Небольшой анализ НПА и судебной практики касающийся cookie

Суд первой инстанции (апелляция не подавалась)

Судебный участок мирового судьи № 422 - Москва

Номер дела: 05-0034/422/2025

https://mos-sud.ru/422/cases/admin/details/f916b2d4-e996-449a-a177-817f7cc2153d?caseNumber=05-0034/422/2025

«В частности, согласно ч. 5 ст. 18 Закона при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Согласно положениям п. 3 «Информация, которую вы нам предоставляете» Политики конфиденциальности (...) для регистрации в сервисе ... пользователям в обязательном порядке необходимо предоставить компании Match Group, LLC регистрационные данные учетной записи (номер телефона, адрес электронной почты, пол, дата рождения).

В ходе использования сервиса ... пользователь также предоставляет в адрес компании Match Group, LLC данные о сексуальной ориентации, фото и видео, номер дебетовой или кредитной карты и иную финансовую информацию, а также данные об использовании, информацию об устройствах (IР-адрес, идентификатор и тип устройства, идентификаторы, связанные c файлами cookie), информацию о местоположении и другую информацию.»

Апеляционная инстанция

Таганский районный суд - Москва

Номер дела: 12-0559/2024

https://mos-gorsud.ru/rs/taganskij/services/cases/appeal-admin/details/916df840-bb5d-11ee-9e14-91442d0d2356?caseNumber=12-559/2024

«...По результатам анализа деятельности компании Ookla LLC было установлено, что согласно положениям раздела «Какие категории информации мы можем обрабатывать?» Политики конфиденциальности Ookla LLC (https://www.speedtest.net/about/privacy) для регистрации в сервисе Speedtest пользователям в обязательном порядке необходимо предоставлять компании Ookla LLC регистрационные данные учетной записи (имя, фамилия, номер телефона, адрес электронной почты).

В ходе использования сервиса Speedtest пользователь также предоставляет в адрес компании Ookla LLC платежную информацию, информацию о местоположении, информацию о сетевой активности, идентификаторы устройства, файлы Cookie.

Предоставляемый перечень сведений является информацией, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), что в соответствии с п. 1 ст. 3 Закона является персональными данными.»

Когда данные из cookie, IP-адреса, идентификаторы устройств, геолокация собираются в связке (с точной привязной) ФИО пользователя то эти данные приобретают статус персональных данных.

Оператор (владелец сайта) обязан обеспечить их хранение и обработку на серверах, находящихся на территории РФ (ст. 18 152-ФЗ, «закон о приземлении»).

Это требование распространяется на все организационно-правовые формы будь то ООО, ИП, самозанятых, некоммерческие организации, государственные учреждения. Исключений для «маленького блога» или «сайта-визитки» нет, если там есть форма сбора персональных данных.

Другими словами, если при входе на сайт вам предлагают согласиться на сбор данных, принять политику обработки персональных данных или использование куки, хотя никаких форм для ввода данных на сайте нет — это повод задуматься о профессионализме ИТ-специалиста. Очевидно, он не обладает необходимыми знаниями нормативно-правовых актов, а значит держаться от такого исполнителя лучше подальше.

P.S. Прошу обратить внимание, что в описательной части указанных судебных актов четко отражена лояльность Роскомнадзора. Ведомство указывает на конкретные нарушения закона и необходимость принятия мер для их устранения. Однако в обоих случаях владельцы ресурсов проигнорировали данные требования. Старая отговорка «интернет — это трансграничное пространство без конкретной юрисдикции в силу экстерриториальности», работавшая ранее, давно утратила актуальность.