El uso incorrecto de los servicios de análisis de Google Analytics y Yandex Metrics puede conducir a un acceso restringido al sitio, dijo Roskomnadzor.
El 19 de diciembre, el tribunal Tagansky de Moscú, en una demanda de Roskomnadzor contra el registrador de dominios francés Gandi SAS,
resolvió bloquear el sitio de votación colectiva 2019.vote. Anteriormente, el 14 de diciembre, se publicó una
decisión para agregar el sitio al registro de infractores de procesadores PD como medida de seguridad para la demanda, y el 7 de diciembre, la
restricción del acceso al sitio por parte de los proveedores :
El representante de Roskomnadzor explicó que a finales de noviembre el sitio web recibió quejas de varios ciudadanos no identificados que se quejaron del procesamiento ilegal de sus datos en la página de "voto inteligente". Después de eso, los empleados del departamento llevaron a cabo su propia verificación, que confirmó la existencia de violaciones de la ley de datos personales: el formulario de recopilación de datos en el sitio web de Navalny no cumplía con los criterios prescritos en la ley, además, el recurso no tenía una política de privacidad por escrito. Ampelonsky también agregó que los datos del usuario se almacenan en servidores extranjeros, lo cual es contrario a la ley.
En una reunión el 19 de diciembre, el demandante citó uno de los argumentos de que el sitio usa los sistemas de análisis Google Analytics y Yandex Metrics en violación de la Ley de Protección de Datos Personales y los Términos de Uso. Como evidencia, se entregaron fotos del código HTML del sitio en el navegador Opera. Hoy,
ILV confirmó esto en un comunicado de prensa oficial en su sitio web :
Estamos hablando de los requisitos de la Ley Federal "Sobre datos personales" y los Términos de uso de GoogleAnalytics, que estipulan la obligación de la administración del sitio al recopilar información personalizada sobre los visitantes de este sitio para notificarles sobre la recopilación de datos, obtener el consentimiento para su procesamiento y publicar un documento que regule la política de privacidad con respecto a los datos recopilados .
Sin embargo, estos requisitos no los cumple el administrador del sitio 2019.vote.
Por lo tanto, no se trataba de reclamos de Roskomnadzor a los programas métricos de Google, Yandex LLC, sino de que el administrador del sitio web 2019.vote no cumpliera con los requisitos de los programas métricos GoogleAnalytics, Yandex.Metrica especificados en los Términos de uso.
En este sentido, el Tribunal de Distrito de Tagansky de Moscú por incumplimiento, incluidos los requisitos anteriores, decidió restringir el acceso al sitio hasta que se eliminen las violaciones identificadas.
Desafortunadamente, el comunicado de prensa no especificó exactamente qué categorías de servicios de análisis de "datos personales" recopilan. Entonces, al estudiar el sitio web oficial de ILV, puede encontrar comentarios que indican que el nombre completo, el número de teléfono o el correo electrónico pueden no ser datos personales, y los contadores recopilan datos menos confidenciales como la dirección IP (al mismo tiempo, no permiten verlos por completo). Por ejemplo,
los nombres completos en sí mismos no se consideran PD :
3. Pregunta: ¿El procesamiento de datos personales es la colocación de un apellido, nombre y patronímico sin otra información adicional?
Respuesta: Colocar el apellido, el nombre y el patronímico en las páginas de Internet sin información adicional que identifique a un individuo como sujeto de datos personales no puede dar testimonio del procesamiento de datos personales de un individuo específico.
El número de teléfono desde el
punto de vista del ILV no
es un PD:
Pregunta: ¿Es el procesamiento de datos personales, la implementación de llamadas telefónicas para realizar encuestas telefónicas a los ciudadanos?
Respuesta: Según el art. 3 de la Ley Federal del 27 de julio de 2006 No. 152- Los datos personales "sobre datos personales" son cualquier información relacionada directa o indirectamente con una persona física específica o determinable (sujeto de datos personales). El número de suscriptor (número de teléfono) es el número asignado al suscriptor (un conjunto de signos digitales) al celebrar un acuerdo con un suscriptor sobre la prestación de servicios de comunicación telefónica. Este número se utiliza para indicar e identificar el equipo final del suscriptor en la red de comunicación al conectar dispositivos de suscriptor, lo que significa que el número de teléfono sin indicar a su propietario no es información sobre la base de la cual esta persona (sujeto de datos personales) puede identificarse de manera única y su uso no puede implicar el procesamiento de datos personales de su propietario.
