Алексей Ветров
Эксперт по защите данных IC-TECH
Да, в ряде случаев файлы cookie признаются персональными данными. Всё зависит от того, позволяют ли cookie прямо или косвенно идентифицировать конкретного пользователя.
Если cookie используются только для технических целей (например, сохранение настроек сайта, выбора языка или содержимого корзины), и по ним невозможно определить личность пользователя, — они не считаются персональными данными.
Если cookie собираются и используются для аналитики, маркетинга, поведенческого таргетинга, отслеживания действий пользователя на сайте, они могут связываться с конкретным устройством или аккаунтом. В этом случае cookie признаются персональными данными и подпадают под действие ФЗ-152.
Таким образом, юридически значимым критерием является возможность идентифицировать пользователя по cookie самостоятельно или в совокупности с другими данными (IP-адрес, логины, история посещений).
Если cookie используются только для технических целей (например, сохранение настроек сайта, выбора языка или содержимого корзины), и по ним невозможно определить личность пользователя, — они не считаются персональными данными.
Если cookie собираются и используются для аналитики, маркетинга, поведенческого таргетинга, отслеживания действий пользователя на сайте, они могут связываться с конкретным устройством или аккаунтом. В этом случае cookie признаются персональными данными и подпадают под действие ФЗ-152.
Таким образом, юридически значимым критерием является возможность идентифицировать пользователя по cookie самостоятельно или в совокупности с другими данными (IP-адрес, логины, история посещений).
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
- Постановление Конституционного Суда РФ № 17-П от 09.07.2013 — разъяснило, что к персональным данным могут относиться любые сведения, позволяющие идентифицировать личность, в том числе косвенно.
- Разъяснения Роскомнадзора — указывают, что cookie относятся к персональным данным, если по ним можно определить пользователя.
- Регламент ЕС GDPR (хотя и не российский закон, но активно используемый в практике) прямо относит cookie к персональным данным, если они позволяют идентифицировать пользователя.
Практика проверок Роскомнадзора
- В одной компании сайт собирал cookie для Яндекс.Метрики, но политика конфиденциальности не содержала упоминания об их обработке. Роскомнадзор обязал внести изменения, указав cookie как персональные данные.
- В другом случае организация использовала cookie для таргетинга рекламы без уведомления пользователей. Итог — штраф за нарушение порядка обработки ПДн.
Важный нюанс
Даже если cookie сами по себе не содержат ФИО или контактных данных, их комбинация с IP-адресами и данными из аккаунтов практически всегда делает пользователя идентифицируемым. Поэтому безопаснее изначально относиться к cookie как к персональным данным.
Рекомендации и выводы
Cookie в большинстве случаев нужно учитывать как персональные данные. Организация должна:
- Указать использование cookie в политике конфиденциальности.
- Реализовать баннер/уведомление о применении cookie на сайте.
- Получать согласие пользователей на установку cookie, если они используются в маркетинговых или аналитических целях.
- Включить порядок обработки cookie в комплект документов по 152-ФЗ.
Компания ICTech поможет вашей организации правильно оформить использование cookie: разработать политику конфиденциальности, согласия пользователей и включить cookie в пакет документов по 152-ФЗ. Это позволит соответствовать требованиям Роскомнадзора и избежать штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
