РКН: Использование аналитики может привести к блокировке сайта

Неправильное использование сервисов аналитики «Google Analytics» и «Яндекс-метрика» может привести к ограничению доступа к сайту, заявил Роскомнадзор.

Таганский суд Москвы 19 декабря по иску Роскомнадзора к французскому регистратору доменов Gandi SAS вынес решение о блокировке сайта «коллективного голосования» 2019.vote. Ранее, 14 декабря, было опубликовано решение о добавлении сайта в реестр нарушителей обработчиков ПД в качестве обеспечительной меры по иску, а с 7 декабря началось ограничение доступа к сайту провайдерами:
Представитель Роскомнадзора объяснил, что в конце ноября на сайт поступили жалобы от нескольких неназванных граждан, которые пожаловались на незаконную обработку их данных на странице «умного голосования». После этого сотрудники ведомства провели собственную проверку, которая подтвердила наличие нарушений закона о персональных данных: форма для сбора данных на сайте Навального не соответствовала критериям, прописанным в законе, кроме того, на ресурсе не было прописанной политики конфиденциальности. Также Ампелонский добавил, что данные пользователей хранятся на зарубежных серверах, что противоречит законодательству.

В заседании 19 декабря в качестве одного из аргументов истец привел то, что на сайте используются системы аналитики «Google Analytics» и «Яндекс-метрика» в нарушение Закона о защите персональных данных и Условий их использования. В качестве доказательства были приведены фотографии HTML-кода сайта в браузере Opera. Эту информацию сегодня РКН подтвердил в официальном пресс-релизе на своем сайте:
Речь идет о требованиях Федерального закона «О персональных данных» и Условий использования GoogleAnalytics, предусматривающих обязанность администрации сайта при сборе персонифицированной информации о посетителях данного сайта уведомлять их о сборе данных, получать согласие на их обработку и размещать документ, регламентирующий политику конфиденциальности в отношении собираемых данных.

Однако данные требования администратором сайта 2019.vote не были выполнены.

Таким образом, речь шла не о претензиях Роскомнадзора к метрическим программам компаний Google, ООО «Яндекс», а о неисполнении администратором сайта 2019.vote требований метрических программ «GoogleAnalytics», «Яндекс.Метрика», указанных в Условиях их использования.

В связи с чем Таганским районным судом города Москвы за невыполнение, в том числе вышеперечисленных требований, принято решение об ограничении доступа к сайту до устранения выявленных нарушений.
К сожалению, в пресс-релизе не уточнено, какие именно категории «персональных данных» собирают сервисы аналитики. Так, при изучении официального сайта РКН можно найти комментарии, где говорится, что ФИО, номер телефона или email могут не являться персональными данными, а счетчики собирают менее чувствительные данные вроде IP-адреса (при этом просмотреть его целиком не дают). Например, ФИО сами по себе не считаются ПД:
3. Вопрос: Является ли обработкой персональных данных размещение фамилии, имени и отчества без иной дополнительной информации?

Ответ: Размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.
Номер телефона с точки зрения РКН не является ПД:
Вопрос: Является ли обработкой персональных данных, осуществление телефонных звонков с целью проведения телефонных опросов граждан?

Ответ: Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
Также не считается ПД и адрес электронной почты:
Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.
К сожалению, многие сайты, использующие сервисы аналитики, не уведомляют посетителей, и не получают их согласие на сбор данных. Таким сайтам, во избежание блокировки, стоит срочно принять меры по исправлению ситуации. К примеру, если открыть исходный код сайта «Сервер органов государственной власти РФ» gov.ru, то можно увидеть использование «Google Analytics» и «Яндекс-метрики», при этом предупреждение о сборе данных не выводится и согласие пользователя на сбор данных не спрашивается.

Не спрашивается согласие на сбор данных и на сайте партии «Единая Россия», где установлены сервисы «Live Internet», «Яндекс-метрика», «Facebook Pixel» (2 экземпляра), «Рамблер топ 100». Нет этого и на сайте «Вести.ру», где подсчетом посетителей занимается плеяда из «Piwik», «Adblockmetrics», «Rating@Mail.ru», «Яндекс-метрика», «LiveInternet», «Google Analytics», равно как и рекламные сети «AdFox», «1banner». Не отстают от «второго» их коллеги с «первого» канала — на их сайте имеются «незадекларированные» «LiveInternet Counter», «Яндекс-Метрика», «Google Analytics», и виджеты от «Facebook», «VK», «Одноклассников», «Twitter», тоже собирающие аналитику.

Стоит заметить, что полноценная блокировка работы сайта на территории РФ пока не обеспечивается. По сообщению некоторых пользователей, сайт доступен у их провайдеров при использовании DNS-сервера 8.8.8.8 от компании Google. Судя по записям (от 4.12 и от 14.12) на сайте Роскомсвобода, сайт сменил уже более 330 IP адресов, а «за компанию» доступ мог быть ограничен, по оценке, к 362 доменам.

Хабрапользователям, использующим сервисы аналитики, рекомендуется проверить, соблюдаются ли на их сайтах требования регулятора.

Дополнение: А. Литреев обнаружил несоответствие требованиям на сайте Госдумы в дополнение к упомянутым в статье. Также, он обнаружил, что на сайте Госдумы есть форма обратной связи, собирающая данные пользователей. По этому поводу он написал обращение в Роскомнадзор.

Дополнение. По информации пользователя Хабрахабр, сайт Сбербанка, возможно, тоже не соответствует требованиям РКН. Если зайти на сайт www.sberbank.ru с открытыми на вкладке Network инструментами разработчика, то можно увидеть множество обращений к системам аналитики: «RetailRocket» (скрипт с говорящим названием tracking.js), «RuTarget», «Google Analytics», «Google Adsense», «Яндекс-метрика» (порядка 8 счетчиков с разными id), скрипты Facebook, «Artfut.com», «Doubleclick», «Top Mail.ru». Напомним, что у РКН уже давно имеются претензии к иностранным компаниям Google и Facebook, вдобавок против последней в США ведется расследование по фактам передачи данных о пользователях сторонним компаниям.

Также, сайт Сбербанка содержит скрипт «ретаргетинга» от Вконтакте. Этот скрипт передает Вконтакте информацию о том, что данный пользователь сети заходил на сайт Сбербанка, и может использоваться для показа более релевантной рекламы, а также позволяет Сбербанку «исследовать аудиторию, которая посещает сайт». Как работает данная система, описано в документации на сайте соцсети. На ней утверждается, что:

Пиксель ретаргетинга ВКонтакте — это JavaScript-код, который вставляется в исходный код сайта и позволяет отслеживать всех его посетителей: как только человек заходит на сайт, пиксель ретаргетинга автоматически его учитывает.

Если этих возможностей недостаточно, Вконтакте предлагает более точные методы для нацеливания рекламы на определенных пользователей:

При ретаргетинге по файлу производится загрузка заранее приготовленного списка, который состоит из номеров телефонов, адресов электронной почты и/или идентификаторов (ID) страниц ВКонтакте нужных вам пользователей. Если у вас есть мобильное приложение, вы также можете загрузить список идентификаторов мобильных устройств — рекламные ID Apple (IDFA), Android и Google (GAID).

После загрузки файла на сервер все данные из него будут обработаны и сопоставлены с базой пользователей ВКонтакте.



Ни один пользователь из списка файла не узнает о добавлении в аудиторию ретаргетинга, и мы никогда не станем как-либо обращаться к ним без вашего участия.

