Алексей Ветров
Эксперт по защите данных IC-TECH
Да, в большинстве случаев IP-адрес признаётся персональными данными, поскольку он позволяет прямо или косвенно идентифицировать пользователя. Даже если IP-адрес не указывает напрямую на ФИО или номер паспорта, он связан с конкретным устройством и, в совокупности с другой информацией (логи, cookies, данные учётной записи), делает человека определяемым.
Особенно это актуально для статических IP-адресов, которые закреплены за конкретным пользователем. Но и динамические IP-адреса, меняющиеся при каждом подключении, также могут рассматриваться как персональные данные, если в совокупности с другой информацией они позволяют идентифицировать пользователя.
Особенно это актуально для статических IP-адресов, которые закреплены за конкретным пользователем. Но и динамические IP-адреса, меняющиеся при каждом подключении, также могут рассматриваться как персональные данные, если в совокупности с другой информацией они позволяют идентифицировать пользователя.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу.
- Постановление Конституционного Суда РФ № 17-П от 09.07.2013 — указало, что под персональные данные подпадают сведения, которые позволяют идентифицировать человека в совокупности с другими данными.
- Роскомнадзор в своих разъяснениях также относит IP-адреса к персональным данным при условии, что они позволяют определить пользователя.
Практика проверок
- Интернет-магазин использовал логи IP-адресов для анализа поведения пользователей без политики в отношении ПДн на сайте. Роскомнадзор признал это нарушением: IP-адрес — это персональные данные, значит, нужна политика и уведомление о сборе.
- Провайдер интернет-услуг обрабатывал статические IP-адреса клиентов. Проверка подтвердила, что они напрямую идентифицируют абонентов, и обязала оператора соблюдать ФЗ-152.
Важный нюанс
IP-адрес сам по себе может не позволять идентифицировать личность. Но в совокупности с другими данными (логины, cookies, информация из договоров) он почти всегда становится персональными данными. Поэтому безопаснее всегда относиться к ним как к ПДн.
Рекомендации и выводы
Да, IP-адрес признаётся персональными данными и требует соблюдения ФЗ-152. Организациям необходимо:
- Включить IP-адреса в перечень обрабатываемых ПДн (например, в политике сайта).
- Обеспечить информирование пользователей о сборе IP-адресов (баннеры, политика конфиденциальности).
- Определить правовые основания обработки (согласие через сайт, исполнение договора, закон).
- Включить порядок обработки IP-адресов в комплект документов по 152-ФЗ.
Компания ICTech поможет вашей организации провести аудит обработки данных на сайте и в ИТ-системах, включить IP-адреса в пакет документов и подготовить вашу компанию к требованиям Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
