Обоснование по законодательству
- ФЗ-152, ст. 3 — персональные данные это любая информация, относящаяся прямо или косвенно к определённому физическому лицу.
- ФЗ-152, ст. 6 — обработка ПДн возможна только с согласия субъекта или при наличии законного основания.
- Постановление Конституционного суда РФ № 17-П от 16.07.2018 — IP-адрес может квалифицироваться как персональные данные, если используется для идентификации.
- КоАП РФ, ст. 13.11 — нарушение требований обработки ПДн влечёт административную ответственность.
Практика и позиция Роскомнадзора
Роскомнадзор указывает, что IP-адреса в логах подлежат защите по тем же правилам, что и иные персональные данные. Особенно это важно для сайтов, которые ведут учёт активности пользователей, применяют системы аналитики или хранят логи на длительный срок. На проверках часто выявляют, что организации не указывают обработку IP-адресов в политике ПДн или не применяют мер защиты к лог-файлам.
Что важно учитывать владельцам сайтов и систем
- Лог-файлы с IP-адресами относятся к техническим данным, но должны храниться с соблюдением требований защиты ПДн.
- В политике обработки ПДн нужно указать, что компания собирает и обрабатывает IP-адреса.
- Доступ к логам должен быть ограничен, а срок хранения — обоснован целями.
- При передаче логов подрядчикам (например, хостинг-провайдеру) нужно оформлять договор с условиями о защите ПДн.
Рекомендации и выводы
Логи с IP-адресами в большинстве случаев считаются персональными данными, а значит, должны обрабатываться в соответствии с ФЗ-152. Чтобы избежать претензий Роскомнадзора:
- Укажите обработку IP-адресов в политике ПДн.
- Ограничьте доступ к логам только уполномоченным лицам.
- Определите разумные сроки хранения и порядок их удаления.
- Включите обработку лог-файлов в комплект документов по ПДн.
Компания ICTech помогает организациям адаптировать документы и внутренние процедуры к требованиям ФЗ-152, включая вопросы лог-файлов и технических данных. Это снижает риски штрафов и блокировок.