При всем этом сайт Сбербанка не показывает пользователю предупреждение о сборе информации о нем, как и не спрашивает его согласия. Там есть лишь предупреждение про использование кук, и оно ничего не говорит про передачу данных сторонним компаниям.

Банку и соцсети стоит перепроверить соответствие механизма «регтаргетинга» действующему законодательству во избежание блокировки их сервисов.

Дополнение: по сообщениям пользователей, на странице с пресс-релизом сайта РКН также обнаружен скрипт аналитики от компании «Спутник», компанию которому составляет Яндекс-Метрика. Также, на сайте РКН имеется скрипт, который содержит в себе код для сканирования компьютера пользователя на наличие программ для анализа трафика, таких, как Fiddler. Вот пример кода для обнаружения этого инструмента:

t.src = "http://127.0.0.1:8888/FiddlerRoot.cer", t.onerror = function() {
                        if ((new Date).getTime() - e < f) {
                            var t = "Tool: Fiddler; Open Port: 8888";

Кроме Fiddler, проверяется наличие программ «acunetix», «beef», «burp», «zap», «netsparker», «sleepypuppy», «sonar», «xbackdoor», «xenotix», «dominator», «littleDoctor» и использование утилит Casper.js или Phantom.js. Согласия пользователя на проведение сканирования и передачу данных компании «Спутник» сайт РКН на момент публикации не запрашивает.

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить
  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт

Кодекс авторов Хабра и хабраэтикет
Полная версия правил сайта


Дополнение: Таганский суд опубликовал решение по делу. Из него можно узнать много нового, в частности:

Однако, по данным источников «whois» установлено, что услуги по предоставлению вычислительной мощности для размещения баз данных, содержащих персональные данные граждан Российской Федерации, посредством которых обеспечивается запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, постоянно подключенных к сети «Интернет»… осуществляется посредством серверных мощностей компании Cloudflare, Inc., расположенной на территории Соединенных Штатов Америки


Из этого можно сделать такие выводы:

— адрес офиса компании в Whois признается судом адресом размещения сервера с данным IP
— по whois можно определить географическое расположение базы данных сайта

Заметим, что по данным whois, сайт Единой России использует Cloudflare, и получается, он тоже рискует быть заблокированным.

Суд высказался и про использование аналитики:

Представитель истца отмечает и то, что ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных, в Политике конфиденциальности интернет-ресурса 2019.vote об использовании сервисов при обработке персональных данных, сведений не содержится, что также является нарушением ФЗ № 152.


Двусмысленно толковать этот абзац нельзя: использование аналитики является сбором персональных данных. Напомним, что аналитика используется на огромном числе сайтов, включая сайт Единой России, Первого канала и «Вестей».

Хабрапользователям рекомендуется изучить решение суда, чтобы проверить, не противоречат ли ему их сайты.

Only registered users can participate in poll. Log in, please.

Спрашиваете ли вы согласие на сбор данных аналитикой на своем сайте?

Share post

Comments 107

    –3

    Всевозможные аналитики и трекеры на посещаемых сторонних сайтах — режу своей проксей. На своих — если делаю счетчик, то собственный, а не сторонний.

      +7

      За вами уже выехали.

        +3

        Да вы экстремист

        +10
        Слишком тонкая шутка для нашего цирка. (с) Известный анекдот
          +22
          Чёт примеры даже слабоваты. В личном кабинете сбербанка (сбербанк онлайн) торчит гугл, яндекс, rutarget.ru, doubleclick.net, и никаких уведомлений. Когда заблокируют?
            +10
            Так надо подать заявление в тот роспозор!
              +1
              Когда заблокируют?
              Когда Сбербанк будет принадлежать Навальному. То есть, никогда.
              +14

              Ерунда какая-то. Просто сказали придумать повод для блокировки.

                +17
                Да, но хороших поводов накопать не смогли и в результате в ход пошла методика «докопайся до столба» (с)
                +21
                У нас не прецедентное право, поэтому суды могут делать как им захочется в каждом конкретном случае. Например Навальному — нельзя, а первому каналу — можно. И главное, все в соответствии с законом. Печально в общем…
                  +9
                  К тому же, ширина понятия «персональные данные» изменяется в зависимости от того, нужно ли закошмарить (вспоминаем прокуроров, которые прямо по алфавиту штрафовали компании, у которых на сайте была форма обратной связи) или отмазаться («это не персональные данные, гуляй, гражданин, не отвлекай от работы»).

                  В общем, как в анекдоте про синус в военное время.
                    +2
                    Вообще, я сомневаюсь, что тут все в соответствие с законом. Если почитать решение суда — там многое не доказано: не доказано, что аналитика собирает персональные данные, не доказано, что сайт их собирает, не доказано, что данные хранятся за пределами РФ (адрес из whois это никак не доказывает). Плюс, не понятно, почему ответчиком назначен регистратор доменов: он что ли данные собирает? Он лишь указывает на IP сайта. По такой логике, за громкую музыку в квартире надо подавать в суд на Росреестр — у них же записано, кому принадлежит квартира.
                    +20

                    Вполне прямой месседж же дали: был бы сайт, а повод для блокировки найдётся. Хоть каждое утро законы читай, толку с этого не будет.

                      +3
                      Да и gosuslugi видимо сами не могут считать статистику, на sputnik и yandex отправляют.
                      И ajax.googleapis.com — на свои сервера денег не хватает, что бы jquery.min.js хранить.
                        +6
                        Также Ампелонский добавил, что данные пользователей хранятся на зарубежных серверах, что противоречит законодательству.

                        А как они определили, на каких серверах хранятся данные?
                        Они что, похакали те сервера и всё там внутри изучили?
                          0
                          Спросили у Яндекса.
                            +1
                            В решении суда написано же:

                            Однако, по данным источников «whois» установлено, что услуги по предоставлению вычислительной мощности для размещения баз данных, содержащих персональные данные граждан Российской Федерации, посредством которых обеспечивается запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, постоянно подключенных к сети «Интернет»… осуществляется посредством серверных мощностей компании Cloudflare, Inc., расположенной на территории Соединенных Штатов Америки


                            Из этого можно сделать такие выводы:

                            — адрес офиса компании в Whois признается судом адресом размещения сервера с данным IP
                            — по whois можно определить географическое расположение базы данных

                            Кстати по данным whois, сайт Единой России использует Cloudflare, и получается, он тоже рискует быть заблокированным.
                            +2
                            Правильней написать, может служить поводом для блокировки неугодных сайтов. Мы живём в стране выборочного применения законов.
                              +2
                              А где гарантия, что ваш сайт в один момент не станет кому-то неугодным?
                                0
                                Согласен и добавлю…
                                Не только «выборочного применения законов», но и выборочная «оценка» одних и тех же, по сути, законов, но в разных странах.
                                –5
                                А где пункт `Я не навальный`?
                                  +11

                                  Сначала они пришли за навальнистами.

