История браузера может признаваться персональными данными, если позволяет прямо или косвенно идентифицировать пользователя. Сам список посещённых сайтов — это ещё не ПДн, но в сочетании с другими идентификаторами (IP-адресом, cookie, логином, профилем в приложении) он может указывать на конкретного человека и его интересы.
Когда история браузера — это ПДн:
- если она собирается вместе с уникальными идентификаторами устройства или аккаунта;
- если данные используются для профилирования конкретного пользователя (таргетированная реклама, поведенческая аналитика);
- если история прямо связана с конкретным физическим лицом (например, в корпоративной учётной записи сотрудника).
Когда история браузера не является ПДн:
- если информация хранится только в обезличенном виде и не позволяет определить личность;
- если сбор ведётся исключительно для статистики посещений сайта без привязки к конкретному человеку.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся прямо или косвенно к определённому физическому лицу.
- Письмо Роскомнадзора от 27.05.2014 № 08-7234 — сведения об онлайн-активности (включая cookie и историю действий) могут считаться ПДн, если идентифицируют пользователя.
- Ст. 6 ФЗ-152 — обработка возможна только с согласия субъекта или при наличии законного основания.
- Ст. 13.11 КоАП РФ — нарушение правил обработки ПДн влечёт штраф.
Практика и позиция Роскомнадзора
Роскомнадзор рассматривает историю интернет-активности как персональные данные, если она собирается в связке с другими идентификаторами. Например, в проверках фиксировались случаи, когда интернет-магазины сохраняли полную историю кликов и поисковых запросов пользователей без согласия. Такие действия признавались нарушением, поскольку данные использовались для таргетинга.
Вместе с тем, обезличенные массивы данных о посещаемости (например, сколько раз за день открыли сайт) могут не подпадать под понятие ПДн.
На что обратить внимание компаниям
История браузера относится к категории чувствительных данных: она может раскрывать интересы, убеждения и привычки человека. Поэтому регуляторы (в том числе европейские в рамках GDPR) особо строго относятся к её обработке. В РФ тенденция аналогичная: при работе с поведенческими данными требуется либо согласие пользователя, либо гарантированное обезличивание.
Рекомендации и выводы
История браузера признаётся персональными данными, если по ней можно идентифицировать конкретного пользователя. Чтобы избежать нарушений, компании нужно:
- Получать согласие на сбор и обработку истории действий (например, через политику cookie).
- Обеспечивать обезличивание, если данные нужны для статистики.
- Прописывать порядок работы с поведенческими данными в комплекте документов по 152-ФЗ.
- Исключить использование истории браузера в маркетинговых целях без согласия.
Компания ICTech поможет вашей организации выстроить законные процессы работы с историей браузера, разработать корректные формы согласий и включить порядок обработки в пакет документов по ФЗ-152.
