По результатам анализа позиций Роскомнадзора можно сделать следующие выводы:
1. это сбор персональных данных, нужно декларировать в "Политике",
2. должно быть включено в уведомление об обработке,
3. должно быть включено в уведомление о трансграничной передаче,
4. должна быть локализация баз персональных данных,
5. позиция ЦА РКН: допускается обработка на основании пользовательского соглашения; позиция УРКН по ДФО: должно быть согласие.
Отсылки к позициям Роскомнадзора на основании которых сделан вывод.
Цитата с семинара Роскомнадзора от 29.09.22, время на записи 42:30
"Сведения, которые собираются с использованием метрическим программ - это те сведения, которые относятся к персональным данным. Соответственно должны будете декларировать в уведомлении об обработке персональных данных. Цель, которая должна быть указана в уведомлении, должна соответствовать цели в Политике … будь то статистический учет или анализ поведенческих характеристик пользователя на сайте, может быть еще какое-то множество целей.
Так или иначе должно быть совпадение тех целей которые Вы указываете либо в политике либо в пользовательском соглашении на этапе взаимодействия с посетителями вашего сайта с той информацией, которую указываете в уведомлении об обработке персональных данных."
Цитата с семинара Роскомнадзора от 29.09.22, время на записи 55:05
"…Google Analytics содержит соответствующие сведения. Разработчики [Google Analytics] прямо указывают на то что, определенные базовые сведения, в том числе, и поведенческие характеристики пользователей на сайте передаются в адрес компании разработчика для последующего анализа, оценки качества функционирования сервисов и т.д.
Если ... в договорах или лицензионных соглашениях содержатся положения, которые предусматривают передачу базовых сведений разработчику, это будет считаться трансграничной передачей и в этом случае необходимо будет уведомлять Роскомнадзор об осуществлении указанной трансграничной передаче персональных данных."
Из результатов мероприятий по контролю без взаимодействия с контролируемыми лицами в Марий Эл (от 11.10.22):
“5) нарушения ч. 5. ст. 18 Закона – на интернет-сайте оператора выявлено использование Интернет-сервиса «Google Analytics», посредством которого осуществляется обработка персональных данных пользователей сайта с использованием баз данных, находящихся вне территории Российской Федерации, в том числе трансграничная передача персональных данных посредством данного Интернет-сервиса;”
Из результатов мероприятий по контролю без взаимодействия с контролируемыми лицами в ДФО (от 11.10.22):
“...в документе, определяющем политику в отношении обработки персональных данных и (или) сведения о реализуемых требованиях к защите персональных данных, отсутствуют сведения о факте использования интернет-сервиса «Google.Analytics», а также перечень обрабатываемых с помощью интернет-сервиса «Google.Analytics» персональных данных. Также отсутствует согласие субъектов персональных данных на обработку их персональных данных с использованием интернет-сервиса «Google.Analytics»”.