Comments 31
UFO just landed and posted this here
Просветите меня. Появились в продаже персональные данные клиентов сбербанка, Альфа банка и ВТБ. Я не слышал новостей, чтобы Роскомнадзор оштрафовал по крупному или применил какие либо другие наказания. Получается, что профукали чьи-то данные, извинились и всё.
Не профукали, а продали. А после этого тихо изменили договор (за которым мы должны сами следить на оф. сайте в 100500ом разделе по ссылке снизу 5pt), якобы мы сами дали согласие.
стандартные отговорки: мы ничего не делали, оно само… а реально доказать вину структуры сложно, до принятия закона данные лучше хранили чем сейчас, как будто принятие закона облегчило избежание наказания
Это же не так важно, как система быстрых платежей.
А меж тем Гос.Дума приняла в третьем чтении закон об увеличении штрафов, обещают до 30 тыс.руб для физиков и до 6 млн.руб для юр.лиц.
А меж тем Гос.Дума приняла в третьем чтении закон об увеличении штрафов, обещают до 30 тыс.руб для физиков и до 6 млн.руб для юр.лиц.
Сменилась компания, доставляющая товары интернет-магазина? — Согласия, полученного при регистрации клиента на сайте, уже недостаточно.
Вот не надо наводить тень на плетень…
Ст. 6.1.5 вкупе с 9.3 из 152-ФЗ однозначно трактуются как отсутствие необходимости получения согласия на обработку ПД при покупке в интернет-магазине, если магазин использует эти ПД ИСКЛЮЧИТЕЛЬНО в целях исполнения заказа.
А вот если магазин собирается впоследствии срать покупателю всякой хренью, тогда да, он должен озаботиться получением согласия. И вот тут то они начинают вписывать, что ПД можно использовать для всего…
Совершенно верно. При условии, что магазин организует доставку своими силами.
Если же к этому действию привлекается сторонний подрядчик, по договору с которым клиент не является выгодоприобретателем, данная норма неприменима.
Если магазин собирается слать что-то в дальнейшем, нужно отдельное согласие на рассылку. Оно кстати не может быть обязательным — нельзя привязывать к данной галочке возможность получения основной услуги, иначе ФАС ругаться будет.
Если же к этому действию привлекается сторонний подрядчик, по договору с которым клиент не является выгодоприобретателем, данная норма неприменима.
Если магазин собирается слать что-то в дальнейшем, нужно отдельное согласие на рассылку. Оно кстати не может быть обязательным — нельзя привязывать к данной галочке возможность получения основной услуги, иначе ФАС ругаться будет.
Если магазин собирается слать что-то в дальнейшем, нужно отдельное согласие на рассылку. Оно кстати не может быть обязательным — нельзя привязывать к данной галочке возможность получения основной услуги, иначе ФАС ругаться будет.Кому-нить удавалось реально, при заключении в банке договора на обслуживание (открытие счета, получение карты), «удалить» из договора об обработке ПД строчки про передачу ПД третьим лицам?
Если же к этому действию привлекается сторонний подрядчик, по договору с которым клиент не является выгодоприобретателем, данная норма неприменима.
Обработка ПД третьей стороной все равно законна без дополнительных танцев с бубном, если действия этой третьей стороны необходимы исключительно для исполнения изначального договора между магазином и покупателем.
Т.к. без доставки договор не может быть исполнен, то обработка ПД курьерской службой необходима для исполнения именно договора магазина с покупателем.
Пункт 5 части 1 статьи 6 152-ФЗ допускает обработку ПД без согласия, если обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект. Субъект обычно заключает договор только с магазином и вообще не информируется о том, что доставку осуществляет третье лицо.
Признает ли Роскомнадзор субъекта выгодоприобретателем в данной ситуации? Только если найдёт более интересное нарушение.
Признает ли Роскомнадзор субъекта выгодоприобретателем в данной ситуации? Только если найдёт более интересное нарушение.
Рекомендую перечитать и возможно переосмыслить определения в законе.
Субъект ПД заключил договор с магазином. Для исполнения этого договора НЕОБХОДИМО, чтобы магазин передал ПД курьерке (передача есть разрешенная обработка). Курьерка законно обрабатывает, т.к. она получила эти данные на законном основании и обработка курьеркой необходима для исполнения договора между изначальным магазином и покупателем.
Если бы подобная передача в случаях договоров была бы незаконной, тогда бы стала незаконной куча различных бизнесов агрегаторов и агентских услуг. Во многих случаях бизнес на момент заключения договора просто не знает, кому он должен быдет передать ПД покупателя для исполнения этого договора.
Субъект ПД заключил договор с магазином. Для исполнения этого договора НЕОБХОДИМО, чтобы магазин передал ПД курьерке (передача есть разрешенная обработка). Курьерка законно обрабатывает, т.к. она получила эти данные на законном основании и обработка курьеркой необходима для исполнения договора между изначальным магазином и покупателем.
Если бы подобная передача в случаях договоров была бы незаконной, тогда бы стала незаконной куча различных бизнесов агрегаторов и агентских услуг. Во многих случаях бизнес на момент заключения договора просто не знает, кому он должен быдет передать ПД покупателя для исполнения этого договора.
