Чтобы ответить на вопрос о сборе персональных данных Google Аналитики, нужно определиться, что такое персональные данные и какие данные из них собирает Google в аналитических программах.
В России, согласно ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть, уникальная информация о конкретном физическом лице, которая позволяет его точно идентифицировать, то есть, индивидуальная информация. По сути, это всевозможные сведения из государственных реестров и документов, с помощью которых можно определить (идентифицировать) субъекта персональных данных, что в полной мере согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой Советом Европы 28 января 1981 г. Правовой защите подлежит лишь та информация о человеке, которая позволяет его персонифицировать, индивидуализировать.
Схожее определение персональных данных приводится и в Регламенте (ЕС) Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. То есть и Закон № 152-ФЗ в России и Регламент (ЕС) определяют персональные данные достаточно широко, поэтому какого-либо законного перечня сведений, относящихся к персональным данным человека не существует, так как индивидуальных, параметров у каждого человека безграничное множество.
В тоже время, существует общий перечень частных (персональных) данных, которые позволяют точно идентифицировать человека, которые применяются в обычной жизни. К таким данным относиться, данные в совокупности (а не отдельно) которые указываются в паспорте гражданина, ФИО, дата рождения, место рождения, адрес места жительства, номера документов удостоверяющих личность, номер телефона, если он позволяет идентифицировать личность человека. Одновременно с этим, ФИО само по себе не позволяет идентифицировать человека, как и номер телефона и другие данные, так как людей с одинаковыми ФИО очень много.
И так, согласно закону, к персональным данным относятся индивидуальные определенные (персональные) данные человека.
Компания Google подробно раскрывает, какие сведения она собирает о пользователях сайтов. Так в технической документации указаны сведения об аудиториях Google Аналитики.
Аудитория – это группа пользователей с одинаковыми атрибутами.
В Google Аналитике аудитория – это группа пользователей вашего сайта и/или приложения, для которых зарегистрировано похожее поведение или которые обладают одинаковыми демографическими или другими характеристиками. Например, это могут быть пользователи из одной возрастной группы, одного пола или привлеченные в рамках одной кампании.
Буквально, Google Аналитика собирает следующие данные о пользователях:
IP адрес, без его отображения и раскрытия
Страна
Город
Пол
Примерная Возрастная группа
Язык
Как видно, собираемые данные по отдельности и в совокупности не являются индивидуальными, то есть, эти данные не являются персональными.
Сервисы аналитики не запрещены к использованию на сайтах, даже в том случае, если они обрабатывают технические, аналитические и сетевые данные о пользователях сайтов из России. Прямой запрет на использование конкретного программного обеспечения должен быть установлен законом или постановлением суда. При этом необходимо различать сбор и анализ аналитических и персональных данных, так как последние, не собираются сервисами Google Universal Analytics.
Стоить отметь, что с 01 июля 2023 года сервисы Google Universal Analytics официально прекратили работу в России.
Прекращение работы означает, что сервисы, даже при наличии cookie файлов не могут собирать и анализировать данные пользователей, так как поддержка сервиса прекращена разработчиком, в том числе, невозможен технический сбор персональных данных пользователей из России. При этом, наличие файлов cookie не является причиной или доказательством сбора персональных данных с нарушением закона. Так как мы не являемся экспертами в системах аналитики и сбора данных, мы не можем предоставить точные данные о чужом программном обеспечении. Также мы не знаем способа определить, использует сайт аналитику GUA или обновленный протокол GA4.
Возможно ваш сервис аналитики на сайте не собирает персональные данные. Мы рекомендуем, для исключения ошибок, при осуществлении надзора, уточнить у проверяющего лица каким способом определено наличие сбора персональных данных, каким программным обеспечением ПД собираются (так как GUA не работает, а GUA4 не собирает ПД из России) и в какие промежутки времени.
Также при подготовке ответа для надзорного органа, можно использовать информацию о типе данных, которые собирает Google.Analytics
https://support.google.com/analytics/?hl=ru&sjid=902794743912193672-EU#topic=14090456