                                    +1
                                    там еще и заголовок не совсем корректный: должно быть «Под предлогом использования систем аналитики «Google Analytics» и «Яндекс-метрика» РКН подала иск на сайт. По результатам суда сайт теперь внесен в реестр.»
                                    Дело то не в аналитике, а в том, что нужен был предлог. Не было бы метрик — прицепились бы к верстке и отступам.
                                      +5
                                      Аппетит приходит во время еды. Сегодня они забанили Навального, завтра АКИТ попросит забанить сайты про покупки на Али (несертифицированные товары), потом заблокируют поисковые системы за ссылки на пиратские сайты, потом сайты про биткойн, потом гитхаб (содержит средства для обхода блокировок и утилиты для взлома). Или вам кажется, что это нереалистично?
                                        –5
                                        Украинцы вот вполне съели блокировку Яндекса (включая ту же Метрику), ВК, Mail.ru и т.д, хотя это были одни из самых посещаемых в/на Украине сайтов.
                                          +9

                                          А, ну тогда ладно, тогда все в порядке. Если на Украине же. Мы же не хотим чтобы как в Париже

                                            0
                                            Я не к тому, что «а посмотрите, как на Украине», я к тому, что если вам кажется, что когда в России будут блокировать например Гугл кто-то массово начнёт протестовать, то далеко не факт. На Украине это прошло гладко. Возможно, там блокировки работают хуже чем у нас, но сам факт. Украинские пользователи промолчали и перешли на VPN, украинские сайты послушно удалили у себя интеграцию с сервисами Яндекса (Карты, Метрика). И никаких массовых возмущений.
                                              +1
                                              Постсоветское пространство вообще плохо в возмущения умеет, складываются годы дрессировок. Но вопрос-то был не про это.
                                              +3
                                              «Как в Париже» — это 35-часовая рабочая неделя и 5 недель отпуска? А почему бы и нет?
                                              +1

                                              Не смешите. Большинство просто поставило себе VPN, и продолжило использовать эти сайты. Я вот из принципа всегда при покупках в веб-магазинах указываю свой email @ya.ru, не смотря на то, что там зачастую висят предупреждения о том, что с таким email могут быть проблемы… и пока ещё ни одной проблемы не было.

                                                0

                                                У меня на сайте где-то четверть посетителей была с Украины. Как только его там забанили, поток упал почти до нуля. Во ВКонтакте, насколько я знаю, аналогично. Да, ресурсы, рассчитанные на условно продвинутых пользователей, хотя бы уровня торрент-трекеров, при блокировках теряют мало. Но сайты, ориентированные на обычных пользователей теряют сразу почти всех.

                                                  0
                                                  А как вы определяете пользователей из Украины, которые используют vpn? Вы не думаете, что они теперь просто определяются как пользователи из других стран? Упала ли общая посещаемость вашего сайта на четверть?
                                                    0

                                                    Да, посещаемость упала. К сожалению, колебания посещаемости очень большие, поэтому оценить падение точно невозможно. Но оно было. И прибавки посетителей по другим странам нет. Хотя, если украинцы ходят через русские VPN, это заметить сложно, из-за того, что российский трафик — основной.

                                                +1
                                                Неа. Не съели. Все обходят, кому это надо. Много способов. Проблема, конечно, осталась с юридическими блокировками, к примеру, украинского гаранта Webmoney, что усложнило работу с ними, но и там нашли пути обхода.

                                                Протесты были, но, увы, не особо массовые. Предпочитают тихо обходить блокировки.
                                              0
                                              Это дает вам какие-то преимущества по закону?
                                              +1
                                              нужно аналитику не с клиента отправлять, а с сервера…
                                                +3

                                                Не нужно. Заходят докопаться, докопаются до верстки, как уже выше отметили. Можно пытаться исполнить закон, вся задача которого — сделать человека нарушителем, но бесполезно.

                                                  +3
                                                  Это понятно. Полностью согласен. Буква «К» должна быть написана без засечек в заголовке «За Передовую Магию»…
                                                +8
                                                Там один телеграмоактивист взял несколько «гос-трастовых» сайтов с метриками и запулил ответочку в РКН. Ждем, жуем попкорн
                                                  +1
                                                  Это сайты — кого надо сайты, они вообще в белом списке, которого нет, так что в жалобе отказать. /сарказм
                                                  +11
                                                  Когда в 2012 году вводился механизм блокировок, и это объяснялось тем, что нужно прекратить пропаганду наркотиков и самоубийств, думали ли вы, что через 5 лет будут блокировать уже и за наличие Яндекс Метрики?
                                                    +27
                                                    Да.
                                                    +12

                                                    Блокируют не "за что-то", а "кого хочется". И да, я лично был уверен, что стоит ввести механизм блокировок, как через несколько лет блокировать будут всё, что захотят — это было довольно очевидно. Проблема в том, что куча народа тогда искренне верила, что всё это реально для защиты детей, даже на хабре.


                                                    Скоро нам расскажут, что детей никак не получается защитить без Великого Русского Файрволла, внедрить который можно совершенно без затрат из бюджета, и, не сомневаюсь, многие и в это поверят. Потому что большинству думать своей головой слишком сложно, проще повторять за телевизором или ближайшим авторитетом и чувствовать себя при этом умными. К сожалению, это изменить слишком сложно, и надо начинать с нормального образования… а пока кто эффективнее продвигает свою пропаганду, тот и захватывает умы большинства, поэтому борьба с "чужой" пропагандой с помощью админ-ресурса важна для сохранения власти — и важна настолько, что они даже не очень стараются выбирать правдоподобные основания для блокировок.

                                                      +2
                                                      Меня здесь расходы бюджета волнуют меньше всего. Печально, что кроме философской проблемы свободы будут (уже есть) вполне печальные конкретные последствия экономического характера. IT будет более изолированным, коллеги работающие с AWS все большей редкостью, западные стартапы не будут приходить в Россию будучи неготовыми соблюдать миллион законов, приходить будут только 10-летние корпорации. Чем сильнее этот фаервол будет мешать каждоневной работе. тем быстрее IT-шный народ будет валить в адекватные страны.
                                                      Китай кстати знаменит практически нулевым уровнем в софтостроении
                                                        0
                                                        куча народа тогда искренне верила, что всё это реально для защиты детей, даже на хабре.


                                                        В Деда Мороза небось до сих пор верят?
                                                          0
                                                          Великого Русского Файрволла, внедрить который можно совершенно без затрат из бюджета

                                                          Без затрат из бюджета не получится никак. Если не хватит, средства выделят из Фонда национального… спасения… или… согласия? Как там его правильно называют?
                                                            0
                                                            Можно провайдеров обязать на свои плечи это взвалить. Не будут файерволить, отключим газ лицензию. Половина сразу помрет, но им от этого даже лучше.
                                                          0
                                                          Нет, я полагал что на это либо понадобится больше времени (лет 10), либо не будет вообще никогда.
                                                            +2
                                                            В тот момент это было достаточно очевидно. Не в плане именно Яндекс Метрики, но что будут добиваться возможности блокировать «кого надо» по любому поводу это было точно. Закон был настолько явным ответом на массовые протесты, причем не единственным (увеличение штрафов, закон об иностранных агентах и т.д.), что ожидать другого было бы немного странно.
                                                              0
                                                              Строго говоря нет. Это объяснялось защитой детей от информации, которая может нанести им вред. В основном там фигурировала педофилия всякая и секс
                                                              –6
                                                              Не использую подключаемые аналитики. Анализа логов веб-сервера хватает. Вопрос в том, какую цель мы ставим — предоставить полезную информацию или площадку для пользователей или пытаться им навязать продукт или сервис? Аналитика больше нужна именно для второго.
                                                                +3
                                                                Все хорошо, Вы молодец, но из-за использования аналитики нужно блочить сайт?
                                                                ЗЫ Аналитика нужна для удобного отображения информации, а не рыскания по гигабайтным access логам.
                                                                  0
                                                                  Подключаемые аналитики постоянно отправляется на сторонние ресурсы, независимо от желания пользователя. Спасают только uBlock и другие блокировщики. Возможно, блокирование сайта выглядит слишком радикально. Я бы переделал закон, который обязывает сайт предложить пользователю согласиться на использование аналитик, и пока он явно не подтвердит — ни байта не слать на сторонние ресурсы. А вот те сайты, которые проигнорируют это требование или мешают пользователю работать без соглашения на подключение аналитики — банить.

