Laut Roskomnadzor kann eine missbräuchliche Verwendung der Analysedienste von Google Analytics und Yandex Metrics zu einem eingeschränkten Zugriff auf die Website führen.
Am 19. Dezember entschied das Tagansky-Gericht in Moskau in einer Klage von Roskomnadzor gegen den französischen Domain-Registrar Gandi SAS, die kollektive Abstimmungsstelle 2019
zu blockieren. Zuvor, am 14. Dezember, wurde eine
Entscheidung veröffentlicht
, die Website als Sicherheitsmaßnahme für die Klage in das Register der Verstöße gegen PD-Prozessoren aufzunehmen, und am 7. Dezember die
Einschränkung des Zugriffs auf die Website durch Anbieter :
Der Vertreter von Roskomnadzor erklärte, dass die Website Ende November Beschwerden von mehreren namenlosen Bürgern erhalten habe, die sich über die illegale Verarbeitung ihrer Daten auf der Seite „Smart Vote“ beschwert hätten. Danach führten die Mitarbeiter der Abteilung eine eigene Überprüfung durch, die das Vorliegen von Verstößen gegen das Gesetz über personenbezogene Daten bestätigte: Das Datenerfassungsformular auf der Website von Navalny erfüllte nicht die gesetzlich vorgeschriebenen Kriterien, außerdem verfügte die Ressource nicht über eine registrierte Datenschutzrichtlinie. Ampelonsky fügte hinzu, dass Benutzerdaten auf fremden Servern gespeichert werden, was dem Gesetz widerspricht.
In einer Sitzung am 19. Dezember führte der Kläger eines der Argumente an, dass die Website die Analysesysteme Google Analytics und Yandex Metrics verwendet, was gegen das Gesetz zum Schutz personenbezogener Daten und die Nutzungsbedingungen verstößt. Als Beweis wurden Fotos des HTML-Codes der Site in Opera gegeben.
ILV hat dies heute in einer offiziellen Pressemitteilung auf seiner Website bestätigt :
Wir sprechen über die Anforderungen des Bundesgesetzes "Über personenbezogene Daten" und der Nutzungsbedingungen von GoogleAnalytics, die die Verpflichtung der Website-Verwaltung vorsehen, personalisierte Informationen über Besucher dieser Website zu sammeln, sie über die Datenerfassung zu informieren, die Zustimmung zu deren Verarbeitung einzuholen und ein Dokument zu veröffentlichen, das die Datenschutzrichtlinien bezüglich der gesammelten Daten regelt .
Diese Anforderungen werden jedoch vom Site-Administrator 2019.vote nicht erfüllt.
Es ging also nicht um Roskomnadzors Ansprüche an die Metrikprogramme von Google, Yandex LLC, sondern darum, dass der Administrator der Website 2019.vote die Anforderungen der in den Nutzungsbedingungen angegebenen Metrikprogramme von GoogleAnalytics, Yandex.Metrica, nicht erfüllt.
In diesem Zusammenhang hat das Tagansky-Bezirksgericht von Moskau wegen Nichteinhaltung, einschließlich der oben genannten Anforderungen, beschlossen, den Zugang zur Website zu beschränken, bis die festgestellten Verstöße beseitigt sind.
Leider wurde in der Pressemitteilung nicht genau angegeben, welche Kategorien von Analysediensten für personenbezogene Daten erfasst werden. Wenn Sie also die offizielle ILV-Website studieren, finden Sie Kommentare, die besagen, dass der Name, die Telefonnummer oder die E-Mail-Adresse möglicherweise keine persönlichen Daten sind und die Zähler weniger sensible Daten wie die IP-Adresse erfassen (gleichzeitig können sie nicht vollständig angezeigt werden). Beispielsweise werden
vollständige Namen selbst nicht als PD betrachtet :
3. Frage: Ist die Verarbeitung personenbezogener Daten die Platzierung eines Nachnamens, Namens und Patronyms ohne weitere zusätzliche Informationen?
