто" посетил страницы A, B, C, то да, куки помогут это сделать. Но для того, чтобы определить, что не "некто", а конкретный Иванов Василий Петрович посетил страницы A, B, C, то куки сами по себе этого сделать не позволят, сервис должен будет предварительно собрать информацию об Иванове В.П. и связать её с идентификатором, который сохранить в куке. В этом случае очевидно, что не в куках дело, а в сборе настоящих персональных данных. Идентификатор в куке в этом случае можно считать способом обезличивания перс. данных, но эти данные уже должны быть собраны.
funca
Если идентификатор позволяет вас однозначно идентифицировать, в некоторых странах это ПД. Для аналитики без согласия можно использовать идентификаторы с низкой кардинальностью - где кроме вас он будет точно таким же ещё у сотни других пользователей. Но если вместе с идентификатором вы сохраняете, допустим, ещё и IP, что в сумме позволяет однозначно идентифицировать пользователя (все же не ходят с одного адреса), то у вас снова ПД.
Идентификация это не то же самое, что деанонимизация. Второе может быть следующим этапом, но здесь речь про первое.
nivorbud
Каким образом ip позволяет вам точно идентифицировать человека?
funca
Вопрос в том, что называть идентификатором в смысле законодательстве о ПД. Как идентифицировать человека это другой вопрос (технический).
nivorbud
Законодательство, как часто бывает, четко не отвечает на этот вопрос.
Мое мнение таково: если я не собираю настоящих ПД (ФИО и пр.), а просто присваиваю номер "кому-то" и с помощью этого номера отслеживаю действия "кого-то", то я не собираю никаких персональных данных. До тех пор пока у меня не появится возможность однозначно связать этот номер с конкретным Ивановым П.А. Причем, пока именно у меня (а не у полиции, провайдера и кого угодно) не появится эта возможность.
funca
Вы можете собирать ПД для личного использования. Но если вы юридическое лицо, то вам для этого нужны основания: согласие, договор или требования законодательства.
Да. Но это больше головная боль владельца софта, если вы физик. Если софт предназначен для сбора ПД (адресная книга), то они обязаны исполнять требования законодательства и использовать для синхронизации только законные способы. Например, куча глобальных сервисов сейчас запустили отдельные инстансы в Европе, чтобы вписаться в аналогичные требования GDPR.
Юридически лица должны осознанно выбирать софт, который вписывается в рамки законодательства. Иначе рискуют.