Алексей Ветров
Эксперт по защите данных IC-TECH
Яндекс.Метрика — это сервис веб-аналитики, который фиксирует действия пользователей на сайте. Формально он не просит у посетителей ФИО или паспортные данные, но собирает техническую информацию, которая по закону также может считаться персональными данными.
Какие данные может собирать Метрика
- IP-адрес пользователя (однозначно относится к ПДн по практике Роскомнадзора).
- Cookies — уникальные идентификаторы, которые позволяют отслеживать поведение конкретного посетителя.
- Данные о браузере и устройстве — версия ОС, разрешение экрана, модель устройства.
- Геолокация — определяется по IP-адресу.
- Записи сессий (вебвизор) — клики, скроллы, движение мыши, вводимые в форму данные (если не отключено).
Таким образом, Яндекс.Метрика работает с персональными данными в техническом смысле.
Как легализовать использование Метрики
- Уведомить пользователей. В политике конфиденциальности прямо указать, что на сайте используется Яндекс.Метрика, перечислить типы собираемых данных и цели их обработки (аналитика, улучшение качества сайта).
- Получить согласие. На сайте должен быть баннер или форма согласия на использование cookies, где пользователь подтверждает обработку данных через сторонние сервисы аналитики.
- Заключить договор с Яндексом. По правилам Яндекса, при подключении Метрики оператор соглашается с условиями обработки и передачи данных сервису. Это оформляется как поручение третьему лицу (Яндексу).
- Ограничить сбор лишних данных. Настроить Метрику так, чтобы не фиксировались вводимые пользователями данные в формах (например, ФИО или телефоны в вебвизоре).
- Обеспечить локализацию. Так как Яндекс — российская компания, данные хранятся в РФ, что соответствует требованиям локализации ФЗ-152.
Обоснование по законодательству
- ФЗ-152, ст. 6 — обработка персональных данных допускается только с согласия субъекта или при наличии законных оснований.
- ФЗ-152, ст. 18.1 — оператор обязан уведомлять субъектов о применяемых технологиях и целях обработки.
- Практика Роскомнадзора: при проверках часто штрафуют сайты, где используется Метрика или Google Analytics без уведомления и согласия пользователей.
Вывод
Яндекс.Метрика собирает IP-адреса, cookies и данные об устройстве пользователей — всё это персональные данные. Чтобы легализовать обработку, компании нужно оформить политику конфиденциальности, настроить cookie-баннер, исключить сбор лишней информации и правильно оформить отношения с Яндексом.
Компания ICTech поможет подготовить документы по ФЗ-152 для сайта, настроить cookie-баннер и исключить риски штрафов при проверке.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
