К персональным данным в cookies однозначно относятся:
- IP-адрес, сохранённый в связке с cookie — он прямо признан персональными данными судебной практикой и позициями Роскомнадзора.
- Уникальные идентификаторы пользователя (User ID, Client ID, Device ID), которые позволяют отслеживать активность конкретного лица.
- Авторизационные токены или логины, используемые для входа в личный кабинет.
- Файлы cookie, связывающие браузер с учётной записью (например, для автоматического входа).
- Маркетинговые и аналитические cookies, если они формируют профиль пользователя (история просмотров, клики, предпочтения, поведение на сайте).
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные это любая информация, прямо или косвенно относящаяся к определённому или определяемому лицу.
- Ст. 6 ФЗ-152 — обработка допускается с согласия субъекта или в случаях, установленных законом.
- Рекомендации Роскомнадзора по cookie (2021 г.) — данные, позволяющие идентифицировать пользователя, включая уникальные идентификаторы в cookie, относятся к персональным данным.
- Постановление Правительства № 1151 от 01.09.2015 — указывает на необходимость локализации данных, собранных через онлайн-сервисы, включая cookie.
Позиция Роскомнадзора и практика
РКН прямо указывает, что cookie, содержащие уникальные идентификаторы, относятся к персональным данным, так как они позволяют построить профиль конкретного пользователя. При проверках особое внимание уделяется:
- фиксации согласия на обработку cookie (баннеры, отдельные согласия в политике);
- локализации хранения cookie-данных (если они передаются в зарубежные сервисы, это нарушение);
- наличию в политике конфиденциальности информации о том, какие cookie используются и для чего.
Что важно учитывать компаниям
- Технические cookie, которые не связаны с пользователем (например, выбор языка без привязки к IP), не всегда попадают под действие закона. Но аналитические и маркетинговые почти всегда считаются ПДн.
- При использовании сторонних сервисов (Google Analytics, Facebook Pixel и т.д.) нужно учитывать, что данные могут передаваться за рубеж, что нарушает закон о локализации.
- Для правомерности обработки необходимо оформить согласие пользователей (баннер или чекбокс).
Вывод
К персональным данным в cookies относятся все сведения, позволяющие идентифицировать пользователя — IP, уникальные идентификаторы, токены доступа, информация о действиях в сети. Их использование без согласия субъекта создаёт риск претензий от Роскомнадзора.
Компания ICTech поможет вам разработать юридически корректный механизм получения согласия на cookies, включить соответствующие положения в политику ПДн и проверить локализацию аналитических сервисов, чтобы ваш сайт полностью соответствовал требованиям ФЗ-152.
