O uso inadequado dos serviços de análise do Google Analytics e da Yandex Metrics pode levar ao acesso restrito ao site, disse Roskomnadzor.
Em 19 de dezembro, o tribunal de Moscou de Tagansky, em um processo de Roskomnadzor contra o registrador de domínio francês Gandi SAS,
decidiu bloquear o site de votação coletiva 2019.vote. Anteriormente, em 14 de dezembro, foi publicada uma
decisão de adicionar o site ao registro de violadores de processadores de PD como medida de segurança para o processo e, em 7 de dezembro, a
restrição de acesso ao site pelos fornecedores :
O representante de Roskomnadzor explicou que, no final de novembro, o site recebeu reclamações de vários cidadãos não identificados que se queixaram do processamento ilegal de seus dados na página "voto inteligente". Depois disso, os funcionários do departamento realizaram sua própria verificação, o que confirmou a existência de violações da lei sobre dados pessoais: o formulário de coleta de dados no site da Navalny não atendia aos critérios prescritos na lei, além disso, o recurso não possuía uma política de privacidade por escrito. Ampelonsky também acrescentou que os dados do usuário são armazenados em servidores estrangeiros, o que contradiz a lei.
Em uma reunião em 19 de dezembro, o autor citou um dos argumentos de que o site usa os sistemas de análise do Google Analytics e Yandex Metrics, violando a Lei de Proteção de Dados Pessoais e os Termos de Uso. Como prova, foram fornecidas fotos do código HTML do site no navegador Opera. Hoje, a
ILV confirmou isso em um comunicado de imprensa oficial em seu site :
Estamos falando dos requisitos da Lei Federal "Sobre Dados Pessoais" e dos Termos de Uso do GoogleAnalytics, que estipulam a obrigação para a administração do site ao coletar informações personalizadas sobre os visitantes deste site para notificá-los sobre a coleta de dados, obter consentimento para o processamento e publicar um documento regulando a política de privacidade referente aos dados coletados .
No entanto, esses requisitos não são atendidos pelo administrador do site 2019.vote.
Portanto, não se tratava das reivindicações de Roskomnadzor aos programas de métricas do Google, Yandex LLC, mas do administrador do site 2019.vote que não atende aos requisitos dos programas de métricas GoogleAnalytics, Yandex.Metrica especificados nos Termos de uso.
Nesse sentido, o Tribunal Distrital de Tagansky, em Moscou, por não conformidade, incluindo os requisitos acima, decidiu restringir o acesso ao site até que as violações identificadas fossem eliminadas.
Infelizmente, o comunicado à imprensa não especificou exatamente quais categorias de serviços de análise de "dados pessoais" coletam. Portanto, ao estudar o site oficial da ILV, você pode encontrar comentários dizendo que o nome, número de telefone ou e-mail podem não ser dados pessoais, e os contadores coletam dados menos sensíveis como o endereço IP (ao mesmo tempo, eles não permitem visualizá-lo totalmente). Por exemplo, os
nomes completos em si não são considerados PD :
3. Pergunta: O processamento de dados pessoais é a colocação de um sobrenome, nome e patronímico sem outras informações adicionais?
Resposta: A colocação do sobrenome, nome e patronímico nas páginas da Internet sem informações adicionais que identifiquem um indivíduo como sujeito de dados pessoais não pode atestar o processamento de dados pessoais de um indivíduo específico.
O número de telefone do
ponto de vista do ILV não
é um PD:
Pergunta: O processamento de dados pessoais, a implementação de chamadas telefônicas para realizar pesquisas telefônicas com os cidadãos?
Resposta: De acordo com o art. 3 da Lei Federal de 27 de julho de 2006, nº 152 - data "Dados pessoais" são dados relacionados direta ou indiretamente a uma pessoa física específica ou determinável (sujeito dos dados pessoais). Número de assinante (número de telefone) é o número alocado ao assinante (um conjunto de sinais digitais) ao concluir um contrato com um assinante no fornecimento de serviços de comunicação telefônica. Esse número é usado para indicar e identificar o equipamento final do assinante na rede de comunicação ao conectar dispositivos do assinante, o que significa que o número de telefone sem indicar seu proprietário não é uma informação com base na qual essa pessoa (sujeito de dados pessoais) pode ser identificada e identificada exclusivamente. seu uso não pode implicar o processamento de dados pessoais de seu proprietário.
