Если данные собираются в связке с идентификатором пользователя (IP-адрес, cookie-файл, учётная запись, номер заказа и др.), то они позволяют прямо или косвенно идентифицировать конкретное лицо. В этом случае речь идёт именно о персональных данных, и обработка должна соответствовать требованиям закона: иметь законное основание (согласие или иной правовой режим), быть отражённой в политике и обеспеченной мерами защиты.
Если же система аналитики хранит сведения в обезличенном виде, без привязки к идентификаторам (например, агрегированные метрики посещаемости), то такие данные не признаются персональными и не подпадают под действие ФЗ-152.
Обоснование по законодательству
- Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому субъекту.
- Ст. 5 ФЗ-152: обработка ПДн должна быть ограничена достижением конкретных целей и не выходить за их пределы.
- Позиция Роскомнадзора: данные веб-аналитики (включая cookie и IP-адреса) могут считаться персональными, если их можно связать с пользователем.
Практика проверок
Роскомнадзор в ряде случаев трактует cookie-идентификаторы и IP-адреса как персональные данные. Так, в проверках интернет-магазинов регулятор указывал, что аналитика через сторонние сервисы (например, Яндекс.Метрика) требует корректного уведомления пользователей и получения согласия при установке cookie. При этом агрегированная статистика (например, «50% посетителей кликнули на кнопку») нарушением не признаётся.
Что важно учитывать
- Если поведенческая аналитика используется для персонализации (таргетинг рекламы, построение профилей), согласие пользователя обязательно.
- Для технических и обезличенных метрик согласие не требуется, но правила обработки нужно описать в политике конфиденциальности.
- При использовании зарубежных сервисов (например, Google Analytics) возникает риск нарушения требований о локализации ПДн.
Вывод
Поведенческая аналитика считается обработкой персональных данных, если она связана с идентификаторами конкретного пользователя. Чтобы избежать претензий Роскомнадзора, компании стоит в политике по ПДн описать использование аналитических инструментов и предусмотреть согласие пользователей на установку cookie.
Компания ICTech поможет настроить политику и согласия на сайте так, чтобы поведенческая аналитика применялась законно и без риска штрафов.
