РКН, бизнес и метрические программы: как не нарушить закон при сборе статистики сайта

Под занавес ушедшего в безвременье 2024-го года меня спросили в комментариях, что такое метрические программы (МП). Попросили выдержку из закона.

Ведь Роскомнадзор требует от бизнеса предупреждать посетителей сайтов о том, что их персональные данные (ПД) обрабатываются метрическими программами, а что такое метрические программы, точного определения найти спрашивающему не удалось.

Предлагаю выяснить, существуют ли на самом деле метрические программы, находятся ли они сейчас в этой комнате и, если да, то как с ними работать, чтобы не попасть под штрафы Роскомнадзора.

Итак. Все началось с того, что в статье о 7 документах, которые обязательно должны быть на сайте компании, я указала на необходимость добавить согласие на обработку данных метрическими программами. Это важно для соблюдения пунктов Закона «О персональных данных». Независимо от того, сможем ли мы найти то самое истинное определение понятия метрической программы, вы все равно должны будете разместить на сайте и во всплывающем уведомлении согласие на обработку персональных данных МП, если используете хотя бы какой-нибудь вспомогательный сервис.

По ФЗ «О персональных данных», персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Метрические программы обрабатывают сведения об IP-адресе, поведении пользователя на сайте и иные любые сведения, которым можно косвенно определить пользователя, поэтому РКН относит данные, обрабатываемые метрическими программами, к персональным данным. Следовательно, на обработку этих персональных данных распространяются те же требования, что и на обработку других персональных данных.

Для обработки данных необходимо иметь основание. Им может быть согласие.

По результатам проверок (контрольных мероприятий без взаимодействия) РКН направляет владельцам сайтов требования пояснить, на каком основании данные обрабатываются метрическими программами. При этом даются ссылки на пункты пользовательских соглашений соответствующих метрических программ, в которых указано на перечень данных, обрабатываемых метрическими программами.

Информация о том, что данные обрабатываются метрическими программами должна быть указана и в Политике обработки персональных данных. В Политике и Согласии необходимо указать цели обработки данных, объем данных, сроки обработки и т.д.

Современные проблемы требуют современных решений. Метрические программы хорошо справляются с отведенной им ролью: собирают сведения об уникальных посетителях, анализируют их поведение на сайте, описывают интересы и т.д.

Четкого определение МП закон не дает: разочарую (или обрадую) вас сразу. Почему? Потому что закон содержит определения персональных данных и автоматизированной обработки данных. Необязательно устанавливать определение метрической программы. Важно, какие действия и с какими данными производит тот или иной сервис. Всем сервисам, обрабатывающим персональные данные, дать определения невозможно.

Метрические программы призваны аккумулировать и классифицировать информацию о пользователях – это инструмент для сбора и анализа данных о поведении пользователей на сайте. Если вы примете это определение как правдивое, то вряд ли ошибетесь, когда будете создавать и размещать на сайте документы о работе с персональными данными.

Может, тогда проще отказаться от использования метрических программ?

Нет, отказываться от метрических программ из-за того, что они обрабатывают персональные данные пользователей сайта, не нужно. Дело в том, что МП – действительно эффективный инструмент для измерения показателей работы проекта. Он позволяет сопоставлять нынешние коэффициенты с прошлыми, распознавать тенденции, делать прогнозы, обнаруживать проблемы и совершенствовать не только интерфейс и наполнение сайта, но стратегии продвижения бизнеса в целом. В общем, полезная штука в умелых руках. Не недооценивайте ее.

Самое важное, что вы должны сделать в контексте работы с метрическими программами и персональными данными – создать и разместить на сайте соглашение на обработку персональных данных для сайта и указать на использование МП в политике конфиденциальности (обработки персональных данных). В этих документах укажите также про всплывающее уведомление об использовании файлов cookie. Оно должно содержать предупреждение об использовании метрических программ, включать ссылку на текст согласия и кнопку «принимаю».

Ничего откровенно сложного в этом нет. Да, придется потратить какое-то время, чтобы разобраться в деталях, но это того стоит. И, конечно, любому владельцу сайта доступно читерство в виде помощи юриста.

Текст согласия может выглядеть так:

Пользователь при использовании сайта (далее – Сайт) дает настоящее Согласие на обработку персональных данных (далее – Согласие), ООО __ ИНН __, ОГРН __, адрес: ____ (далее – Оператор).

Согласие дается путем нажатия пользователем кнопки «принимаю» рядом с текстом: «Мы используем файлы cookie, оставаясь на сайте и нажимая кнопку «принимаю», вы подтверждаете, что даете согласие на обработку персональных данных метрическими программами, ознакомлены и принимаете условия политики в отношении обработки персональных данных.

Согласие является конкретным, предметным, информированным, сознательным и однозначным.

Перечень персональных данных, на обработку которых пользователь, дает свое согласие: данные, собираемые метрическими программами: (наименование программ).

Цель обработки персональных данных: в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров с использованием соответствующих сервисов.

Это основные пункты. Разумеется, вы можете адаптировать согласие на обработку персональных данных метрическими программами к своей ситуации. Единственное, подходите к этому ответственно: это действительно важно. Больше о нюансах работы бизнеса без нарушения законодательства я рассказываю здесь.

Буду признательна обратной связи: напишите, удалось ли мне объяснить про метрические программы с точки зрения законодательства? С чем не согласны?