Google Analytics и персональные данные

Google Analytics и персональные данные

Информационная безопасность, Персональные данные

Разобрали все законодательные тонкости по теме Google Analytics и персональные данные.

Google Analytics и файлы cookie на сайте

Прежде чем анализировать законодательство и практику контролирующих органов в отношении использования сервиса веб-аналитики Google Analytics (далее — GA), необходимо обозначить ряд исходных данных, которые необходимо учитывать при анализе:

Специфика сервиса GA

  • GA — это специализированный веб-сервис от компании Google, который предназначен для создания детальной статистики посетителей веб-сайтов.
  • GA использует файлы cookie для сбора и хранения данных о взаимодействии посетителей с сайтом. Эти файлы отслеживают различные активности, такие как посещённые страницы, время, проведённое на каждой странице, и источник трафика.
  • Таким образом, сервис GA обрабатывает полученную с сайта информацию, показывая в отчетах данные о посещениях, конверсиях, геолокации, провайдере, источнике трафика, операционной системе и других параметрах.

Файлы cookie и режим персональных данных

Что такое cookies? Это небольшие текстовые файлы, которые сайт сохраняет на устройстве пользователя. Они запоминают ключевую информацию: язык, город, товары в корзине, данные для входа и другие настройки. Это делает взаимодействие с сайтом удобнее и персонализированнее.

Правовой статус: это персональные данные. Согласно позиции Роскомнадзора, cookie-файлы являются персональными данными. Почему? Потому что они позволяют прямо или косвенно идентифицировать пользователя, его предпочтения и поведение в интернете.

Цитата из письма Роскомнадзора от 26.06.2024 № 08-242780:
«Если функционал сайта позволяет определить уникального посетителя и формировать сведения о его предпочтениях, это указывает на обработку персональных данных».

Что это значит для владельца сайта? Использование любых инструментов аналитики (включая Google Analytics, Яндекс.Метрику) обязывает оператора:

  1. Получить согласие пользователя на сбор и обработку его cookie. Просто факта использования сайта недостаточно — нужно явное согласие.
  2. Разместить на сайте понятную политику, которая подробно объясняет, какие данные собираются и для каких целей.
  3. Включить работу с cookie в свой внутренний документ об обработке персональных данных.

Решение для бизнеса: cookie-баннер. На практике эти требования реализуют с помощью всплывающего баннера (pop-up). Он должен:

  • Четко информировать о использовании cookies.
  • Запрашивать согласие пользователя (например, с помощью кнопки «Принять»).
  • Давать возможность отказаться или настроить типы cookie.
  • Предоставлять ссылку на политику конфиденциальности.

Мы рекомендуем внедрить такое решение на всех сайтах, где используется веб-аналитика. Это не только соблюдение закона, но и демонстрация уважения к приватности ваших клиентов.

Google Analytics и трансграничная передача персональных данных

Использование сервиса GA на сайте также тесно связано с требованиями ФЗ «О персональных данных» в отношении трансграничной передачи данных.

Позиция Роскомнадзора по отношению к GA

Роскомнадзор занял четкую позицию по Google Analytics. Ведомство однозначно считает его использование трансграничной передачей персональных данных.

В своих официальных разъяснениях РКН прямо указывает:

«Использование Google Analytics при обработке данных пользователей предполагает их передачу на территорию иностранного государства. Следовательно, оператор должен направить в Роскомнадзор уведомление о намерении осуществлять такую передачу в соответствии с частью 3 статьи 12 Закона». (Письмо Роскомнадзора от 26 июня 2024 г. № 08-242780).

Что это значит на практике? Если ваш сайт использует Google Analytics, вам необходимо уведомить об этом Роскомнадзор. Игнорирование этого требования может повлечь за собой риски.

Порядок уведомления РКН о трансграничной передаче данных

В настоящее время порядок уведомления Роскомнадзора о трансграничной передаче данных предусмотрен:

  • Ст.12 ФЗ «О персональных данных»
  • Постановлением Правительства РФ от 16 января 2023 г. № 24

Уведомление можно направить в виде документа на бумажном носителе или в форме электронного документа, подписанного УКЭП.