Antwort: Wenn Sie den Nachnamen, den Vornamen und das Patronym auf den Seiten von Internetseiten ohne zusätzliche Informationen platzieren, mit denen Sie eine Person als Subjekt personenbezogener Daten identifizieren können, kann dies nicht die Verarbeitung personenbezogener Daten einer bestimmten Person bezeugen.
Die Telefonnummer aus
Sicht des ILV ist keine PD:
Frage: Ist die Verarbeitung personenbezogener Daten die Durchführung von Telefonanrufen zur Durchführung von Telefonumfragen bei Bürgern?
Antwort: Nach Art. 3 des Bundesgesetzes vom 27. Juli 2006 Nr. 152--„Über personenbezogene Daten“ sind personenbezogene Daten alle Informationen, die sich direkt oder indirekt auf eine bestimmte oder bestimmbare natürliche Person (personenbezogene Daten) beziehen. Die Teilnehmernummer (Telefonnummer) ist die Nummer, die dem Teilnehmer zugewiesen wird (eine Reihe digitaler Zeichen), wenn mit einem Teilnehmer eine Vereinbarung über die Bereitstellung von Telefonkommunikationsdiensten geschlossen wird. Diese Nummer wird verwendet, um die Endausrüstung des Teilnehmers im Kommunikationsnetz beim Anschließen von Teilnehmergeräten anzuzeigen und zu identifizieren. Dies bedeutet, dass die Telefonnummer ohne Angabe des Eigentümers keine Informationen sind, anhand derer diese Person (personenbezogene Person) eindeutig identifiziert werden kann und Ihre Verwendung kann nicht die Verarbeitung personenbezogener Daten des Eigentümers bedeuten.
Zählt
auch nicht PD und E-Mail-Adresse :
Zum Beispiel können ein Foto, ein Name, eine Telefonnummer und eine E-Mail-Adresse eine Person ziemlich genau identifizieren. Das Foto und der Name "Olya" können jedoch nicht als personenbezogene Daten sowie als einzelne E-Mail-Adresse oder Telefonnummer betrachtet werden. Wir sprechen über einen Datensatz.
Leider benachrichtigen viele Websites, die Analysedienste verwenden, Besucher nicht und erhalten nicht ihre Zustimmung zur Datenerfassung. Um eine Blockierung zu vermeiden, sollten solche Websites dringend Maßnahmen zur Korrektur der Situation ergreifen. Wenn Sie beispielsweise den Quellcode der Website "Server der Regierungsbehörden der Russischen Föderation"
gov.ru öffnen , können Sie die Verwendung von "Google Analytics" und "Yandex-Metriken" sehen, während eine Warnung zur Datenerfassung nicht angezeigt wird und die Zustimmung des Benutzers zur Datenerfassung nicht abgefragt wird .
Die Zustimmung zur Datenerfassung wird auch nicht auf der Website
der Partei United Russia verlangt, auf der
die Dienste Live Internet, Yandex Metric, Facebook Pixel (2 Kopien) und Rambler Top 100 installiert sind. Auf der Vesti.ru-Website gibt es so etwas nicht. Die Anzahl der Besucher von Piwik, Adblockmetrics, Rating@Mail.ru, Yandex Metric, LiveInternet und Google Analytics ist an der Zählung der Besucher beteiligt. und Werbenetzwerke "AdFox", "1banner". Ihre Kollegen vom
"ersten" Kanal sind nicht weit hinter dem "zweiten" zurück - auf ihrer Website gibt es "nicht deklarierte" "LiveInternet Counter", "Yandex-Metric", "Google Analytics" und Widgets von "Facebook", "VK", "Odnoklassniki". "," Twitter ", sammelt auch Analysen.
Es ist anzumerken, dass eine vollständige Sperrung der Website in der Russischen Föderation noch nicht vorgesehen ist. Laut einigen Nutzern ist die Website von ihren Anbietern über den DNS-Server 8.8.8.8 von Google verfügbar. Den Aufzeichnungen (
vom 4.12 und
14.12 ) auf der Roskomsvoboda-Website nach zu urteilen, hat die Website bereits über 330 IP-Adressen geändert, und der Zugriff für das Unternehmen könnte schätzungsweise auf 362 Domains beschränkt sein.
