Comments 59
Персональные данные – это совокупность сведений о человеке. Поэтому просто имя — Марина, например — единицей персональных данных не считается. Его недостаточно, чтобы идентифицировать конкретную Марину среди других Марин и не Марин тоже.
Технически, даже полного ФИО, даты рождения и адреса проживания недостаточно - у Марины может быть сестра-близняшка. Только уникальные нерасшаренные номера (почта и номер телефона тоже могут быть общими).
Сестра-близняшка с таким же именем?
Ну, конечно - мы же теоретизируем. Теоретически этот набор данных может привести "не к тому" человеку? Может. Значит под определение ПД из закона ("любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу") оно технически не подходит.
Я понимаю, что законотворцы не про чёткие определения, но пусть тогда хотя бы проведут грань - сколько человек должно попасть в выборку? Указание конкретного подъезда дома, в котором живут 10 Марин - это ПД? А просто дома, в котором - 25?
Как в анекдоте, "теоретически мы миллионеры ...?"
Думаю, что если информация приводит к конкретному заявителю, то будет уже не важно, есть ли у нее сестра близняшка или нет.
Важно не то, как вы себе объясняете этот закон, а то как им пользуется РКН и ФАС. Их логика и изложена
На вашей онлайн-площадке есть простая форма обратной связи?
То есть если я в эту простую форму обратной связи введу "Магазин, убей сибя апстену","Злой Покупатель","+7-495-123-4567", то это мои персданные и их нужно защищать? Ну ОК.
(Тут вопрос не в том, что "не надо защищать", а что не надо просить того, чего не надо. Зачем, например, магазину в "простой форме обратной связи" знать имя?)
(Тут вопрос не в том, что "не надо защищать", а что не надо просить того, чего не надо. Зачем, например, магазину в "простой форме обратной связи" знать имя?)
Тут начинают всплывать всякие законы по работе с обращениями граждан, которые исключают анонимное обращение.
Так то ж для органов власти. С каких пор магазин стал органом власти?
59-ФЗ — это про органы власти, согласен. А кроме него есть еще куча всяких пунктов в законах. Например, вернуть деньги за некачественный товар анониму нельзя.
вернуть деньги за некачественный товар анониму нельзя
Неправда ваша, дяденька Биденко: деньги за некачественный товар анониму великолепно возвращаются — если он докажет, что он этот товар а) действительно купил, б) в Вашем магазине, путём предъвления а) собственно некачественного товара (в тяжёлых случаях — остатков устройства, упаковки продукта), и б) кассового чека.
Для возврата денег нужно заполнять расходный кассовый ордер, и бухгалтерия потребует Ф.И.О. и номер паспорта. :-(
Это если возвращается налом. А если на карту - то не надо (возвращал пару раз товар в ДНС, паспортные данные не требовали, просто переводили на карту)
На карту — да, потому что банк получателя знает.
Возможны ньюансы:
банк мог идентифицировать не полностью (для карт с лимитом 15к там по сути номер телефона достаточно, не факт что росийского, анонимную eSIM (не российскую) получить вполне можно (в смысле это официальная функция у оператора)).
банк может быть не Российский (сейчас это маловероятно но раньше - да, возможно и в будущем будет).
Это что, если Вы возвращаете кусок тухлой колбасы, за которую вы выложили четвертную купюру, Вас тоже просят паспорт предъявить??? «Дикари, плакать хочется!» ©
Сам возврат паспорта не требует. Паспорт нужен для выдачи денег. См. приказы по оформлению первички и по кассовым операциям.
Когда я отдавал деньги магазину, шой-то моим паспортом никто не интересовался.
Есть такое. Исторически сложилось. В СССР нужно было контролировать отток денег — чтобы не расхищали социалистическую собственность. Потому и появиласть форма расходника с Ф.И.О. и паспортными данными. Потом начали давить на уже частный бизнес со стороны налоговой, которая в каждом расходовании денег видела схему уклонения от налога на прибыль, поэтому получателей денег велено было идентифицировать (а прием оставить анонимным, потому что это прием). А затем горе-бизнесмены решили, что чем больше персональных данных, тем лучше — и сами стали требовать Ф.И.О. при каждом чихе.
бухгалтерия потребует Ф.И.О. и номер паспорта
Незаконно потребует, о том и речь. И задолго до нынешнего ФЗ можно было возмущенным тоном спросить на каком основании они требуют паспорт (хотят получить ПД) (честно Ф.И.О. назвать - не проблема для меня, возмущение именно о паспорте). Распоряжение директора магазина таким основанием не могло быть. В подобной ситуации продавцы удивлённо переглянулись, но, не найдя убедительного ответа, оформили возврат без паспорта.
Это в целом работающий метод в случае явно незаконных требований - спрашивать обоснование.
Если это наличные, то задолго до нынешнего ФЗ можно было ответить на этот возмущенный тон, что порядок ведения кассовых операций установлен не директором магазина а Банком России. После этого покупатели, удивленно переглядываясь, заполняют заявление с паспортными данными.
После этого покупатели, удивленно переглядываясь, заполняют заявление с паспортными данными.
Слабаки эти ваши покупатели. «Мои персданные? Over my dead body. Назовите документ, страницу, параграф, где такое написано!» Если называют — требуете показать. «То есть как это — „у вас нету“: вы ведёте бизнес и сами не знаете, как правильно???»