                                                                  И рыскать по гигабайтным логам не нужно, есть сборщики и анализаторы логов, которые работаю в фоне и готовы предоставить графики в любой момент.
                                                                    0
                                                                    То есть вы поддерживаете систему блокировок, если РКН пообещает использовать ее только для сайтов-нарушителей правила «ни байта мимо»?

                                                                    Подвох
                                                                    Заметьте, что тут речь о возможности блокировать, а не об обязанности. Ну и в 2012 нам тоже обещали, что это все для защиты детей.
                                                                      –1
                                                                      В общем-то, да. Приватность пользователей важнее.
                                                                      0
                                                                      Так не будет. Сайт будет предлагать согласиться на использование аналитик, а при отказе не будет давать доступ. Аналог модель пермишенов в приложениях на мобильных платформах, или например на каждом сайте в UK всплывает окошко требуя принять работу с куками (аналогичный вашему закон). 99.99% будет соглашаться не читая даже.

                                                                      Далее, банить не получится, они могут сделать какой-нибудь урезанный режим, сказав, что без внешних сервисов работать не могут.

                                                                      Ну и самое главное, вы отстали от технологий лет на 5-10. Пока вы вручную разгребаете логи и ни байта не шлете внешним сервисам, современные веб приложения интегрируют множество внешних веб сервисов, начиная от низкоуровневых облаков IaaS, PaaS, и кончая такими сервисами уровня приложения как аутентификация, или даже полное управление пользователями, прием платежей, подписки, рекомендательные движки, система комментариев, управление пользовательским контентов включас сканирование антивирусами, анализ логов, эксепшенов итд итп. Почитайте аналитику, сколько внешних сервисов использует средний сайт. Если это все отключить, то останется статический landing page.
                                                                        0
                                                                        Вот, кстати, по GDPR нельзя из-за этого отказывать в обслуживании. Там такое предусмотрели.
                                                                          0
                                                                          в смысле «нельзя отказывать в обслуживании»?
                                                                          Показ статической заглушки «спасибо, что не согласны смотреть наш сайт (х)» — считается?
                                                                            +1
                                                                            Именно так, что нельзя: gdpr-info.eu/issues/consent

                                                                            > While being one of the more well-known legal bases for processing personal data, consent is only one of six bases mentioned in the General Data Protection Regulation (GDPR). The others are: contract, legal obligations, vital interests of the data subject, public interest and legitimate interest as stated in Article 6(1) GDPR.

                                                                            > The basic requirements for the effectiveness of a valid legal consent are defined in Article 7 and specified further in recital 32 of the GDPR. Consent must be freely given, specific, informed and unambiguous. In order to obtain freely given consent, it must be given on a voluntary basis. The element “free” implies a real choice by the data subject. Any element of inappropriate pressure or influence which could affect the outcome of that choice renders the consent invalid. In doing so, the legal text takes a certain imbalance between the controller and the data subject into consideration. For example, in an employer-employee relationship: The employee may worry that his refusal to consent may have severe negative consequences on his employment relationship, thus consent can only be a lawful basis for processing in a few exceptional circumstances. In addition, a so-called “coupling prohibition” or “prohibition of coupling or tying” applies. Thus, the performance of a contract may not be made dependent upon the consent to process further personal data, which is not needed for the performance of that contract.

                                                                            То есть, если вы делаете заказ в Интернет-магазине, то для обработки заказа магазину требуется обработать ваши персональные данные (например, адрес, чтобы доставить товар, и телефон для связи с вами). Это подпадает под «contract» и не требует согласия. Согласие требуется для дополнительной обработки ПД — например, добавление пользователя в список рассылки или продажу его данных брокеру ПД. На мой взгляд, логично.

                                                                            Согласие должно даваться «свободно», то есть нельзя отказаться продавать товар в случае отказа:

                                                                            > Thus, the performance of a contract may not be made dependent upon the consent to process further personal data, which is not needed for the performance of that contract.

                                                                            Иначе это не «свободный» выбор. Заметьте, насколько адекватно все продумано, и сравните с мнением РКН (который то считает данные персональными, то не считает) и решением российского суда (который местонахождение базы данных определил по whois).

                                                                            Кстати, жулики из Яндекса, которые пишут серым текстом на форме оплаты, что «нажимая кнопку, вы соглашаетесь с условиями» — явно под требования GDPR не подошли бы, да и под российские законы вряд ли. Даже удивительно, как они до сих пор избежали внимания РКН.

                                                                          0
                                                                          Сайт будет предлагать согласиться на использование аналитик, а при отказе не будет давать доступ.

                                                                          Не принимает отказ — можно заблокировать. Пару блокировок — и другие сайты разрешат работу без аналитик на стороне.
                                                                          Далее, банить не получится

                                                                          Почему? Судя по опыту Роскомнадзора, вполне получится.
                                                                          они могут сделать какой-нибудь урезанный режим, сказав, что без внешних сервисов работать не могут

                                                                          РКН скажет, что пусть внешние сервисы перемещают свои сервера на территорию России, если вы хотите ими пользоваться.
                                                                          Ну и самое главное, вы отстали от технологий лет на 5-10. Пока вы вручную разгребаете логи и ни байта не шлете внешним сервисам, современные веб приложения интегрируют множество внешних веб сервисов, начиная от низкоуровневых облаков IaaS, PaaS, и кончая такими сервисами уровня приложения как аутентификация, или даже полное управление пользователями, прием платежей, подписки, рекомендательные движки, система комментариев, управление пользовательским контентов включас сканирование антивирусами, анализ логов, эксепшенов итд итп. Почитайте аналитику, сколько внешних сервисов использует средний сайт. Если это все отключить, то останется статический landing page.

                                                                          Ну и самое главное, что пользователя эти проблемы не касаются. Собирать их можно локально, это технически реализуемо, и есть ряд self-hosted решений. Если сайт не хочет это делать, а хочет отправлять куда-то на сторону, да ещё и зарубеж — то он не ценит своих пользователей. За что тогда ценить сайт?
                                                                    +3
                                                                    Вы храните данные пользователей заграницей. Если вы:

                                                                    а) гигантская иностранная корпорация, влияющая на выборы/повестку дня/торгующая персональными данными миллиардов людей — вам письмо и угроза штрафом в $74.
                                                                    б) какой-то блоггер с сайтом регистрации для email-рассылки — вы угроза национальной безопасности, немедленная блокировка!
                                                                      +2
                                                                      А как же вариант «слежу и не спрашиваю»?
                                                                        +1
                                                                        Вангую принятие поправок, запрещающих разглашение списка блокированных ресурсов. Для вашей же, граждане, безопасности. Доступ (обязательный) провайдерам — только по NDA и ежемесячной платной подписке (как с онлайн кассами).

