Comments 106
зато в России закон 282 работает
ФСБ разрешило :(
Статья 22. Уведомление об обработке персональных данных
…
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
…
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Согласие получено, регистрация не требуется. Не? С другой стороны, когда я регистрировался, то далеко не все сведения, требуемые Законом для выражения согласия указывал, в частности номер паспорта точно не вводил.
Насчёт удаления — далеко не факт, что нажатие кнопки «удалить аккаунт» равносильно требованию прекратить обработку и/или уничтожить персональные данные.
…
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
…
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Согласие получено, регистрация не требуется. Не? С другой стороны, когда я регистрировался, то далеко не все сведения, требуемые Законом для выражения согласия указывал, в частности номер паспорта точно не вводил.
Насчёт удаления — далеко не факт, что нажатие кнопки «удалить аккаунт» равносильно требованию прекратить обработку и/или уничтожить персональные данные.
Регистрация требуется, это раз, исключение — только обработка ПДн в рамках трудовых соглашений.
А равносильно чему является нажатие кнопки «удалить аккаунт»?
А равносильно чему является нажатие кнопки «удалить аккаунт»?
Думаю, если аккаунт не будет удален после личного обращения к администрации ресурса — это уже повод что-то утверждать.
Под кнопкой «Удалить аккаунт» честно написано «не показывать страницу никому» или что-то в этом роде, так что это равносильно скрытию данных страницы.
Под кнопкой «Удалить аккаунт» честно написано «не показывать страницу никому» или что-то в этом роде, так что это равносильно скрытию данных страницы.
Исключений там 8 пунктов вообще-то, трудовые отношения — первый, я цитировал второй.
Как хочет администрация толковать, так и толкует. Самой кнопки я не нашёл что-то
Как хочет администрация толковать, так и толкует. Самой кнопки я не нашёл что-то
Боян. Еще со времен похожих историй с фейсбуком, многие тоже самое говорили про контакт и фз №152. Даже на хабре я писал об этом комменты.
А вы думаете, что ВСЕ крупные компании с огромными базами пользователей уже защитили персональные данные своих пользователей? Конечно же нет.
И сервис «Вконтакте» лишь один их многих. К тому же ему лишь упомянуть, что «персональные данные пользователя являются общедоступными», как все вопросы по этому пункту будут сняты.
И сервис «Вконтакте» лишь один их многих. К тому же ему лишь упомянуть, что «персональные данные пользователя являются общедоступными», как все вопросы по этому пункту будут сняты.
Так, как я в теме, знаю, что нет, и у них остался ровно месяц :)
Да там на самом деле одной фразой про «общедоступные» они не отделаются.
Вот есть у них в Правилах пунктик:
5.5. В случае несогласия Пользователя с настоящими Правилами или их обновлениями, Пользователь обязан отказаться от его использования, проинформировав об этом Администрацию Сайта в установленном порядке.
Вы этот «порядок» видели? Лично я, не нашёл.
Да там на самом деле одной фразой про «общедоступные» они не отделаются.
Вот есть у них в Правилах пунктик:
5.5. В случае несогласия Пользователя с настоящими Правилами или их обновлениями, Пользователь обязан отказаться от его использования, проинформировав об этом Администрацию Сайта в установленном порядке.
Вы этот «порядок» видели? Лично я, не нашёл.
Обязанность доказывать, что данные являются общедоступными (и на то есть согласие человека) возлагается на оператора, если что.
Левую инфу вписать нельзя, нынче изменения имени и фамилии проверяются админами.
ну так можно же убедительную причину придумать.
Я думаю, удалят её только за экстремизм или детскую порнографию, чем, естественно, я не увлекаюсь.
В законе есть интересная «шероховатость».
ст.20 п.3 Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
По модели угроз необходимо резервировать данные.
По закону данные необходимо удалить полностью (обработку их закончить), но в резервной копии они останутся и их ТЕХНИЧЕСКИ невозможно оттуда удалить.
Вот такая вот «шероховатость» :)
ст.20 п.3 Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
По модели угроз необходимо резервировать данные.
По закону данные необходимо удалить полностью (обработку их закончить), но в резервной копии они останутся и их ТЕХНИЧЕСКИ невозможно оттуда удалить.
Вот такая вот «шероховатость» :)
Закон вообще кривой и косой, и противоречит целой пачке других Законов. Однако, он принят, это факт.