Любые сомнения в данном случае трактуются не в пользу бизнеса.
На мой взгляд, здесь отсутствет критерий необходимости для исполнения договора — например, магазин может организовать доставку своими силами.
Курьерка обрабатывает законно — тоже вопрос. Согласно 152-ФЗ согласие должно содержать наименование юр.лица. Согласие с нарушением для РКН = отсутствие согласия.
Нашла ещё такое по теме:
Согласие может понадобиться, например, если вы планируете передачу данных третьим лицам, не являющимся стороной по договору с потребителем. Исключение — передача персональных данных в рамках реализации вами своего права на уступку прав (требований) по такому договору (п. 7 ч. 1 ст. 6 Закона о персональных данных, Определение Конституционного Суда РФ от 28.01.2016 N 100-О).
Стоит ли рисковать и не усложнять бизнес процесс — каждый выбирает для себя.
На мой взгляд, здесь отсутствет критерий необходимости для исполнения договора — например, магазин может организовать доставку своими силами.
Курьерка обрабатывает законно — тоже вопрос. Согласно 152-ФЗ согласие должно содержать наименование юр.лица. Согласие с нарушением для РКН = отсутствие согласия.
Нашла ещё такое по теме:
Согласие может понадобиться, например, если вы планируете передачу данных третьим лицам, не являющимся стороной по договору с потребителем. Исключение — передача персональных данных в рамках реализации вами своего права на уступку прав (требований) по такому договору (п. 7 ч. 1 ст. 6 Закона о персональных данных, Определение Конституционного Суда РФ от 28.01.2016 N 100-О).
Стоит ли рисковать и не усложнять бизнес процесс — каждый выбирает для себя.
Как бы я не любил внешнее регулирование в IT, но я постепенно склоняюсь к тому, что без жесткого регулирования и суровых наказаний (возможно, вплоть до штрафов рядовым программистам-исполнителям) не получится обеспечить адекватную безопасность данных. Компании стараются набрать побольше всего, до чего можно дотянуться, вдруг можно использовать в маркетинге (спам-рассылках, звонках), плюс можно скрыто или публично продать партнёрам. Доходит до того, что телемедицинские сервисы и юридические конторы просто игнорируют все письма о том, что у них данные текут наружу. Они прекрасно понимают, что исправлять проблемы будет стоить 10n, штрафы и риски — 1n, а иногда можно свалить на хакерскую атаку, чтобы попытаться избежать штрафа.
Если только не обрабатывают данные европейских граждан. Хотя в ряде вопросов мы уже переплюнули пресловутый GDPR. А штрафы нам поднимут, ждать осталось недолго. За этим у нас дело, как обычно, не станет.
Лично я был бы рад, если бы штрафы стали более понятными и более неотвратимыми. Иначе получается, что можно фигачить стартап, делать все максимально небезопасно, но выиграть, а оштрафуют конкурента, который регулярно занимался безопасностью и аудитами, но попался один раз.
Хотя это будет крайне серьезный инструмент шантажа: "Привет, я нашел уязвимость у вас, пользователи могут пострадать. Я могу пойти к вам, если у вас есть Bug Bounty с адекватными выплатами, либо к регуляторам. Примерный штраф — 50000 евро".
Как бы я не любил внешнее регулирование в IT, но я постепенно склоняюсь к тому, что без жесткого регулирования и суровых наказаний
Реальный выход, таки чисто мое мнение, — это создание сервиса, например, при госуслугах, чтобы можно было зайти и проверить какие конторы имеют в данное время разрешение на обработку моих ПД и тут же, в два щелчка мыши, отозвать это разрешение.
Естественно что все обработчики ПД должны выгружать на госуслуги свои «реестры ПД» и при наличии факта несанкционированной обработки ПД получать ата-та по попе.
Да, я нечто аналогичное высказывал.
Что бы запрашивалось разрешение на ПД и виды обработок в неком ресурсе.
Но, есть одно «но». Это будет работать только для тех, кто к системе подключен.
Для тех, кто работает в черную — не будет работать.
Что бы запрашивалось разрешение на ПД и виды обработок в неком ресурсе.
Но, есть одно «но». Это будет работать только для тех, кто к системе подключен.
Для тех, кто работает в черную — не будет работать.
Для тех, кто работает в черную — не будет работать.При наличии единого реестра будет работать как часы.
Приходит спам (звонок) от конторы «без согласия» — сразу сообщаем в роснепотребнадзор.
После этого на контору приходят штрафы или ОМОН.
Срабатывает не строгость наказания, а неотвратимость.
Кто сказал, что это контора?
Просто физ лицо, которое ошиблось, как те же мошенники, которые использую сберовскую базу.
Я напомню, что ваша идея мне очень нравится, однако до неё далеко. Нужно все конторы туда вписать, как и всё население, а это уже не очень хорошо, потому что утечка у сбера это потенциальная потеря/смена карточки, а утечка у гос услуг — потеря жизни.
