Алексей Ветров
Эксперт по защите данных IC-TECH
Да, уведомление требуется. IP-адрес пользователя может считаться персональными данными, если он позволяет прямо или косвенно идентифицировать человека. При использовании IP-треккинга бизнес получает и хранит технические данные о посетителях, а значит, становится оператором ПДн. Даже если компания не собирает ФИО или телефоны, фиксируемые IP-адреса, cookie и информация об устройстве относятся к персональным данным в понимании 152-ФЗ.
Обоснование по законодательству
- Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому лицу.
- Разъяснения Роскомнадзора: IP-адрес, идентификаторы cookie и другие онлайн-идентификаторы могут относиться к персональным данным, если используются для анализа и формирования профиля пользователя.
- Ст. 22 ФЗ-152: уведомление подают все операторы, начинающие обработку ПДн.
Как правильно заполнить уведомление
В целях обработки можно указать:
– «продвижение товаров, работ, услуг на рынке»;
– «иная — анализ активности пользователей для улучшения качества услуг».
В категориях субъектов: «посетители сайта».
В перечне ПДн: IP-адрес, cookie-файлы, данные о действиях на сайте.
В разделе «место хранения базы данных»: серверы хостинг-провайдера (если в РФ) или зарубежные сервисы (Google Analytics и др.), при этом в последнем случае указывается, что трансграничная передача осуществляется.
Рекомендации и выводы
Использование IP-треккинга автоматически делает компанию оператором ПДн, даже без явных контактных данных клиентов. Это значит, что нужно подавать уведомление, а также включать в политику обработки ПДн раздел об использовании cookie и технических идентификаторов.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