Форма уведомления размещена на Портале персональных данных РКН: здесь актуальная ссылка на сервис.

При этом закон предусматривает различный порядок уведомления о трансграничной передаче данных в зависимости от того, в какую страну осуществляется передача.

Передача данных в страны с адекватным уровнем защиты прав

Роскомнадзор определил список «безопасных» юрисдикций. Речь о государствах, которые обеспечивают адекватную защиту прав субъектов персональных данных. (См. Приказ Роскомнадзора от 5 августа 2022 г. № 128)

В этот перечень вошли две категории стран:

  1. Участники Конвенции Совета Европы №108 от 28 января 1981 года.
  2. Другие государства, чьи нормы права и меры безопасности данных соответствуют стандартам этой Конвенции.

Подробно о трансграничной передаче персональных данных читайте в отдельной статье по ссылке: Трансграничная передача персональных данных.

Подпадает ли Google под «безопасные» юрисдикции?

Нет. Несмотря на то, что часть её структурных единиц зарегистрирована в странах ЕС (например, Google Ireland Limited), этого недостаточно.

Вот ключевые причины:

  1. Глобальный характер обработки. Согласно Политике конфиденциальности Google, данные пользователей могут передаваться аффилированным лицам и доверенным партнёрам по всему миру для обработки от имени компании.
  2. Отсутствие территориальной привязки. Google открыто заявляет, что её серверы расположены в разных регионах мира. Данные конкретного пользователя могут обрабатываться не в стране его проживания или в государстве из «белого списка» РКН, а, например, в США или других странах.

Эти факты прямо указывают на трансграничную передачу персональных данных. Следовательно, использование продуктов Google требует обязательного уведомления Роскомнадзора.

Передача данных в страны, которые не обеспечивают адекватную защиту прав

Ситуация усложняется, если данные уходят в юрисдикции, не входящие в «белый список» РКН. Для этого закон устанавливает два жестких условия.

1. Согласие субъекта данных
Оператор обязан получить прямое письменное согласие человека на такую передачу. Разместить на сайте чекбокс «я согласен» недостаточно. Согласие должно полностью соответствовать всем требованиям части 4 статьи 9 ФЗ «О персональных данных».

2. Гарантии защиты и проверка РКН
До начала любой передачи оператор должен самостоятельно убедиться, что права субъектов данных будут защищены. Это требует активных действий:

  • Запросить у иностранного получателя (например, у Google) исчерпывающую информацию:
    • О мерах защиты, которые он применяет.
    • О правовом регулировании защиты данных в его стране.
    • Его контактные данные и реквизиты.
  • Провести юридический анализ полученных сведений. Оператор должен оценить, насколько иностранное законодательство и практика получателя обеспечивают безопасность данных.

Роскомнадзор вправе запросить этот анализ в любой момент. На предоставление ответа дается 10 рабочих дней (с возможностью продления до 15).

Итого, простой отправки уведомления в РКН недостаточно. Для передачи в «неадекватные» страны оператор и его иностранный партнер должны подготовить полноценное юридическое обоснование.

Риск запрета. На основании предоставленных документов Роскомнадзор может полностью запретить или ограничить трансграничную передачу. Решение принимается по правилам, утвержденным Постановлением Правительства РФ № 24 от 16 января 2023 г.

Таким образом, передача данных в такие страны запрещена, пока оператор не выполнит все требования и не получит молчаливое или прямое одобрение от регулятора.