Também
não conta PD e endereço de email :
Por exemplo, uma fotografia, nome, número de telefone e endereço de e-mail podem identificar uma pessoa com bastante precisão. Mas a foto e o nome "Olya" não podem ser considerados dados pessoais, assim como um único endereço de e-mail ou número de telefone. Estamos falando de um conjunto de dados.
Infelizmente, muitos sites que usam serviços de análise não notificam os visitantes e não recebem seu consentimento para a coleta de dados. Esses sites, a fim de evitar bloqueios, devem tomar urgentemente medidas para corrigir a situação. Por exemplo, se você abrir o código-fonte do site "Servidor de autoridades governamentais da Federação Russa"
gov.ru , poderá ver o uso de "Google Analytics" e "Métricas Yandex", enquanto um aviso sobre a coleta de dados não é exibido e o consentimento do usuário para a coleta de dados não é solicitado. .
O consentimento para a coleta de dados também não é solicitado no site
da Rússia Unida , onde estão instalados os serviços Live Internet, Yandex Metric, Facebook Pixel (2 cópias) e Rambler Top 100. Não existe no site da Vesti.ru, onde o número de visitantes de Piwik, Adblockmetrics, Rating@Mail.ru, Yandex Metric, LiveInternet, Google Analytics está envolvido na contagem de visitantes. e redes de anúncios "AdFox", "1banner". Seus colegas do canal
“primeiro” não estão muito atrás do canal “segundo” - em seu site há “não declarado”, “LiveInternet Counter”, “Yandex-Metric”, “Google Analytics” e widgets do “Facebook”, “VK”, “Odnoklassniki” "," Twitter ", também coletando análises.
Vale ressaltar que o bloqueio total do site na Federação Russa ainda não foi fornecido. Segundo alguns usuários, o site está disponível por seus provedores usando o servidor DNS 8.8.8.8 do Google. A julgar pelos registros (
datados de 4.12 e
14.12 ) no site da Roskomsvoboda, o site já alterou mais de 330 endereços IP e o acesso "para a empresa" pode ser limitado, como estimado, a 362 domínios.
Os usuários do Habra que usam serviços de análise são aconselhados a verificar se os requisitos regulamentares de seus sites estão sendo seguidos.
Além disso : A. Litreev descobriu uma discrepância com os requisitos no site da Duma do Estado, além dos mencionados no artigo. Ele também descobriu que existe um formulário de feedback no site da Duma do Estado que coleta dados do usuário. Nesta ocasião, ele
escreveu um apelo a Roskomnadzor .
Adição . Segundo o usuário Habrahabr, o site do Sberbank também pode não atender aos requisitos do ILV. Se você acessar o site
www.sberbank.ru com as ferramentas do desenvolvedor abertas na guia Rede, poderá ver muitas chamadas para sistemas de análise: "RetailRocket" (um script com o nome de
rastreamento tracking.js ), "RuTarget", "Google Analytics", "Google Adsense "," Yandex métrica "(cerca de 8 contadores com ID diferente), scripts do Facebook," Artfut.com "," Doubleclick "," Top Mail.ru ". Lembre-se de que a ILV há muito reclamava contra empresas estrangeiras Google e Facebook; além desta, há uma investigação nos Estados Unidos em relação à transferência de dados de usuários para empresas terceirizadas.
Além disso, o site do Sberbank contém
um script de "redirecionamento" da Vkontakte . Esse script transmite à Vkontakte informações de que esse usuário da rede visitou o site do Sberbank e pode ser usado para exibir anúncios mais relevantes, além de permitir que o Sberbank “pesquise o público que visita o site”. O funcionamento deste sistema está descrito na
documentação do site da rede social . Afirma que:
O pixel de redirecionamento VK é um código JavaScript inserido no código-fonte do site e permite rastrear todos os visitantes: assim que uma pessoa visita o site, o pixel de redirecionamento o leva automaticamente em consideração.