Не то что шероховатость а откровенная колдоебина. Так как у нас ТРИ регулятора (Роскомнадзор, ФСТЭК и ФСБ), то каждый из них гнет свою линию. Наша компания — игрок на финансовом и фондовом рынках. Первая категория по ПДн. Роскомнадзор говорит — вы должны обрабатывать данные по ФСТЭК, ФСТЭК говорит — данные после обработки необходимо хранить 70 лет, ФСБ говорит — удалить данные немедленно после обработки. Вот и пойми как быть. Писали письма — ответ у каждого свой. На ссылки друг на друга — у каждого своя «маза». И это еще не все. Необходимо защищать «сетевой» периметр сертифицированными средствами отечественного производства. Купили, поставили — плачем. Циски были куда гибче. Сидим и думаем как невозможное реализовать (Существующую топологию просто не возможно реализовать средствами АК Континент от ИнформЗащиты).
действительно.
они не дают поменять ФИО.
я пытался, но некий невидимый модератор отверг мои измения.
сдледующая попытка поменять ФИО возможна только через две недели.
как вам такой расклад?
я пытался, но некий невидимый модератор отверг мои измения.
сдледующая попытка поменять ФИО возможна только через две недели.
как вам такой расклад?
Например то, что вконтатик запоминает старую фамилию. И меня по ней находят. Более того, для незаргистрированных пользователей моя старая фамилия показывается в скобках, типа как девичья. Такие дела.
Кстати, чтобы изменить имя или фамилию теперь надо ввести номер своего мобильного.
Пруфпик:
Пруфпик:
Вконтакте можно нелюбить, но я гораздо больше не люблю 152й ФЗ…
не надо было регистрироваться изначально
Интересное мнение, безусловно. С такой логикой можно вывести и «не надо было рождаться изначально».
Однако, в топике я обозначил тезис, что «Вконтакте не выполняет требования законодательства, хотя прямо о выполнении и заявляет». Далее я привел 2 примера, как они основной Закон, их курирующий собственно, нарушают. Поэтому мытарства «Регистрироваться или нет, вот в чем вопрос» предлагаю обсудить в другой теме.
Однако, в топике я обозначил тезис, что «Вконтакте не выполняет требования законодательства, хотя прямо о выполнении и заявляет». Далее я привел 2 примера, как они основной Закон, их курирующий собственно, нарушают. Поэтому мытарства «Регистрироваться или нет, вот в чем вопрос» предлагаю обсудить в другой теме.
На 152 ФЗ можно хорошо зарабатывать :)
У «Вконтакте» будет минимум 2 ИСПДН: «Кадры» и «Пользователи».
ИСПДн «Кадры» относятся к классу К3, а ИСПДн «Пользователи» к К4 (если они сделают их общедоступными).
В связи с этим им сделать ОРД и защитить хорошенько К3. Для К4 хватит резервного копирования и что-то рода Cisco Guard.
ИСПДн «Кадры» относятся к классу К3, а ИСПДн «Пользователи» к К4 (если они сделают их общедоступными).
В связи с этим им сделать ОРД и защитить хорошенько К3. Для К4 хватит резервного копирования и что-то рода Cisco Guard.
Пожалейте ipicture.
По теме: мы жалкие и ничтожные людишки со своими статейками ничего уже не сделаем против гиганта, который поработил миллионы душ.
По теме: мы жалкие и ничтожные людишки со своими статейками ничего уже не сделаем против гиганта, который поработил миллионы душ.
Ещё Лев Толстой (кажется не ошибаюсь с авторством) писал, что изменить мир очень сложно (добавлю от себя: и не нужно), гораздо сложнее поменять себя.
Оставьте этого гиганта в покое и оставьте в покое эти миллионы душ, подумайте о своей — и этого более, чем достаточно. Это ваша зона ответственности, можете ещё отвечать за десяток «тех, кого приручили», а вот весь мир — это уже не ваша забота.
Оставьте этого гиганта в покое и оставьте в покое эти миллионы душ, подумайте о своей — и этого более, чем достаточно. Это ваша зона ответственности, можете ещё отвечать за десяток «тех, кого приручили», а вот весь мир — это уже не ваша забота.
Я собственно никого и ни к чему не призываю, разве что делать собственные выводы. Лично я просто хочу удалить свою страницу.