                                                                        — Аллё, провайдер? У меня интернет не работает!
                                                                        — Возможно Вы заходите на заблокированный сайт, но какой — мы вам сказать по закону не можем. Выключите пока компьютер и идите в эльдорадо, купите касперского, завтра нам чек принесите.
                                                                          +14
                                                                          Будем реалистами сайт Навального об «умном» голосовании закрыли именно потому что это «сайт Навального» ВСЁ.
                                                                          Я как бы довольно прохладно отношусь к заявлениям Навального «блокируют, значит боятся/опасаются»… Но господа для меня «Рубикон пройден», сайт заблокирован по хотению «государства», всё, здесь даже сову на глобус не натянули, здесь даже зайца за уши не притянули: «нам захотелось вас заблокировать и мы вас заблокировали».
                                                                          PS конечно хотелось бы проверить всё дело, но сейчас выглядит всё именно так.
                                                                            +11
                                                                            Это, к сожалению, значит, что и любой другой сайт могут точно так же закрыть, даже если он не политический, а просто чем-то не понравится. Ну например, закроют сайт сравнения цен по жалобе АКИТ из-за ссылок на иностранные магазины, закроют поисковую систему из-за ссылок на пиратские сайты, гитхаб из-за информации об обходе блокировок, сайты по покупке биткойна. Хотелось бы верить, что я ошибаюсь, но подготовка закона о контроле пограничного трафика и автономии рунета указывает на обратное. Аппетит, как известно, приходит во время еды.
                                                                            0

                                                                            фотографии HTML-кода сайта в браузере Opera в качестве доказательств… В следующий раз будут выслушаны знакомые родственников экспертов из агентства "ОБС"???

                                                                              +1
                                                                              Это ксати тоже интересный момент. Судьи видимо были экспертами в javascript и Google Analytics, либо у них «не было оснований не доверять экспертам».
                                                                                0
                                                                                Эти скриншоты приложил к хотадайству эксперт из РКН, ему-то можно верить! Хотя тут спорить не с чем, аналитика действительно есть.

                                                                                Скриншоты для любопытных
                                                                                image
                                                                                image
                                                                                image


                                                                                Ну и как правильно замечают в комментариях, данные в аналитику можно отсылать с сервера, не добавляя код на страницу и не привлекая внимание РКН. Не знаю также, стоит ли им рассказывать, что почти любой веб-сервер сохраняет данные о посетителях в логи…
                                                                                  0
                                                                                  что-то я ничего страшного не увидел при беглом просмотре. Может чего не углядел… Но вроде есть идентификатор проекта, GTM, Data Layer — вроде всё нормально. Никаких персональных данных (типа имя или номер телефона загнать в custom dimension) я с ходу не увидел.
                                                                                0
                                                                                Вы, наверное, не слышали словосочетания «нотариально заверенный скриншот». )
                                                                                Такое еще в дремучие годы, до появления РКН, на Лурке было.
                                                                                  0
                                                                                  А что не так? только так веб страницы и заверяются. Нотариус делает скриншоты специальной программой (на основе движка браузера с разной доп информацией), распечатывает и заверяет.
                                                                                    0
                                                                                    Тут скриншоты из обычного браузера Опера, я их выложил в комментарии — можете сами убедиться.

                                                                                    И, кстати, как называется эта «специальная» программа?
                                                                                +2

                                                                                Ух ща прокуратура развернется и начнет рисовать себе палочки, у нас же в инете буквально каждый первый сайт со счетчиками. Ркн, наверно. до сих пор не понимают, что своими руками опять "ворота из загона свинарника открыли".

                                                                                  +1
                                                                                  И вот как это у РКН получается выигрывать все дела, ума не приложу. Ай да РКН ай да сукин сын.
                                                                                    +1
                                                                                    и все то ради блага и безопасности.
                                                                                    еще немного и вообще будет безопасно.
                                                                                      +1
                                                                                      Господи, то что делает РКН ничего кроме дикого отвращения не вызывает. Еще и за гос деньги.
                                                                                        +1

                                                                                        Значит, нужно срочно подавать иски против Сбера, Думы и Госуслуг. Требовать компенсации за ненадлежащее хранение ширины окна моего броузера! Клянусь нотариально заверенным скриншотом, у меня после посещения их сайтов окно съеживается!


                                                                                        /sarcasm off
                                                                                        Вообще непонятно, зачем они выдумывают псевдозаконные оправдания. Кому это вообще нужно?

                                                                                          +1
                                                                                          Стоит заметить, что полноценная блокировка работы сайта на территории РФ пока не обеспечивается. По сообщению некоторых пользователей, сайт доступен у их провайдеров при использовании DNS-сервера 8.8.8.8 от компании Google. Судя по записям (от 4.12 и от 14.12) на сайте Роскомсвобода, сайт сменил уже более 330 IP адресов, а «за компанию» доступ мог быть ограничен, по оценке, к 362 доменам.

                                                                                          Sabubu О, спасибо, не видел, что в реестре есть еще блокировка и по их второму домену.
                                                                                          К слову, смотрю, IPv6-адреса РКН стал активно вносить в реестр.
                                                                                          • UFO just landed and posted this here
                                                                                              +2
                                                                                              По моему РНК подтасовывает факты. Какие данные Google Analytics являются именно «персональными данными». Ведь данные обезличены. И как понять реверанс про «Неправильное использование сервисов аналитики», где это в их дурацком законе прописано.
                                                                                                +1

                                                                                                Скинули-бы хоть шаблон жалобы на госсайты с аналитикой, я-бы тоже пожаловался на них в роскомцензуру.

                                                                                                    +1
                                                                                                    Вариант для отправки:
                                                                                                    Ознакомившись с информацией по итогам судебного разбирательства по сайту 2019.vote, опубликованной на сайте Роскомнадзора по интернет-адресу rkn.gov.ru/news/rsoc/news64382.htm, довожу до Вашего сведения следующую информацию:
                                                                                                    Интернет-ресурс, расположенный по адресу regulation.gov.ru использует аналитический сервис «Яндекс.Метрика». При этом, владелец интернет-ресурса regulation.gov.ru не запрашивает согласия пользователя на обработку персональных данных; не разместил документ, регламентирующий политику конфиденциальности в отношении собираемых данных; не уведомляет пользователя о сборе данных.

                                                                                                    Из приведённой выше информации следует, что интернет-ресурс, расположенный по адресу regulation.gov.ru нарушает законодательство Российской Федерации, а также условия использования сервиса «Яндекс-Метрика».

                                                                                                    Прошу ограничить доступ к данному интернет-ресурсу на территории России, а также привлечь владельца к ответственности, предусмотренной действующим законодательством.


                                                                                                    И ещё один, в догоночку (Там ещё google CDN для скриптов и шрифтов, но не уверен что его можно использовать как аргумент к нарушению законодательства):
                                                                                                    Ознакомившись с информацией по итогам судебного разбирательства по сайту 2019.vote, опубликованной на сайте Роскомнадзора по интернет-адресу rkn.gov.ru/news/rsoc/news64382.htm, довожу до Вашего сведения следующую информацию:
                                                                                                    Интернет-ресурс, расположенный по адресу economy.gov.ru использует аналитические сервисы «Яндекс.Метрика» и «Спутник Аналитика». При этом, владелец интернет-ресурса economy.gov.ru не запрашивает согласия пользователя на обработку персональных данных; не разместил документ, регламентирующий политику конфиденциальности в отношении собираемых данных; не уведомляет пользователя о сборе данных.

