Comments 25
Я не понимаю почему закон о защите персональных данных прямо не запрещает передачу этих самых данных третим лицам? Есть например Яндекс-драйв, который собирает твои данных для своих нужд, но в соглашении указано
Яндекс также может передавать Персональную информацию третьим лицам, не входящим в Группу Яндекса, для достижения целей, указанных в разделе 5 настоящей политики
То есть ты подписываешься на то, что твои данные фактически могут оказаться абсолютно у кого угодно. И как этот закон защищает мои данные если одной строкой в соглашении их можно распространить среди неопределенного круга лиц?
Ну вот попали вы в ДТП на Яндекс.драйве. Даже не по вашей вине. Яндекс скорее всего должен будет передать в страховую информацию, кто был за рулём. Не дав такое соглашение, передача данных сильно осложнится.
Проблема не в том, что "может", а в том, что:
1) не определяет четко кому и зачем
2) не дает вам варианта "нет, не хочу"
В этом плане GDPR - шаг в правильном направлении: там сборщик данных (Data Controller) обязан делать и то и другое.
Безусловным лидером нашего рейтинга оказался сервис записи в поликлиники ЕМИАС, который вообще не хранит никаких персональных данных, не требует регистрации и не собирает аналитических сведений.
Вы правы, У ЕМИАС присутствует яндекс аналитика на сайте и мы учли ее в категории "агрессивные cookie" (4 шт). Это один из самых низких показателей, причем самый низкий у Росреестра и Wildberries (по 2 шт.), а самый высокий у яндекс маркета (16 шт.)
Нужно учитывать, что cookie собирают абсолютно все сайты как минимум, чтобы хранить ключ сессии и версию устройства (напр., для отображения мобильной верстки). Но есть т.н. безопасные cookie (типа версии браузера), а есть более агрессивные (типа. Canvas, Audio и пр., которые фиксируют индивидуальные особенности вашего устройства при отображении графики или звука).
Почитать об этом подробнее можно в оригинальной статье The Elephant in the Background: A Quantitative Approach to Empower Users Against Web Browser Fingerprinting, а для непосредственного подсчета числа агрессивных cookie на сайтах мы использовали утилиту fingerprinting-monitor.
Согласитесь, что это не равнозначно "не собирает аналитических сведений". И важен вопрос, кто собирает куки, аналитику и далее по тексту: тот же хост, другой хост но того же администратора, или третья сторона. Так-то зайдя на сайт ЕМИАС мы неизбежно оставляем некоторый объем данных о себе и без всяких кук.
Кстати, я бы посоветовал указывать хосты, про которые пишете, т.к. у того же ЕМИАС (было?) несколько сайтов.
Согласен, не равнозначно. Поэтому мы рассматривали это как 2 отдельных критерия - наличие/отсутствие запрета на сбор аналитических сведений в соглашении и фактическое наличие аналитики на сайте. Сопоставить эти два критерия читатели могут самостоятельно.
Про хосты замечание приняли, мы изучали https://emias.info/
технологию заранее проставленных галочек
Прекрасная формулировка. С юмором ребята.
Не могли бы вы добавить в будущих исследованиях параметр "Запрет обработки и удаление персональных данных". Насколько трудно после того, как услуга оказана ограничить компанию в работе с твоими персональными данными? Например: есть кнопка на сайте - нажал и все удалили, письмом по эл. почте, письмом по обычной почте, только личным визитом и "все равно будем обрабатывать мы же банк".
Непонятно как действовать с рекламой, которая приходит вместе с важным сообщением, например, с данными по заказу или чеком об оплате. Вроде согласия не давал, а иди отбейся от этих "подарков от наших партнеров".
С Озоном, по моему опыту ситуация плохая: в приложении можно даже не вводить почту, но при этом они будут слать рассылки и рекламу по адресу эл. почты указанному в момент оплаты для отправки чека. Отписываться от такой рассылки придется каждый раз после очередной покупки.
А вот с чеком явное не целевое использование, пиши в ркн
Мы изначально включили раздел "порядок отзыва согласия на обработку персональных данных" в сравнение, но выяснилось, что там у всех все одинаково плохо. Почти ни у кого нет отдельного отзыва на рекламу, т.е. если вы отзываете согласие, то вместе с этим вы расторгаете договор. Чаще всего вы можете отключить рекламу внутри приложения или на сайте, но это не отменяет ваше формальное согласие на обработку ПД для каких-либо других целей.
Да, мысль понятна. У большинства написано, что можно отозвать согласие, у единиц указано, что можно отозвать его путем отправки письма на почту. Нет смысла это анализировать, кроме как в категории "катастрофа и ужас".
Кстати, в этом плане мне очень нравится инициатива Apple в том, что во всех приложениях должна появиться возможность удаления учетной записи. Посмотрим, как этот момент будут реализовывать все перечисленные вами компании.
У вас есть некоторые неточности по поводу банков.
Вот например прямо сейчас у меня работает приложение тинькова вообще без выданных разрешений. Откуда у вас 8 обязательных?
ВТБ требует только доступ к звонкам.
Вы запускаете под Андроид или iOS? Мы опирались на официальную страницу приложений в Google Play, считали разрешения без отметки "Необязательно", см. скрин ниже - "Действия в приложениях", "История поиска в приложении", а также "Журнал сбоев", "Данные диагностики" и "Другие данные о производительности приложения" и др. идут без отметки "Необязательно" как например под пунктами "Установленные приложения" и "Другие действия".
Скрин перечня разрешений в Google Play
Мне нравится, как сделано у Ситилинка - "мы не запоминаем номер вашей карты"))
Про авито и отсутствие биометрического сбора — ложь же. Они сейчас активно верифицируют аккаунты посредством сбора фотографий с паспортом, например
При выставлении оценок по этому пункту мы опирались исключительно на положение соглашения, а у них написано "п. 3. Мы не обрабатываем биометрические персональные данные и специальные категории персональных данных.". Проверить соответствие соглашения фактическому положению дел читатели могут самостоятельно (и при желании написать обращение в тех. поддержку).
Автор не преследует целей рекламы или анти-рекламы
В статье явно чего-то не хватает
Здравствуйте! В приведенном вами примере речь идет о сборе информации из открытых источников. Авито надежно защищает данные пользователей, в частности, недавно мы распространили сервис защиты номера на всех частных продавцов, что делает бессмысленной работу парсинговых программ.
Персональные данные — рейтинг чистоплотности крупнейших сервисов Рунета