Заголовок новости "Минцифры России и Роскомнадзор разрешили работодателям не опубликовать политику в отношении обработки персональных данных" вызывает определённые вопросы, требующие детального рассмотрения.
Ситуация, послужившая причиной данного разрешения, связана с обращением, зарегистрированным в Роскомнадзоре под номером 02-11-36447 от 03.11.2023. Обращение касалось отсутствия политики обработки персональных данных на сайте бывшего работодателя, несмотря на наличие функционала сбора данных. Сайт, разработанный на платформе Битрикс, использовал всплывающее уведомление о сборе cookie-файлов и других данных, ссылающееся на политику обработки персональных данных, размещенную в разделе "Персональные данные". Однако, данная политика в разделе "Персональные данные" на сайте отсутствует.
Согласно части 3 статьи 13.11 КоАП РФ, основание обработки персональных данных должно быть отражено в документе, определяющем политику оператора в отношении обработки персональных данных, который должен быть опубликован или доступен иным образом неограниченному кругу лиц. Нарушение этого требования влечёт за собой административную ответственность. Именно это нарушение и послужило причиной обращения в Роскомнадзор.
Однако, Роскомнадзор в своём ответе от 01.12.2023 г. №08-128226 занял неожиданную позицию. В ответе, цитируем:
"Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. По результатам анализа содержания интернет-ресурса (сайт работодателя) установлено, что функционал указанного интернет-ресурса не содержит алгоритмов сбора персональных данных".
Здесь кроется ключевой момент, объясняющий разрешение Роскомнадзора. Несмотря на наличие всплывающего окна с уведомлением о сборе cookie-файлов и ссылкой на несуществующую политику, Роскомнадзор пришёл к выводу, что функционал сайта не содержит алгоритмов сбора персональных данных. Это утверждение требует дополнительного анализа. Сбор cookie-файлов, безусловно, подразумевает сбор определённых данных о пользователе, хотя и анонимизированных в большинстве случаев. Вопрос в том, каким образом Роскомнадзор определил отсутствие алгоритмов сбора персональных данных, и какие именно данные считаются "персональными" в данном контексте.
Возможны несколько объяснений:
- Техническая экспертиза не выявила механизмов идентификации пользователей: Роскомнадзор мог провести техническую экспертизу сайта, которая не выявила механизмов, позволяющих идентифицировать пользователей помимо IP-адреса (который сам по себе не всегда считается персональным данными). Всплывающее окно с уведомлением, следовательно, было признано недостаточным основанием для обвинения в нарушении законодательства.
- Недостаточный объём собираемых данных: Собранные cookie-файлы могли содержать только анонимизированную информацию, не позволяющую идентифицировать конкретного пользователя. В этом случае, Роскомнадзор мог посчитать, что отсутствие политики обработки данных не является критичным нарушением.
- Некорректная формулировка уведомления: Возможно, формулировка уведомления на сайте была недостаточно ясна или не соответствовала требованиям законодательства, что повлияло на заключение Роскомнадзора.
Независимо от причины, решение Роскомнадзора демонстрирует неоднозначность и потенциальные сложности в интерпретации требований законодательства о защите персональных данных. Оно подчёркивает необходимость более чёткого регулирования и более тщательного анализа функционала веб-сайтов для определения действительного объёма сбора и обработки персональных данных. Данное решение может послужить прецедентом, требующим дальнейшего изучения и обсуждения в юридической сфере.