                                                                                                    Из приведённой выше информации следует, что интернет-ресурс, расположенный по адресу economy.gov.ru нарушает законодательство Российской Федерации, а также условия использования сервиса «Яндекс-Метрика».

                                                                                                    Прошу ограничить доступ к данному интернет-ресурсу на территории России, а также привлечь владельца к ответственности, предусмотренной действующим законодательством.
                                                                                                    0
                                                                                                    РКЦ посоветовал пойти в суд, так что на кривой кобыле не подъехать…
                                                                                                    Шаблонный ответ
                                                                                                    Федеральная служба по надзору в сфере связи, информационных
                                                                                                    технологий и массовых коммуникаций (далее – Роскомнадзор) рассмотрела
                                                                                                    Ваше обращение от 10.01.2019 № 02-11-192 и сообщает следующее.
                                                                                                    По существу довода об ограничения доступа к указанному в обращении
                                                                                                    интернет-ресурсу необходимо отметить, что на основании ч. 1 ст. 15.5.
                                                                                                    Федерального закона от 27.07.2006 № 149-ФЗ «Об информации,
                                                                                                    информационных технологиях и о защите информации» (далее – Закон № 149-
                                                                                                    ФЗ) в целях ограничения доступа к информации в сети «Интернет»,
                                                                                                    обрабатываемой с нарушением законодательства Российской Федерации в
                                                                                                    области персональных данных, создается автоматизированная информационная
                                                                                                    система «Реестр нарушителей прав субъектов персональных данных» (далее — реестр нарушителей).
                                                                                                    В соответствии с ч. 7 ст. 15.5 Закона № 149-ФЗ в течение трех рабочих
                                                                                                    дней со дня получения вступившего в законную силу судебного акта
                                                                                                    Роскомнадзор, на основании указанного решения суда:
                                                                                                    1) определяет провайдера хостинга или иное лицо, обеспечивающее
                                                                                                    обработку информации в информационно-телекоммуникационной сети, в том
                                                                                                    числе в сети «Интернет», с нарушением законодательства Российской
                                                                                                    Федерации в области персональных данных;
                                                                                                    2) направляет провайдеру хостинга или иному указанному в пункте 1
                                                                                                    настоящей части лицу в электронном виде уведомление на русском и
                                                                                                    английском языках о нарушении законодательства Российской Федерации в
                                                                                                    области персональных данных с информацией о вступившем в законную силу
                                                                                                    судебном акте, доменном имени и сетевом адресе, позволяющих
                                                                                                    идентифицировать сайт в сети «Интернет», на котором осуществляется
                                                                                                    обработка информации с нарушением законодательства Российской Федерации в области персональных данных, и с требованием принять меры по устранению
                                                                                                    нарушения законодательства Российской Федерации в области персональных
                                                                                                    данных, указанные в решении суда;
                                                                                                    3) фиксирует дату и время направления уведомления провайдеру
                                                                                                    хостинга или иному указанному в пункте 1 настоящей части лицу в реестре
                                                                                                    нарушителей.
                                                                                                    На основании с ч. 8 ст. 15.5 Закона № 149-ФЗ в течение одного рабочего
                                                                                                    дня с момента получения указанного уведомления, провайдер хостинга или
                                                                                                    иное указанное в пункте 1 части 7 настоящей статьи лицо обязаны
                                                                                                    проинформировать об этом обслуживаемого ими владельца информационного
                                                                                                    ресурса и уведомить его о необходимости незамедлительно принять меры по
                                                                                                    устранению нарушения законодательства Российской Федерации в области
                                                                                                    персональных данных, указанного в уведомлении, или принять меры по
                                                                                                    ограничению доступа к информации, обрабатываемой с нарушением
                                                                                                    законодательства Российской Федерации в области персональных данных.
                                                                                                    Согласно ч. 9 ст. 15.5 Закона № 149-ФЗ в течение одного рабочего дня с
                                                                                                    момента получения от провайдера хостинга или иного указанного в пункте 1
                                                                                                    части 7 настоящей статьи лица уведомления о необходимости устранения
                                                                                                    нарушения законодательства Российской Федерации в области персональных
                                                                                                    данных владелец информационного ресурса обязан принять меры по
                                                                                                    устранению указанного в уведомлении нарушения. В случае отказа или
                                                                                                    бездействия владельца информационного ресурса провайдер хостинга или иное
                                                                                                    указанное в пункте 1 части 7 настоящей статьи лицо обязаны ограничить
                                                                                                    доступ к соответствующему информационному ресурсу не позднее истечения
                                                                                                    трех рабочих дней с момента получения уведомления, указанного в пункте 2
                                                                                                    части 7 настоящей статьи.
                                                                                                    В соответствии с ч. 10 ст. 15.5 Закона № 149-ФЗ в случае непринятия
                                                                                                    провайдером хостинга или иным указанным в пункте 1 части 7 настоящей
                                                                                                    статьи лицом и (или) владельцем информационного ресурса мер, указанных в
                                                                                                    частях 8 и 9 настоящей статьи, доменное имя сайта в сети «Интернет», его
                                                                                                    сетевой адрес, указатели страниц сайта в сети «Интернет», позволяющие идентифицировать информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных, а
                                                                                                    также иные сведения об этом сайте и информация направляются по
                                                                                                    автоматизированной информационной системе операторам связи для принятия
                                                                                                    мер по ограничению доступа к данному информационному ресурсу, в том
                                                                                                    числе к сетевому адресу, доменному имени, указателю страниц сайта в сети
                                                                                                    «Интернет».
                                                                                                    Таким образом, Роскомнадзор принимает меры по ограничению доступа к
                                                                                                    информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на
                                                                                                    основании вступившего в законную силу судебного акта в порядке,
                                                                                                    установленном ч. 7, ч. 10 ст. 15.5. Закона № 149-ФЗ.
                                                                                                    Вместе с тем, судебный акт об ограничении доступа к интернет-ресурсу,
                                                                                                    указанному в Вашем обращении, в адрес Роскомнадзора не поступал.
                                                                                                    Дополнительно информируем, что информация, изложенная в Вашем
                                                                                                    обращении, будет учтена Роскомнадзором при осуществлении дальнейшей
                                                                                                    деятельности в области персональных данных.
                                                                                                    0
                                                                                                    И, судя по решению суда, можно еще жаловаться на сайты, использующие Cloudflare, что они хранят данные россиян за пределами РФ.
                                                                                                    0
                                                                                                    Почитал, наконец, решение суда и теперь не понимаю…

                                                                                                    Положение об обработке и защите персональных данных оператором и Оферта, не могут быть приняты судом во внимание, так как представленный документ не в полной мере соответствует требованиям Закона, в частности в качестве оператора персональных данных указано юридическое лицо Фонд поддержки СМИ «Пятое время года», сведения о котором исключены из Единого реестра юридических лиц 18 апреля 2018 года.

                                                                                                    Получается, что сайт заблокирован вовсе не из-за аналитики Google? Да, РКН обратился в суд именно с таким основанием. Но, если я, допустим, обращусь в суд с требованием взыскать с магазина, в котором я купил палёную водку, компенсацию на основании того, что я царь всея Руси, то я, возможно, компенсацию даже получу, но явно не потому, что я царь.