Ключевые выводы

  1. Любая аналитика — это обработка персональных данных. Использование Google Analytics, Яндекс.Метрики и других сервисов, собирающих cookie-файлы, автоматически делает оператора subject to 152-ФЗ. РКН прямо указывает: cookies, позволяющие идентифицировать пользователя, — это персональные данные.
  2. Техническое решение — cookie-баннер. Это не просто «всплывашка», а ключевой инструмент комплаенса. Его функции: информировать, запрашивать согласие, предоставлять выбор и ссылку на политику конфиденциальности. Его отсутствие или несоответствие требованиям — прямой риск штрафов.
  3. Позиция РКН окончательна и однозначна. Использование Google Analytics и аналогичных зарубежных сервисов автоматически считается трансграничной передачей персональных данных. Это требует обязательного уведомления регулятора.
  4. Не все юрисдикции равны перед законом. Роскомнадзор утвердил «белый список» стран с адекватной защитой данных (например, участники Конвенции Совета Европы № 108). Передача данных в эти государства проходит по упрощённой процедуре — достаточно только уведомления.
  5. Google не считается «безопасным» оператором. Несмотря на наличие европейских филиалов, компания открыто заявляет о глобальном характере обработки данных. Это означает, что информация может попасть в любую страну, включая США, что не отменяет требования уведомлять РКН.
  6. Передача в «неадекватные» страны — это сложный процесс. Для передачи данных в юрисдикции не из «белого списка» (например, в США) недостаточно одного уведомления. Оператор обязан:
    • Получить прямое письменное согласие субъекта данных.
    • Самостоятельно провести правовой анализ гарантий, предоставляемых иностранным получателем, и быть готовым предоставить его РКН по первому требованию.
  7. РКН обладает правом вето. Регулятор может полностью запретить трансграничную передачу, если сочтет предоставленные гарантии защиты недостаточными. Передача данных до получения одобрения (или молчаливого согласия) РКН незаконна.

Главный итог: Работа с зарубежными IT-сервисами теперь сопряжена с прямыми юридическими обязательствами для российских компаний. Игнорирование требований Роскомнадзора влечет за собой высокие риски. Принятие решения об использовании таких инструментов требует предварительной правовой оценки.

Комплаенс в сфере персональных данных: как избежать рисков с «Итербиум»

Современное регулирование оборота персональных данных создало для бизнеса новый вызов. Требования Роскомнадзора ужесточаются, а трактовки законов постоянно меняются, как мы видим на примере с Google Analytics и cookie-файлами. Самостоятельно разобраться в этих хитросплетениях и быть на шаг впереди регулятора — задача крайне сложная.

Юридическая компания «Итербиум» специализируется именно на комплексном решении задач в сфере digital-комплаенса и защиты персональных данных. Мы помогаем бизнесу не просто реагировать на изменения, а выстраивать прочную и законную основу для работы с данными.

Наши ключевые услуги в рамках 152-ФЗ:

  • Юридический аудит ваших процессов.
  • Подготовка всей необходимой документации.
  • Сопровождение уведомлений в Роскомнадзор: Правильно подготовим и направим все необходимые уведомления о трансграничной передаче данных, будь то «адекватные» или «неадекватные» юрисдикции.
  • Правовая экспертиза иностранных контрагентов: Проведем анализ законодательства страны вашего иностранного партнера и подготовим юридическое обоснование для передачи данных, которое удовлетворит РКН.
  • Защита при проверках Роскомнадзора: Представим ваши интересы в ходе любых контрольных мероприятий и поможем избежать крупных штрафов.

Наш богатый опыт и глубокие отраслевые знания позволяют нам предлагать не шаблонные, а индивидуальные и практичные решения. Мы не создаем бюрократию — мы создаем вашу правовую безопасность.

Не ждите, пока риски станут проблемами. Доверьте комплаенс профессионалам.

Автор: Марина Новицкая, юрист и управляющий партнер Юридической компании «Итербиум».

Если вам нужна консультация по вопросам персональных данных

Для связи пишите в чат обратной связи на сайте либо на электронную почту firma@iterbium.ru или звоните по телефону +7 (499) 113-13-98.

Работаем онлайн!

Если вы находитесь в другом городе или стране — это не проблема. В компании всё организовано для того, чтобы вы могли получать профессиональную помощь юриста в сфере персональных данных.

Подробнее о наших услугах здесь.