формально, вконтакт не содержит ПД. ФИО сами по себе — не являются ПД, т.к. не уникальны по своей сути и не позволяют однозначно идентифицировать личность. Вы ведь номер паспорта или ИНН не станете на вконтакт выкладывать?
Закон говорит обратное. п. 1 ст. 3
1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)Смысл в том, чтобы вас можно определить по этим данным. По ФИО нельзя определить однозначно, это лишь часть, которая может быть ПД, нужны дополнительные данные, они и перечислены:
год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;Всё это запросто можно не указывать на вк. Но многие указывают, да.
Моя фамилия ко мне не относится? В законе не просто так написано "к определенному", так что смысл не в том, вернее не только в том, что можно однозначно определить, достаточно того, что данные лично ко мне относятся.
Список распространенных фамилий — это не ПД. Список фамилий лиц, отписавшихся в этом топике — это ПД.
Список распространенных фамилий — это не ПД. Список фамилий лиц, отписавшихся в этом топике — это ПД.
ваша фамилия запросто может относиться к сотням/тысячам других людей. Даже ФИО целиком запросто может относиться ко многим людям. ФИО!=человек.
А ФИО+фото?
Но в числе сотен/тысяч других людей она определенно относится и ко мне. Перечитайте то, что сами цитировали: «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу» — переписав это на псевдокод получим
if (информация относится к лицу) or (по информации можно определить лицо) then информация.isПД = true.
Может так понятнее?
Более того, в законе не сказано даже «однозначно определяемому», а просто «определяемому»
if (информация относится к лицу) or (по информации можно определить лицо) then информация.isПД = true.
Может так понятнее?
Более того, в законе не сказано даже «однозначно определяемому», а просто «определяемому»
Поддержу bondbig, данные анкет не являются персональными данными пока ООО «Вконтакте» не подтвердит (документально), что они принадлежат конкретной личности.
А так это покалица, похожие на генпрокурора некий набор данных имеющих сходство с реальностью.
В вину Вконтакте можно поставить то, что не вошли в реестр как операторы ПДн сотрудников, контрагентов…
А так это пока
В вину Вконтакте можно поставить то, что не вошли в реестр как операторы ПДн сотрудников, контрагентов…
По-моему, вы ставите проблему с ног на голову. Наверное, подавляющее большинство тех, кто «внезапно» оказался оператором ПДн (не понял, зачем пишут «н» в некоторых источниках), были бы счастливы если бы им пришлось доказывать, что они таковыми являются, а не думать о том, как бы доказать, что не являются или, хотя бы, понизить требования к своим ИСПДн. В случае конфликта субъекта и оператора, оператору тоже лучше доказывать, что его данные не являются ПДн.
Не вошли, по-моему, правомерно.
Не вошли, по-моему, правомерно.
ок, я ставлю себя на место ответственного сотрудника по защите ПДн, ставят задачу по защите ПДн.
Смотрю анкеты пользователей и вижу, что на основании введенной информации достоверно (на 100%) определить физическое лицо не могу. Вся информация возможно совпадает с данными физического лица.
И я не говорю, что Вконтакте надо избегать закон. Как он [закон] написан, так его и исполняют. Будут четкие формулировки, требования, рекомендации — будет четкое исполнение и не менее четкое наказание. Для каких-то моделей бизнеса закон работает (телеком, банки), для каких-то (Вконтакте) неприменим. Из-за этого телеком и банки парятся, создавая отраслевые стандарты, а остальные не очень =).
«Закон что дышло...»
Итак моя позиция: Вконтакте не виновен.
Не вошли в реестр неправомерно, они обрабатывают ПДн сотрудников, контрагентов (физ.лиц) — значит операторы ПДн.
P.S. ПДн — сокращение как-то прижилось, зато оно уникально.
Смотрю анкеты пользователей и вижу, что на основании введенной информации достоверно (на 100%) определить физическое лицо не могу. Вся информация возможно совпадает с данными физического лица.
И я не говорю, что Вконтакте надо избегать закон. Как он [закон] написан, так его и исполняют. Будут четкие формулировки, требования, рекомендации — будет четкое исполнение и не менее четкое наказание. Для каких-то моделей бизнеса закон работает (телеком, банки), для каких-то (Вконтакте) неприменим. Из-за этого телеком и банки парятся, создавая отраслевые стандарты, а остальные не очень =).