Tampoco
cuenta PD y dirección de correo electrónico :
Por ejemplo, una fotografía, nombre, número de teléfono y dirección de correo electrónico pueden identificar a una persona con bastante precisión. Pero la foto y el nombre "Olya" no pueden considerarse datos personales, así como una sola dirección de correo electrónico o número de teléfono. Estamos hablando de un conjunto de datos.
Desafortunadamente, muchos sitios que usan servicios de análisis no notifican a los visitantes y no reciben su consentimiento para la recopilación de datos. Dichos sitios, para evitar el bloqueo, deben tomar medidas urgentes para corregir la situación. Por ejemplo, si abre el código fuente del sitio "Servidor de Autoridades Gubernamentales de la Federación de Rusia"
gov.ru , puede ver el uso de "Google Analytics" y "Yandex metrics", mientras no se muestra una advertencia sobre la recopilación de datos y no se solicita el consentimiento del usuario para la recopilación de datos .
El consentimiento para la recopilación de datos tampoco se solicita en el sitio web
de la parte de Rusia Unida , donde están instalados los servicios Live Internet, Yandex Metric, Facebook Pixel (2 copias) y Rambler Top 100. No existe tal cosa en el sitio web de Vesti.ru, donde el número de visitantes de Piwik, Adblockmetrics, Rating@Mail.ru, Yandex Metric, LiveInternet, Google Analytics está involucrado en el conteo de visitantes. y redes publicitarias "AdFox", "1banner". Sus colegas del
"primer" canal no están muy lejos del "segundo": en su sitio web hay "Contador de LiveInternet" no declarado, "Yandex-Metric", "Google Analytics" y widgets de "Facebook", "VK", "Odnoklassniki" "," Twitter ", también recopilando análisis.
Vale la pena señalar que todavía no se proporciona el bloqueo completo del sitio en la Federación Rusa. Según algunos usuarios, el sitio está disponible a través de sus proveedores que utilizan el servidor DNS 8.8.8.8 de Google. A juzgar por los registros (con
fecha 4.12 y
14.12 ) en el sitio web de Roskomsvoboda, el sitio ya ha cambiado más de 330 direcciones IP, y el acceso "para la empresa" podría limitarse, según lo estimado, a 362 dominios.
Se recomienda a los usuarios de Habra que utilicen servicios de análisis que verifiquen si se cumplen los requisitos reglamentarios en sus sitios.
Adición : A. Litreev descubrió una discrepancia con los requisitos en el sitio web de la Duma del Estado, además de los mencionados en el artículo. También descubrió que hay un formulario de comentarios en el sitio web de la Duma del Estado que recopila datos de los usuarios. En esta ocasión,
escribió una apelación a Roskomnadzor .
Además Según el usuario Habrahabr, el sitio de Sberbank también puede no cumplir con los requisitos del ILV. Si va al sitio
www.sberbank.ru con las herramientas de desarrollador abiertas en la pestaña Red, puede ver muchas llamadas a los sistemas de análisis: "RetailRocket" (un script con el nombre de
seguimiento tracking.js ), "RuTarget", "Google Analytics", "Google Adsense "," Yandex metric "(aproximadamente 8 contadores con diferentes ID), scripts de Facebook," Artfut.com "," Doubleclick "," Top Mail.ru ". Recordemos que ILV ha tenido
reclamos durante mucho tiempo contra las compañías extranjeras Google y Facebook, además de esto último, se está llevando a cabo una investigación en los Estados Unidos sobre la transferencia de datos de usuarios a compañías de terceros.
Además, el sitio web de Sberbank contiene
un script de "reorientación" de Vkontakte . Este script transmite información a Vkontakte de que este usuario de la red ha visitado el sitio web de Sberbank, y puede usarse para mostrar anuncios más relevantes, y también le permite a Sberbank "investigar la audiencia que visita el sitio". El funcionamiento de este sistema se describe en la
documentación del sitio de la red social . Establece que:
El píxel de retargeting VK es un código JavaScript que se inserta en el código fuente del sitio y le permite rastrear a todos sus visitantes: tan pronto como una persona visita el sitio, el píxel de retargeting lo tiene en cuenta automáticamente.