Se esses recursos não forem suficientes, o Vkontakte oferece métodos mais precisos para segmentar anúncios para usuários específicos:
Ao redirecionar um arquivo, é carregada uma lista pré-preparada, que consiste em números de telefone, endereços de email e / ou identificadores (IDs) de páginas VK para os usuários que você precisa. Se você possui um aplicativo móvel, também pode fazer o download de uma lista de identificadores de dispositivos móveis - IDs de publicidade da Apple (IDFA), Android e Google (GAID).
Após o upload do arquivo no servidor, todos os dados serão processados e comparados com o banco de dados do usuário do VKontakte.
...
Nenhum dos usuários da lista de arquivos saberá como adicionar redirecionamento ao público, e nunca entraremos em contato com eles sem a sua participação.
Com tudo isso, o site do Sberbank não mostra ao usuário um aviso sobre a coleta de informações sobre ele, nem pede seu consentimento. Há apenas um aviso sobre o uso de cookies e não diz nada sobre a transferência de dados para empresas terceirizadas.
O banco e as redes sociais devem verificar novamente a conformidade do mecanismo de “segmentação por regga” com a legislação vigente, a fim de evitar o bloqueio de seus serviços.
Além disso : de acordo com os relatórios dos usuários, um script de análise da empresa Sputnik, cuja empresa é Yandex-Metrica, também foi encontrado na
página do comunicado de imprensa do site da ILV . Além disso, existe um
script no site da ILV que contém o código para verificar o computador do usuário quanto à presença de programas para análise de tráfego, como o Fiddler. Aqui está um código de amostra para detectar esta ferramenta:
t.src = "http://127.0.0.1:8888/FiddlerRoot.cer", t.onerror = function() { if ((new Date).getTime() - e < f) { var t = "Tool: Fiddler; Open Port: 8888";
Além do Fiddler, a presença dos programas "acunetix", "beef", "burp", "zap", "netsparker", "sleepypuppy", "sonar", "xbackdoor", "xenotix", "dominator", "littleDoctor" e uso dos utilitários Casper.js ou Phantom.js. O consentimento do usuário para digitalizar e transmitir dados ao Sputnik não é solicitado pelo site da ILV no momento da publicação.
Minuto de cuidados UFO
Esse material pode causar sentimentos conflitantes; portanto, antes de escrever um comentário, atualize algo importante em sua memória:
Suplemento: O tribunal de Tagansky emitiu uma
decisão no caso . Você pode aprender muito com isso, em particular:
No entanto, de acordo com fontes “whois”, verificou-se que os serviços de fornecimento de poder computacional para hospedagem de bancos de dados contendo dados pessoais de cidadãos da Federação Russa, através dos quais são fornecidos registro, sistematização, acumulação, armazenamento, atualização (atualização, alteração) e extração de dados pessoais de cidadãos Da Federação Russa, constantemente conectado à Internet ... é realizado através das instalações de servidor da Cloudflare, Inc., localizada nos Estados Unidos da América
A partir disso, podemos tirar as seguintes conclusões:
- o endereço do escritório da empresa em Whois é reconhecido pelo tribunal como o endereço do servidor com este IP
- por whois você pode determinar a localização geográfica do banco de dados do site
Observe que, de acordo com whois, o site da United Russia usa Cloudflare, e também corre o risco de ser bloqueado.
O tribunal também falou sobre o uso da análise:
O representante do autor também observa que o réu e terceiros usam os serviços do Google Analytics e Yandex Metrica, projetados para avaliar o tráfego do site e analisar o comportamento do usuário, seus servidores também estão localizados nos Estados Unidos, o uso de serviços é a coleta e o processamento de dados pessoais, A Política de Privacidade do recurso 2019.vote na Internet sobre o uso de serviços no processamento de dados pessoais não contém informações, o que também viola a Lei Federal nº 152.
Este parágrafo não pode ser interpretado de forma ambígua: o
uso da análise é uma coleta de dados pessoais . Lembre-se de que a análise é usada em um grande número de sites, incluindo o site da United Russia, Channel One e Vesti.
Recomenda-se que os usuários do site examinem a decisão do tribunal de verificar se seus sites são consistentes com ele.