Просто физ лицо, которое ошиблось, как те же мошенники, которые использую сберовскую базу.
Я напомню, что ваша идея мне очень нравится, однако до неё далеко. Нужно все конторы туда вписать, как и всё население, а это уже не очень хорошо, потому что утечка у сбера это потенциальная потеря/смена карточки, а утечка у гос услуг — потеря жизни.
Кто сказал, что это контора?Я помню как одно время была популярна эта хохма типа случайно перепутал и не тому отправил, СМС с текстом вроде «Привет Вася (Коля, Оля причем имя любое, от фонаря ), сегодня в %name%-магазине распродажа, я понедорого купил себе %что-то%»
Просто физ лицо, которое ошиблось, как те же мошенники, которые использую сберовскую базу.
Но дело в том что физлицу (просто физлицу) не нужна реклама (разве что похвастаться размером своих органов). Если после ябеды обнаружится что с одного номера уходят десятки-сотни однотипных СМС, то сразу — «по всей строгости закона».
В результате такой «бизнес» станет нерентабельным.
Нужно все конторы туда вписать, как и всё население, а это уже не очень хорошо, потому что утечка у сбера это потенциальная потеря/смена карточки, а утечка у гос услуг — потеря жизни.Я Вас умоляю, в системе «госуслуг» и так уже есть вся информация о каждом гражданине страны и о всех «больших и малых» предприятиях. Вопрос только в том чтобы «прикрутить» к этой базе еще один сервис.
Образно выражаясь первый шаг уже давно сделан — «самобеглую коляску изобрели и начали пользоваться, теперь надо придумать ПДД».
При внедрении такой системы сразу возникнет 2 нюанса:
1) Как подтвердить, что звонок от конторы Х — если он идёт с мобильного номера, оформленного на безымянного гражданина ближнего зарубежья. Или на иное физической лицо, формально отношения к конторе Х не имеющее.
2) Если пункт 1 игнорировать, появляется поле для злоупотреблений. Почему бы не разослать сообщения с рандомного номера от имени своего конкурента.
1) Как подтвердить, что звонок от конторы Х — если он идёт с мобильного номера, оформленного на безымянного гражданина ближнего зарубежья. Или на иное физической лицо, формально отношения к конторе Х не имеющее.
2) Если пункт 1 игнорировать, появляется поле для злоупотреблений. Почему бы не разослать сообщения с рандомного номера от имени своего конкурента.
При внедрении такой системы сразу возникнет 2 нюанса:
1) Как подтвердить, что звонок от конторы Х — если он идёт с мобильного номера, оформленного на безымянного гражданина ближнего зарубежья. Или на иное физической лицо, формально отношения к конторе Х не имеющее.
1.По текущим правилам в стране не должно быть безымянных симок.
2.Если «граждан ближнего зарубежья» после продажи оформленных на себя СИМок «попадет в реестр» и потеряет право въезда, то я Вас уверяю такие продажи сразу прекратятся.
Вдобавок технически сложного ничего нет проследить путь, все СИМки
2) Если пункт 1 игнорировать, появляется поле для злоупотреблений. Почему бы не разослать сообщения с рандомного номера от имени своего конкурента.Согласен, но здесь ловить в первую очередь надо не заказчика, а исполнителя.
Если исполнитель лошара, то пойдет за паровоза.
А захочет отделаться малой кровью — сдаст заказчика.
PS Если, например, при госуслугах будет сервис типа «не беру трубку», то попутно вместе со спамерами «пострадают» и всякие подпольные «банковские» колл-центры.
Регулирование в сфере перс.данных — это правильно. Сейчас отделы маркетинга поголовно используют купленные клиентские базы в работе, для сейлза при уходе утянуть клиентскую базу — в порядке вещей. Мы только в начале пути, только стали подписывать соглашения с сотрудниками, только внедрили 152 фз, только-только начинаются блокировки сайтов, первые штрафы и только-только народ начинает понимать ответственность. Тут не перегнуть главное, как это у нас часто бывает с регулированием, когда за пустяковые вещи 5 лет можно получить :)
Тут не перегнуть главное, как это у нас часто бывает с регулированием, когда за пустяковые вещи 5 лет можно получить :)
В этом и проблема, регуляторы запрягают медленно, но едут очень больно: если игроки не хотят уголовку за уязвимости и закрытие фирм за рассылку 10 писем, то им стоит быть осторожными. Но тут возникает классическая проблема пастбищ, к сожалению.
Записная книжка в телефоне, обрабатывающая и хранящая ФИО, должность, телефон, дату рождения субъекта персональных данных без его согласия — информационная система оператора персональных данных?
Исторически — сложившиеся способы взаимодействия между людьми (субъектам ПД) и организациями и между собой строятся на обмене персональными данными. Ответственность надо вводить не за то, что кто-то нашёл серию и номер вашего паспорта, ваши номер телефона и ФИО, какой шампунь вы покупали в этом месяце, а за спам и мошенничество с использованием этих персональных данных.
Only those users with full accounts are able to leave comments. Log in, please.
Персональные данные в РФ: кто все мы? Куда мы идём?