Si estas características no son suficientes, Vkontakte ofrece métodos más precisos para orientar anuncios a usuarios específicos:
Al reorientar un archivo, se carga una lista preparada previamente, que consta de números de teléfono, direcciones de correo electrónico y / o identificadores (ID) de las páginas VK de los usuarios que necesita. Si tiene una aplicación móvil, también puede descargar una lista de identificadores de dispositivos móviles: ID de publicidad de Apple (IDFA), Android y Google (GAID).
Después de cargar el archivo en el servidor, todos los datos del mismo se procesarán y compararán con la base de datos de usuarios de VKontakte.
...
Ninguno de los usuarios de la lista de archivos sabrá acerca de cómo agregar retargeting a la audiencia, y nunca nos pondremos en contacto con ellos de ninguna manera sin su participación.
Con todo esto, el sitio de Sberbank no muestra al usuario una advertencia sobre la recopilación de información sobre él, ni solicita su consentimiento. Solo hay una advertencia sobre el uso de cookies, y no dice nada sobre la transferencia de datos a empresas de terceros.
El banco y las redes sociales deben verificar el cumplimiento del mecanismo de "focalización del reggae" con la legislación actual para evitar el bloqueo de sus servicios.
Además : según los informes de los usuarios, también se encontró un script analítico de la compañía Sputnik, cuya compañía es Yandex-Metrica, en
la página de comunicados de prensa del sitio web de ILV . Además, en el sitio web de ILV hay un
script que contiene código para escanear la computadora de un usuario en busca de programas de análisis de tráfico, como Fiddler. Aquí hay un código de muestra para detectar esta herramienta:
t.src = "http://127.0.0.1:8888/FiddlerRoot.cer", t.onerror = function() { if ((new Date).getTime() - e < f) { var t = "Tool: Fiddler; Open Port: 8888";
Además de Fiddler, la presencia de los programas "acunetix", "beef", "burp", "zap", "netsparker", "sleepypuppy", "sonar", "xbackdoor", "xenotix", "dominator", "littleDoctor" y uso de utilidades Casper.js o Phantom.js. El sitio web de ILV no solicita el consentimiento del usuario para escanear y transmitir datos a Sputnik en el momento de la publicación.
Minuto de cuidado de ovnis
Este material puede causar sentimientos conflictivos, así que antes de escribir un comentario, actualice algo importante en su memoria:
Suplemento: El tribunal de Tagansky emitió una
decisión en el caso . Puedes aprender mucho de él, en particular:
Sin embargo, según fuentes "whois", se descubrió que los servicios de proporcionar potencia informática para alojar bases de datos que contienen datos personales de ciudadanos de la Federación de Rusia, a través de los cuales se proporciona el registro, la sistematización, la acumulación, el almacenamiento, la actualización (actualización, cambio) y la extracción de datos personales de los ciudadanos De la Federación de Rusia, constantemente conectado a Internet ... se lleva a cabo a través de las instalaciones del servidor de Cloudflare, Inc., ubicado en los Estados Unidos de América
De esto podemos sacar las siguientes conclusiones:
- la dirección de la oficina de la empresa en Whois es reconocida por el tribunal como la dirección de ubicación del servidor con esta IP
- por whois puede determinar la ubicación geográfica de la base de datos del sitio
Tenga en cuenta que según whois, el sitio de Rusia Unida usa Cloudflare, y resulta que también corre el riesgo de ser bloqueado.
El tribunal también habló sobre el uso de análisis:
El representante del demandante también señala que el demandado y terceros utilizan los servicios Google Analytics y Yandex Metrica, diseñados para evaluar el tráfico del sitio web y analizar el comportamiento del usuario, sus servidores también se encuentran en los Estados Unidos, el uso de los servicios es la recopilación y el procesamiento de datos personales, La Política de privacidad del recurso de Internet de 2019.vote sobre el uso de servicios en el procesamiento de datos personales no contiene información, lo que también constituye una violación de la Ley Federal No. 152.
Este párrafo no puede interpretarse de manera ambigua: el
uso de análisis es una recopilación de datos personales . Recuerde que el análisis se usa en una gran cantidad de sitios, incluido el sitio de Rusia Unida, Channel One y Vesti.
Se recomienda que los usuarios del sitio examinen la decisión del tribunal de verificar que sus sitios son consistentes con él.