Habra-Benutzern, die Analysedienste nutzen, wird empfohlen, zu überprüfen, ob die gesetzlichen Anforderungen auf ihren Websites eingehalten werden.
Ergänzung : A. Litreev entdeckte zusätzlich zu den im Artikel genannten Anforderungen eine Diskrepanz mit den Anforderungen auf der Website der Staatsduma. Er fand auch heraus, dass es auf der State Duma-Website ein Feedback-Formular gibt, das Benutzerdaten sammelt. Bei dieser Gelegenheit
schrieb er einen Aufruf an Roskomnadzor .
Ergänzung . Nach Angaben des Nutzers Habrahabr entspricht der Standort der Sberbank möglicherweise auch nicht den Anforderungen des ILV. Wenn Sie die Website
www.sberbank.ru mit den auf der Registerkarte "Netzwerk" geöffneten Entwicklertools
aufrufen , werden viele Aufrufe von Analysesystemen angezeigt: "RetailRocket" (ein Skript mit dem
Tracking- Namen
Tracking.js ), "RuTarget", "Google Analytics", "Google" Adsense “,„ Yandex-Metrik “(ca. 8 Zähler mit unterschiedlicher ID), Facebook-Skripte,„ Artfut.com “,„ Doubleclick “,„ Top Mail.ru “. Wir erinnern daran, dass ILV seit langem
Ansprüche gegen ausländische Unternehmen wie Google und Facebook hat. Darüber hinaus läuft in den USA eine Untersuchung zur Übermittlung von Benutzerdaten an Drittunternehmen.
Außerdem enthält die Sberbank-Website
ein Retargeting-Skript von Vkontakte . Dieses Skript überträgt Informationen an Vkontakte, dass dieser Netzwerkbenutzer die Sberbank-Website besucht hat, und kann zur Anzeige relevanterer Anzeigen verwendet werden. Außerdem kann Sberbank "die Zielgruppe recherchieren, die die Website besucht". Wie dieses System funktioniert, wird in der
Dokumentation auf der Website des sozialen Netzwerks beschrieben . Darin heißt es:
Das VK-Retargeting-Pixel ist ein JavaScript-Code, der in den Quellcode der Site eingefügt wird und es Ihnen ermöglicht, alle Besucher zu verfolgen: Sobald eine Person die Site besucht, berücksichtigt das Retargeting-Pixel dies automatisch.
Wenn diese Funktionen nicht ausreichen, bietet Vkontakte genauere Methoden für die Ausrichtung von Anzeigen auf bestimmte Nutzer:
Beim erneuten Targeting einer Datei wird eine vorbereitete Liste geladen, die aus Telefonnummern, E-Mail-Adressen und / oder Kennungen (ID) der VK-Seiten der von Ihnen benötigten Benutzer besteht. Wenn Sie über eine mobile Anwendung verfügen, können Sie auch eine Liste mit Kennungen für mobile Geräte herunterladen - Werbe-IDs von Apple (IDFA), Android und Google (GAID).
Nachdem die Datei auf den Server hochgeladen wurde, werden alle Daten von ihr verarbeitet und mit der VKontakte-Benutzerdatenbank verglichen.
...
Keiner der Benutzer aus der Dateiliste weiß, wie man dem Publikum Retargeting hinzufügt, und wir werden sie ohne Ihre Teilnahme in keiner Weise kontaktieren.
Auf der Sberbank-Website wird dem Benutzer jedoch weder eine Warnung zum Sammeln von Informationen über ihn angezeigt, noch wird er um seine Zustimmung gebeten. Es gibt nur eine Warnung zur Verwendung von Cookies und nichts über die Übertragung von Daten an Drittunternehmen.
