Счетчики аналитики? Не всё так просто
Коллега прислал ссылку на материал с громким заголовком "Уголовка за Google Analytics: что нужно знать, чтобы не загреметь". Наверное, там всё правда, не знаю. Я только хочу напомнить: тема "Счетчики аналитики и персональные данные" настолько не нова, что уже, видимо, подзабыта массами.
Не скажу, когда начала подниматься волна, но в 2017 году она уже была вполне заметна. Вот первый попавшийся материал:
В ноябре 2016 года Министерство экономического развития изменило технические и программные требования к сайтам федеральных органов исполнительной власти. В декабре приказ был зарегистрирован в Минюсте, и 7 января он вступил в силу. Самый интересный пункт, содержащийся в новых требованиях, — на упомянутых ресурсах допускается использование лишь тех счетчиков посещаемости, которые включены в единый реестр российских программ и баз данных.
Если вы полистаете интернет, увидите, что требования к сайтам в отношении персданных долгое время исполнялись "как всегда". Как сказал мне один юрист в 2019 году, штрафы за нарушения – копеечные, наказания – выборочные и редкие, поэтому пока можно не заморачиваться.
Но ближе к теме:
Неправильное использование сервисов аналитики «Google Analytics» и «Яндекс-метрика» может привести к ограничению доступа к сайту, заявил Роскомнадзор.
Если вас охватывают некие чувства в отношении РКН, прошу обратить внимание на западную прессу. Например:
13 января 2022 г. было опубликовано решение австрийского надзорного органа о том, что использование сервиса Google Analytics не соответствует решению Суда Европейского союза (“Schrems II”). При этом компания Google не пострадала. Как так получилось и можно ли использовать сервис Google Analytics при обработке персональных данных субъектов из ЕС?
...
Решение австрийского надзорного органа против использования сервиса Google Analytics оказалось хоть и громким, но не единственным. Также в январе 2022 г. Европейский инспектор по защите персональных данных (European Data Protection Supervisor, EDPS) вынес решение против Европарламента за использование Google Analytics и платежного сервиса Stripe. И хотя чтобы говорить о сложившейся практике, нам нужно больше решений, европейцы, скорее всего, откажутся от Google Analytics и Stripe. По крайней мере, до тех пор, пока эти сервисы не докажут соблюдение ими стандартов GDPR. Поэтому если вы используете Google Analytics или Stripe, мы рекомендуем обратить внимание на другие платежные и аналитические сервисы. Иметь запасной вариант – всегда хорошее решение.
Год+ назад тема ГА (Гугл Аналитикс) также обсуждалась в прессе. Почитайте, например, здесь, чем может обернуться использование Google Analytics на вашем сайте. Но тогда информации о правоприменительной практике не было. Видимо, время таки пришло.
UPD:
Представляю вам личный опыт человека, получавшего и получившего разрешение Роскомнадзора на использование Google Analytics на своих сайтах. По шагам, со скриншотами – всё, как мы любим :)
Роскомнадзор не запрещает использовать Google Analytics, а лишь требует от владельцев сайтов проинформировать ведомство о его использовании. Исключение составляют государственные организации и компании, помеченные в списке как важные и ключевые...
...если вы неверно заполнили обращение с первого раза, сотрудники РКН свяжутся с вами по указанной контактной информации и проконсультируют; я два раза отправлял уведомление (первый раз заполнил неверно, но мне позвонили и сказали как исправить). Рассмотрение последнего обращения заняло меньше 24 часов...
...перед тем, как заполнить уведомление, я не удалял со своего сайта Google Tag Manager и Google Analytics 4
Вывод: не так страшен РКН – стучите, и отворят вам.