«Закон что дышло...»
Итак моя позиция: Вконтакте не виновен.
Не вошли в реестр неправомерно, они обрабатывают ПДн сотрудников, контрагентов (физ.лиц) — значит операторы ПДн.
P.S. ПДн — сокращение как-то прижилось, зато оно уникально.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
…
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
Как видно, для ПДн (прижилось, тогда и я буду использовать :) )работников и контрагентов (если не требует большего, чем нужно для исполнения договора) Закон делает исключение в требовании обязательной регистрации (уведомлении).
И, кстати, в ч. 5 косвенно указывает, что только ФИО также является ПДн, хотя их оператор и не должен регистрироваться.
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
…
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
Как видно, для ПДн (прижилось, тогда и я буду использовать :) )работников и контрагентов (если не требует большего, чем нужно для исполнения договора) Закон делает исключение в требовании обязательной регистрации (уведомлении).
И, кстати, в ч. 5 косвенно указывает, что только ФИО также является ПДн, хотя их оператор и не должен регистрироваться.
Формально, ВК попросил ввести ФИО, адрес (город), школу-институт, фото и прочую личную инфу.
Он не просил дать просто чье-то фото или выдумать ФИО.
Именно это относит введенную пользователем информацию к ПД, т.к. пользователь должен выполнить предписания (инструкции) ВК.
Он не просил дать просто чье-то фото или выдумать ФИО.
Именно это относит введенную пользователем информацию к ПД, т.к. пользователь должен выполнить предписания (инструкции) ВК.
Я бы для начала их хорошенько выпорол за отсутствие возможности полного удаления пользовательских данных.
Фотографии не удаляются для минимизации фрагментации
кстати инфа с вконтакте полностью все равно не удаляется. по старым ссылкам можно смотреть фотки и видео (по прямым ссылкам на джепег и ан флв).
кстати фотки они с серверов не удаляют, проводил эксперимент, удалял фотки из альбомов, а адреса сохранил, через полгода зашел по адресам фотки на месте. так что если б у вас остались адреса…
Был я на одной из конференций Роскомнадзора, где выступал их представитель. Так вот при поступлении жалобы они обязаны начать официальную проверку. Так что вперед, пишем претензии на вконтактик Роскомнадзору и смотрим результат. Если будем массовое обращение, думаю меры будут приняты.
З.Ы.
И да, вконтакте действительно очень многое себе подпортили тем, что по прямым ссылкам можно получить доступ практически к любой информации. А самое главное, изменение фамилии недоступно для обычных пользователей. Получается Ваши данные собирают, Вы их добровольно оставляете, и удалить Вы их никогда не сможете (а ситуации в жизни бывают разные).
З.Ы.
И да, вконтакте действительно очень многое себе подпортили тем, что по прямым ссылкам можно получить доступ практически к любой информации. А самое главное, изменение фамилии недоступно для обычных пользователей. Получается Ваши данные собирают, Вы их добровольно оставляете, и удалить Вы их никогда не сможете (а ситуации в жизни бывают разные).
Это, конечно, все познавательно. Однако у меня остался извечный вопрос: «Что делать?»
там вообще ничего нельзя удалить. взять хоты бы фотки. вроде как удаляешь, их никто не видит, но по прямым ссылкам все равно до них добраться можно… насобирали они себе базу…
Я не понял вот чего. Почему Вконтакте должен себя вносить в какие-то реестры? Если его зарегистрировали, выдали лицензию на что-то, то он в этот момент и должен был быть внесён в реестр регистратором или выдавателем лицензии. Это же логичный и единственно верный путь.
Лицензий на обработку ПД у нас, вроде как, нет. Но в некоторых случаях (вернее во всех, кроме исключений, но исключения довольно обширны) оператор собравшийся обрабатывать ПД должен уведомить об этом соответствующие органы. Хотя, имхо, вконтакте с текущими правилами и функционалом под эти случаи не попадает (вернее попадает под исключения)
Друзья, сам с толкнулся с тем, что не то, что акаунт, я даже номер телефона оттуда удалить не могу. В связи с этим прошу того, кто может составить грамотно заявление, чтобы их проверили на возможность полностью удалять личные данные. А мы отправим/подпишемся и сделаем всё что будет нужно в поддержку.
Sign up to leave a comment.
Вконтакте и Федеральный Закон 152