                                                                                                    И второй вопрос: как же Навальный, будучи юристом, так подставился с этим «протухшим» юр.лицом? Это такой шикарный повод «докопаться», что сразу ведь ясно — его не упустят.
                                                                                                      0
                                                                                                      Да даже если и так, то вам не кажется это странным? Этот сайт — это же не интернет-магазин, продажами не занимается. У меня на большинстве моих сайтов вообще никакой оферты нет, привязок к юрлицу тоже. А счётчики везде стоят. Их блокировать из-за этого теперь?
                                                                                                        0
                                                                                                        Их блокировать из-за этого теперь?

                                                                                                        Нет, но ведь, повторюсь, и не блокировали из-за этого. РКН выбрал абсурдное обоснование для закошмаривания ресурса (счётчики), хотя рядом было совершенно законное, которым суд и воспользовался.

                                                                                                        Не допусти команда Навального такой мощный «зевок», было бы интересно посмотреть, вдруг и выиграли бы.
                                                                                                          +1
                                                                                                          > Не допусти команда Навального такой мощный «зевок», было бы интересно посмотреть, вдруг и выиграли бы.

                                                                                                          Вы наверно не читали, как они партию пытались зарегистрировать много лет подряд и как им отказывали. Не выиграли бы, я думаю.
                                                                                                            +2
                                                                                                            Как они могли выиграть, если они даже не ответчик? ¯\_(ツ)_/¯
                                                                                                            0
                                                                                                            Но ведь то, о чём вы пишете, — это не основание для блокировки, а документы, которые
                                                                                                            не могут быть приняты судом во внимание
                                                                                                            А заблокирован сайт за отсутствие предупреждения о счётчиках, о чём как раз и говорил ваш собеседник.
                                                                                                              0
                                                                                                              Счётчики в решении суда стоят на последнем месте. Суд установил, что, во-первых, пользователей не проинформировали о том, кто обрабатывает их данные (ответчик попытался это нарушение устранить, но накосячил с юр.лицом), во-вторых данные хранятся за рубежом (неоднозначность этого уже разобрали в комментарии ниже) и, до кучи, эти клятые счётчики (что вообще абсурд).

                                                                                                              После всего этого суд постановил включить сайт в реестр нарушителей прав субъектов персональных данных.
                                                                                                                0
                                                                                                                Место расположения в решении суда не делает какой-то факт более или менее значимым. Суд признал, что счетчики занимаются сбором персональных данных.
                                                                                                              +1
                                                                                                              Что значит не допусти? Думаете лицо само протухло, потому что не уследили?
                                                                                                              Им предварительно это юр. лицо (фонд «Пятое время года») принудительно ликвидировали на одном из предыдущих судов в этом году.

                                                                                                              А новое юр.лицо и оператора перс. данных еще попробуй зарегистрировать: если ты Навальный или один из его помощников, то фиг. пройдешь регистрацию.
                                                                                                            +5
                                                                                                            Хорошо, что решение суда опубликовали. Но оно вызывает больше вопросов, чем ответов. И подтверждает идею из статьи — что многие сайты в интернете так же должны быть признаны нарушителями Законодательства. Давайте почитаем:

                                                                                                            По данным источников «whois» установлено, что услуги… для размещения баз данных, содержащих персональные данные граждан Российской Федерации ..., а также осуществляющих обеспечение функционирование информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» в отношении вышеуказанного интернет – ресурса, осуществляется посредством серверных мощностей компании Cloudflare, Inc., расположенной на территории Соединенных Штатов Америки ....


                                                                                                            Как с помощью whois можно установить местонахождение базы данных? Не установлено и не доказано:

                                                                                                            — что адрес whois указывает на адрес расположения сервера, а не офиса компании cloudflare. У них, напомню, CDN по всему миру раскинут.
                                                                                                            — что база данных (а не прокси-сервер, коим является cloudflare) с персональными данными россиян находится за пределами РФ
                                                                                                            — какие именно ПД хранятся в этой базе

                                                                                                            Это нельзя определить с помощью whois, эта система лишь определяет, какой автономной системе принадлежит IP адрес.

                                                                                                            И логичный вопрос: значит ли это, что все сайты, использующие cloudflare, признаются нарушителями требования о хранении ПД в России? Сайт er.ru находится на cloudflare и, выходит, хранит ПД в США.

                                                                                                            а также осуществляющих обеспечение функционирование информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» в отношении вышеуказанного интернет – ресурса


                                                                                                            Непонятно, о каких «электронных сообщениях» идет речь — на сайте вроде как нет функционала для отправки сообщений.

                                                                                                            По данным интернет — сервиса 2ip.ru/whois установлено, что регистратором доменного имени 2019.vote...


                                                                                                            Взяли бы источник поавторитетнее, хотя бы настоящий whois, а не частный сайт, принадлежащий непонятно кому. Хотя, если владелец сайта это не оспаривает, то это не проблема.

                                                                                                            В соответствии со статьей 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно ....


                                                                                                            Тем не менее, как я написал в статье, РКН не считает e-mail или телефон отдельно персональными данными. А в решении суда:

                                                                                                            — не написано, какие именно персональные данные собирал по мнению истца сайт
                                                                                                            — не доказано, что собираемая информация является персональными данными

                                                                                                            В законе дано определение: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);». РКН считает, что email — это не ПД, ведь по нему нельзя однозначно определить владельца. Тогда и IP-адрес тоже ими не является, как не является и адрес без номера квартиры.

                                                                                                            Если же IP-адрес, телефон или email являются персональными данными (вопреки позиции РКН), то, думаю, можно идти закрывать каждый второй сайт. Хотя нет, погодите, в логи IP-адреса пишет каждый первый.

                                                                                                            Ч.1 ст. 18 указанного выше Закона установлено, что при сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

                                                                                                            Вместе с тем, на интернет – ресурсе 2019.vote при проставлении знака «V» о согласии на обработку персональных данных, субъекту персональных данных не предоставляется информация относительно оператора, ...


                                                                                                            В законе написано «по просьбе». Не доказано, что субъект просил информацию, но получил отказ.

                                                                                                            Однако, в нарушение вышеуказанного требования части 2 статьи 18.1 Федерального закона «О персональных данных» на интернет-ресурсе 2019.vote отсутствует документ,…


                                                                                                            Тут в законе есть серьезная дыра. Не доказано, что документ отсутствует. Возможно, он где-то есть, просто истец не смог подобрать правильную ссылку на него. В законе сказано, "[оператор обязан] также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети" — но размещение документа на никому не известном URL подпадает под эти критерии.

                                                                                                            в качестве оператора персональных данных указано юридическое лицо Фонд поддержки СМИ «Пятое время года», сведения о котором исключены из Единого реестра юридических лиц 18 апреля 2018 года.


                                                                                                            Не знаю, почему они тут ошибку сделали, возможно, просто скопировали в спешке условия. Мое мнение — это ловушка, не надо ставить галочку и не надо публиковать условия, а надо напирать на то, что сбор ПД не производится. Так как любой документ — это повод придраться (вспомните историю, как им годами не дают зарегистрировать партию из-за проблем с уставом), а в отсуствие документа придираться сложнее.

                                                                                                            Ниже вы видите демонстрацию умения придраться к каждой запятой:

                                                                                                            Кроме того, как установлено в ходе рассмотрения дела, администрированием сайта 2019.vote занимается в том числе Навальный А.А., который также является владельцем доменного имени интернет-ресурса 2019.vote, однако в Положении указано, что оно определяет политику ООО «Страна Приливов» в отношении обработки персональных данных, упоминаний о Навальном А.А., как администраторе интернет-ресурса, данное Положение не содержит.