Die Bank und die sozialen Netzwerke sollten die Einhaltung des Reggae-Targeting-Mechanismus mit den geltenden Rechtsvorschriften überprüfen, um eine Blockierung ihrer Dienste zu vermeiden.
Ergänzung : Laut Benutzerberichten wurde auf
der Seite der Pressemitteilung der ILV-Website auch ein Analyseskript des Unternehmens Sputnik gefunden, dessen Unternehmen Yandex-Metrica ist. Außerdem gibt es auf der ILV-Website ein
Skript , das Code zum Scannen des Computers eines Benutzers auf das Vorhandensein von Programmen zur Verkehrsanalyse wie Fiddler enthält. Hier ist ein Beispielcode zum Erkennen dieses Tools:
t.src = "http://127.0.0.1:8888/FiddlerRoot.cer", t.onerror = function() { if ((new Date).getTime() - e < f) { var t = "Tool: Fiddler; Open Port: 8888";
Neben Fiddler gibt es die Programme "Acunetix", "Beef", "Burp", "Zap", "Netsparker", "Sleepypuppy", "Sonar", "Xbackdoor", "Xenotix", "Dominator", "LittleDoctor" und Verwendung der Dienstprogramme Casper.js oder Phantom.js. Die Zustimmung des Benutzers zum Scannen und Übertragen von Daten an Sputnik wird zum Zeitpunkt der Veröffentlichung nicht von der ILV-Website angefordert.
UFO Pflege Minute
Dieses Material kann zu widersprüchlichen Gefühlen führen. Aktualisieren Sie daher vor dem Schreiben eines Kommentars etwas Wichtiges in Ihrem Gedächtnis:
Nachtrag: Das Tagansky-Gericht hat
in dem Fall eine
Entscheidung getroffen . Sie können viel daraus lernen, insbesondere:
Laut "whois" -Quellen wurde jedoch festgestellt, dass die Dienste zur Bereitstellung von Rechenleistung für das Hosting von Datenbanken mit personenbezogenen Daten von Bürgern der Russischen Föderation bereitgestellt werden, durch die Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Aktualisierung (Aktualisierung, Änderung) und Extraktion personenbezogener Daten von Bürgern bereitgestellt werden Von der Russischen Föderation wird die ständige Verbindung zum Internet über die Servereinrichtungen von Cloudflare, Inc. in den Vereinigten Staaten von Amerika hergestellt
Daraus können wir folgende Schlussfolgerungen ziehen:
- Die Büroadresse des Unternehmens in Whois wird vom Gericht als Standortadresse des Servers mit dieser IP anerkannt
- Mit whois können Sie den geografischen Standort der Standortdatenbank bestimmen
Beachten Sie, dass laut whois auf der Website von United Russia Cloudflare verwendet wird und sich herausstellt, dass die Gefahr besteht, dass diese blockiert wird.
Das Gericht sprach auch über die Verwendung von Analysen:
Der Vertreter des Klägers stellt außerdem fest, dass der Beklagte und Dritte die Dienste von Google Analytics und Yandex Metrica nutzen, um den Website-Verkehr zu bewerten und das Nutzerverhalten zu analysieren. Ihre Server befinden sich ebenfalls in den USA. Die Nutzung der Dienste ist die Erhebung und Verarbeitung personenbezogener Daten. Die Datenschutzrichtlinie der Internetressource 2019.vote über die Nutzung von Diensten zur Verarbeitung personenbezogener Daten enthält keine Informationen, was ebenfalls einen Verstoß gegen das Bundesgesetz Nr. 152 darstellt.
Dieser Absatz kann nicht mehrdeutig interpretiert werden: Die
Verwendung von Analysen ist eine Sammlung personenbezogener Daten . Erinnern Sie sich daran, dass Analytics auf einer Vielzahl von Websites verwendet wird, einschließlich der Websites von United Russia, Channel One und Vesti.
Es wird empfohlen, dass Benutzer der Website die Entscheidung des Gerichts prüfen, um zu überprüfen, ob ihre Websites damit übereinstimmen.