Куки-файлы, как персональные данные

А что за скрипт гугл вебмастер на сайте? Речь идёт о сервисе Google Searche Console?

Если на ваш смартфон установят вредоносное ПО и с его помощью получат доступ к банковскому приложению и переведут деньги, кто будет отвечать?

Если с вашего смартфона (номера) будут звонить «скрыто» мошенники, кто будет отвечать?

Если ночью угонят ваш автомобиль, сделают нехорошие дела и вернут его на место, кто будет отвечать? И так можно продолжать до бесконечности…

А вот еще тема: каждый раз замечаю, что при оплате, например, за газ по QR-коду указаны одни платежные данные (расчетный счет и т.д.) и на этой же платежке, если платить не через QR-код, уже другие данные. 😅 Не понимаю, как это работает, может конечно это для разделения и сбора статистики, не знаю…

Не понимаю к чему вопрос. Я писал про то, что если куки принимать за ПД, и куки украдут из браузера посетителя сайта, то будет ли это являться утечкой ПД, за которую нужно штрафовать владельца сайта... 

Потому что Вы уже в какие-то дебри полезли... Кого надо штрафовать, когда вор украл у гражданина банковскую карту, по которой можно снять кредитные средства банка? На гражданина или на банк надо оформлять штраф?

оператор ПД должен работать над тем, чтоб защищать полученные ПД. Это ж тоже в законе прописано.

С чего Вы взяли, что являетесь оператором ПД на чужом компьютере? По этой логике Вы должны взять на себя ответственность за весь путь ПД - от безопасности Wi-Fi соединения с роутером на стороне клиента, за неприкосновенность линии в подъезде до коммутатора, за надлежащую безопасность оборудования роутера и коммутатора и дальше магистральных трасс и т.д. и т.п. ?

так понятно что ваша ответственность только за происходящим на вашем сайте. типа чтоб на нем небыло xss для угона кук например. 

Ну если опасаетесь и есть желание заморочиться - шифраните куки свои + поставьте ограничения на браузер+IP пользователя.

Тут в треде всё смешали в кучу — куки, персональные данные, метрику, РКН. Давайте разложим по полочкам, потому что куки кукам рознь.

Что такое кука технически? Это пара ключ=значение, которую сервер просит браузер сохранить. Всё. Сама по себе кука — это не персональные данные, точно так же как пустой конверт — это не письмо.

Какие куки НЕ являются персональными данными:

— Сессионные куки ( PHPSESSID , session_id ) — живут до закрытия браузера, нужны чтобы сайт работал. Без них не будет корзины, авторизации, CSRF-защиты. Это техническая необходимость, а не сбор данных.

— Функциональные куки — язык интерфейса, тема оформления, cookie_consent=yes (ирония — сама кука о согласии на куки). Никакой идентификации пользователя.

— First-party куки без привязки к личности — например, last_visited_page=/catalog . Нет ни email, ни IP, ни имени. Это не ПД ни по ФЗ-152, ни по GDPR.

Какие куки ЯВЛЯЮТСЯ (или могут являться) персональными данными:

— Куки трекинговых систем: _ym_uid (Метрика), _ga (Google Analytics) — уникальные идентификаторы, которые позволяют отслеживать пользователя между визитами и потенциально между сайтами. Вот это уже идентификатор, который в совокупности с другими данными может считаться ПД.

— Third-party куки рекламных сетей (РСЯ, Google Ads) — тут вообще прямая передача поведенческих данных третьим лицам.

— Куки, содержащие JWT-токен с email или user_id внутри — это буквально персональные данные в чистом виде. Кстати, многие даже не знают, что у них в куке лежит Base64-закодированный JSON с email пользователя — открывается декодером за секунду.

Практический вывод:

Если у вас статический сайт без метрики, без рекламы, без форм — у вас, скорее всего, вообще нет кук или есть только технические. Никакой регистрации в РКН не нужно.

Если у вас стоит Метрика — у вас _ym_uid , и формально вы оператор ПД. Но обратите внимание: сама Метрика в стандартной конфигурации не показывает IP пользователя. Яндекс его хеширует на своей стороне. Вы как оператор его не видите и не обрабатываете.

Про «удалить Google Analytics и reCAPTCHA» — это перебор. reCAPTCHA ставит куку _GRECAPTCHA , но она нужна для защиты формы, а не для идентификации. Удалять защиту от спама ради параноидального прочтения закона — так можно и HTTPS отключить, потому что сертификат хранит данные о соединении.

По поводу попапов «Мы используем куки» — в российском законодательстве, в отличие от GDPR, нет прямого требования показывать баннер. ФЗ-152 требует получить согласие на обработку ПД, но форма этого согласия не регламентирована. Попап — это калька с европейского ePrivacy Directive, которая в РФ юридической силы не имеет. Делают «на всякий случай».

Кстати, я публикую расширения для браузеров — инструменты, которые как раз работают с куками (просмотр, экспорт, декодирование JWT прямо в cookie). Так вот, Chrome Web Store и другие маркетплейсы при ревью смотрят именно на то, собирает ли расширение ПД. И первый вопрос — какие куки ты читаешь и зачем. Техническая кука для хранения настроек — ок, отслеживающий идентификатор — объясняй зачем. Подход ровно тот же, что и в законе: контекст решает всё.