Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Омской области было проведено контрольное мероприятие в отношении одной из управляющих организаций. В ходе проверки выявлены нарушения, связанные с обработкой персональных данных пользователей через аналитический сервис «Яндекс.Метрика». На основании проведенного анализа сформулированы ключевые требования, которые должны соблюдать все операторы, использующие подобные инструменты.

Выявленные нарушения

Согласно статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», к персональным данным относится любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо. В ходе проверки установлено, что сервис «Яндекс.Метрика» собирает данные о поведении пользователей на сайте, включая их предпочтения и действия, что классифицируется как обработка персональных данных. Однако УО на своем сайте не обеспечила выполнение следующих обязательных требований:

1. Отсутствие согласия пользователей на обработку их персональных данных через «Яндекс.Метрику». Согласно части 1 статьи 9 закона № 152-ФЗ, согласие должно быть конкретным, информированным и добровольным. В данном случае согласие не было получено, а иные правовые основания для обработки (например, договор или закон) отсутствовали.

2. Не опубликована политика обработки персональных данных. Часть 2 статьи 18.1 закона № 152-ФЗ обязывает операторов размещать на сайте документ, определяющий политику в отношении обработки персональных данных. В нем должны быть указаны:

   — Факт использования «Яндекс.Метрики» и других аналогичных сервисов.

   — Сроки обработки данных (например, «до достижения целей обработки»).

   — Меры защиты персональных данных.

Требования Роскомнадзора

На основании выявленных нарушений управляющей организации предписано:

1. Обеспечить информирование пользователей о факте обработки их персональных данных через «Яндекс.Метрику». Это можно сделать, например, с помощью всплывающего окна с запросом согласия.

2. Разработать и опубликовать политику обработки персональных данных, включающую сведения о применяемых аналитических инструментах, сроках обработки и мерах защиты.

Ответственность за нарушения

Несоблюдение требований законодательства влечет административную ответственность:

— По статье 19.7 КоАП РФ — за непредставление или несвоевременное представление информации в государственные органы.

— По статье 13.11 КоАП РФ — за нарушение порядка обработки персональных данных.

Управляющая организация обязана устранить нарушения в установленные сроки (10 рабочих дней с момента получения предписания) и предоставить подтверждающие документы в Роскомнадзор.

Использование аналитических сервисов, таких как «Яндекс.Метрика», требует строгого соблюдения законодательства о персональных данных. Операторы должны заранее получать согласие пользователей, публиковать политику обработки данных и обеспечивать их защиту. Игнорирование этих требований может привести к значительным штрафам и иным санкциям со стороны контролирующих органов.