                                                                                                            Непонятно, почему он там должен быть упомянут, если он просто владеет доменом. В законе написано:

                                                                                                            оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;


                                                                                                            Не доказано, что Навальный этим занимается и является оператором ПД.

                                                                                                            Вместе с тем, в Положении в п. 4.2 указано, что субъекты персональных данных в целях реализации своих прав направляют оператору письменные обращения посредством почтовой связи на адрес: 115280, город Москва, ул. Ленинская слобода, дом 19, оф. 21, в то же время не ясно, является ли получателем такого рода обращений сам оператор, юридический адрес которого с адресатом не совпадает, либо иное уполномоченное лицо.


                                                                                                            > направляют оператору

                                                                                                            > не ясно

                                                                                                            Написано же «направляют оператору». Не доказано, что этот адрес, например, не арендуется оператором.

                                                                                                            Однако, по данным источников «whois» установлено, что услуги по предоставлению вычислительной мощности для размещения баз данных


                                                                                                            Whois не указывает местоположение базы данных.

                                                                                                            Однако, по данным источников «whois» установлено, что… а также осуществляющие обеспечение функционирование информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» в отношении вышеуказанного интернет – ресурса...


                                                                                                            Заметьте, что эта часть про «сообщения» в п.5 ст. 18 отсутствует, не понятно, зачем она добавлена. И непонятно, при чем тут «электронные сообщения». Такое ощущение, что этот абзац суд откуда-то скопировал (из дела Телеграм?) и забыл убрать лишнее. Я решил поиграть в Шерлока Холмса и сделать поиск по полному совпадению с фразой «обработки электронных сообщений пользователей сети «Интернет» в отношении вышеуказанного интернет – ресурса» на сайте московских судов.

                                                                                                            Первые 5 дел (дальше лень искать) — все дела той же судьи Синельниковой (пример 1, пример 2). Очевидно, она скопировала абзац из предыдущих дел.

                                                                                                            Или же она называет HTTP-запросы «электронными сообщениями»?

                                                                                                            (В других решениях есть еще такие шедевры, как «заявлению… о признании деятельности интернет-страниц незаконной»).

                                                                                                            Вот, наконец, про аналитику — суд подтвердил, что исплоьзование аналитики — это обработка ПД, и оно может повлечь блокировку сайта:

                                                                                                            Представитель истца отмечает и то, что ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных, в Политике конфиденциальности интернет-ресурса 2019.vote об использовании сервисов при обработке персональных данных, сведений не содержится, что также является нарушением ФЗ № 152.


                                                                                                            В соответствии с ч. 1 ст. 15.5. Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации...» в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства..., создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных».


                                                                                                            Но на сайте не выложено информации, которая обрабатывается с нарушением.

                                                                                                            Согласно ч. 2 ст. 15.5. Федерального закона «Об информации, информационных технологиях и о защите информации» в реестр нарушителей включаются:
                                                                                                            1) доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства Российской Федерации в области персональных данных;


                                                                                                            Но сайт не содержит такую информацию. Данные не публикуются. Информация содержится не на сайте, а в базе данных сайта.

                                                                                                            Я вижу только 2 варианта:

                                                                                                            — либо блокировка действительно соответствует закону, и тогда каждый второй сайт на тех же основаниях подлежит блокировке, включая сайт Единой России. Они ведь не спрашивают согласие на обработку ПД сервисами аналитики. И, кстати, сайт ЕР по данным whois7.ru находится на cloudflare — то есть в США, по логике суда.
                                                                                                            — либо не соответствует

                                                                                                            Имхо, Навальному надо убрать эти документы о конфиденциальности и настаивать на том, что ПД там нет.

                                                                                                            > Получается, что сайт заблокирован вовсе не из-за аналитики Google?

                                                                                                            В решении аналитика упомянута. Написано же: «является нарушением».
                                                                                                              +1
                                                                                                              И еще, если владельцы сайта признают, что собирают ПД, то РКН может начать требовать от них зарегистрироваться в реестре, дать доступ РКН для проведения проверки, может быть, дать доступ ФСБ и т.д. Как с Телеграмом выйдет. Это ловушка, надо отрицать наличие ПД.
                                                                                                                +1
                                                                                                                Вот только на момент суда фонд ПВГ не был указан в качестве оператора персональных данных, как и сейчас не указан, можете проверить. Ну и если уж мы добрались до решения суда, то обратите внимание, что в качестве ответчика по доброй традиции указан регистратор доменов. То есть, Навальный не мог защищаться в суде и не сможет подать апелляцию.

                                                                                                                А что касается не подставляться, Навальный может быть и рад бы, только Минюст вообще отказывает ему в регистрации юрлиц. Да и ликвидация самого фонда ПВГ тоже сопровождалась весьма весёлыми обстоятельствами: facebook.com/leonid.m.volkov/posts/1664434876912472

                                                                                                                P.S. Отдельно мне кажется забавной формулировка «Навальный, как юрист». Как будто Навальный сам в одиночку запилил сайт на коленке без чьей-либо помощи.
                                                                                                                  0
                                                                                                                  Я думаю, им надо убрать соглашение и галочку, и напирать, что сайт не занимается обработкой ПД. Так как к соглашению можно придираться вечно (вспомните историю с многолетними придирками к уставу партии Навального). Также, если они признают, что на сайте есть ПД, РКН начнет требовать от них зарегистрироваться в каком-нибудь реестре, дать доступ к базе данных для проверки, дать доступ для ФСБ, и тд.
                                                                                                                    0
                                                                                                                    Так если я не ошибаюсь, соглашения и не было на момент суда. Была галочка, но она ни на что не ссылалась.
                                                                                                                    0
                                                                                                                    А что касается не подставляться, Навальный может быть и рад бы, только Минюст вообще отказывает ему в регистрации юрлиц

                                                                                                                    Там вообще не требуется именно юр.лицо. Там требуется написать правду, кто именно осуществляет обработку. Написали, что осуществляет какое-то юр.лицо, которое уже более полугода не существует.
                                                                                                                  +2
                                                                                                                  Кстати, интересно, что жулики из Яндекса даже не спрашивают согласия на обработку ПД, а просто пишут бледненьким мелким шрифтом, что нажимая кнопку, вы соглашаетесь с какими-то условиями (с какими — жулики не пишут). Я бы на их месте переработал интерфейс, а то будет печально, если РКН обратит на них внимание и Яндекс-деньги окажутся заблокированными на территории РФ. Я вот после прочтения решения суда сомневаюсь, что их сервис юридически чист.
                                                                                                                    +2

                                                                                                                    В принципе, давно понятно, зачем и против кого это всё. Просто теперь оне действуют более открыто. Ты Вася Пупкин? Ты кто такой, скорее всего мы тебя не знаем. Ты Вася Пупкин и вот те три неустановленных лица (которые наши люди либо твой же конкурент, но зачем тебе это знать) на тебя что-то там пожаловались? Пройдемте. Ты «оппозиционер» или ему «сочувствующий»? Оооо, тут уж тем более пройдемте, нечего лодку стабильности раскачивать.


                                                                                                                    Как-то так получается. Они всеми доступными способами показывают нам, кто тут главный.

                                                                                                                    Only users with full accounts can post comments. Log in, please.