Ещё люблю всякие анкеты, где требуют «номер телефона». Пишу от балды, на все претензии заявляю «а тут не написано, что это должен быть „МОЙ номер телефона“!»
с тех что если организация осуществляет публично значимые ф-ции (п.4 ст.1 59 ФЗ) то она обязана его соблюдать. Четких критериев публично-значимости нет, т.е. все зависит от суда, гуглится много дел где одних признают публично значимыми, а других нет
законы по работе с обращениями граждан, которые исключают анонимное обращение.
я всегда считал, что принятие решения "брать в работу анонимное обращение или игнорировать" - на усмотрение должностного лица, т.к. прямого запрета работать по онанимным обращениям нет.
TL;DR
штрафы за неправильную обработку персональных данных теперь могут ударить по кошельку не только начинающего, но и крупного предпринимателя
Например, с «Яндекс.Еды» взыскали 5 000 рублей в пользу клиента в качестве компенсации морального вреда.
Вы путаете административный штраф с возмещением морального вреда в гражданско-правовом порядке. Хотя Ваш пафос понимаю и разделяю.
Я всего лишь комментирую текст. Прочитайте сами этот фрагмент:
Но есть и немало других случаев, когда из-за работы с ПД компанию могут оштрафовать.
Например, с «Яндекс.Еды» взыскали 5 000 рублей в пользу клиента
Тут вообще в целом автор пугает огромными штрафами, уверенно пишет, что ФАС точно придёт к каждому, у кого есть форма обратной связи, при этом из реальных примеров за весь огромный текст только эти 5000 рублей. Зато на эмоции не поскупились.
Mea culpa! Автор и впрямь избыточно оптимистичен, что объяснимо: лучший клиент - пуганый клиент. С другой стороны, под лежачий камень вода не течет: представьте что за ту утечку на Я.Е подал бы хотя бы каждый сотый потерпевший. 5к (+ судебные) х N получаем мама не горюй.
Так это ж адвокатская контора какая-то. Не обманешь напугаешь клиента — не продашь (свои услуги, всего $100500 без СМС и регистрации).
А НЕ собирать направо-налево данные не пробовали? Бороться с причиной, а не следствием.
80% всех данных вообще можно не собирать. Плюс ввести ответственность за не_удаление их.
Заказал человек посылку\еду\билет - через неделю-месяц стереть нафиг эти данные.
Зачем их хранить?
Зачем их хранить?
С этим вопросом — к г-же Яровой.
ПДн по билетам на межгород коллекционирует Минтранс. возможно делится с МВД, КГБ и черт знает еще с кем. транспортники обязаны ПДн в Минтранс сливать, а потом могут у себя удалять, уже ни на что не влияет.
по сайтам план такой:
2.1. убираем "форму для обратной связи".
2.2. вместо нее ставим контакты: e-mail в виде mailto, whatsapp, telegram. кому надо тот пусть пишет письма и сообщения. кому не надо пусть проходит мимо.
2.3. убираем форму согласия на сбор ПДн.
2.4. на этом все, подводных камней я не вижу, затраты около нуля.
whatsapp, telegram
Предлагаете енти Ваши ПДн напрямую иноагентам сливать? /s
уже слили.
запретите wa/tg в РФ на этом основании и посмотрим что будет. мне даже интересно.
Уже слили
Простите, не могли бы Вы развернуть вот эту вот мысль поподробнее? А то тут есть варианты.
Глава Ростелекома об этом заявил публично:
https://www.vedomosti.ru/technology/news/2024/11/19/1075948-glava-rostelekoma
А он, такая няшка, не причем, как и сбер и куча других контор, которые собирали, на всякий случай, всё что под руку придется. Вдруг понадобится.
Для их бигдата или LLM или ещё какой-либо фигни. Профсоюзы и прочие приземлённые организации уже лет 5 уничтожают старые данные в начале нового или в конце старого года, а эти бедняжки не могут определиться наТБм зачем им наши избыточные данные, большую часть которых они собирают не спрося у нас разрешения и откуда только не тянут.
Как и куча банков с 0выми счетами с 0 процентов и 0 оплаты, чтобы ваши данные формально они могли сохранить и дальше и открывают их когда закрываешь все сношения с данными говноконторами по продажам воздуха, дорого.
Ммм, старые добрые кликбейтные заголовки
А если человек просто регистрируется на сайте? Ник для форума и email в качестве логина. Поля для имени и фамилии есть, но необязательные (при заходе через соцсети они, правда, заполняются автоматом) — это уже персональные данные? Когда обязательные только никнейм и email?
А тут сами надзоры не могут решить, является это П.Д. или нет.
Общедоступные ПДн, 4 класс. То что пользователь формально сообщил всему миру, не защищается и низкий уровень ущерба. 1119 пп и 21 приказ ФСТЭК
Так во всех соцсетях регистрируешься под своим реальным именем (по крайней мере этого они требуют), что формально соответствует вашему (точнее ФСТЭК) определению об общедоступности и сообщении о себе всему миру. Но ведь это не означает, что после этого ваши данные перестали требовать защиты?
Не факт, что это вообще П.Д. E-mail не идентифицирует человека, он может быть корпоративным на несколько сотрудников. Равно как и ник на каком-нибудь форуме.
А если "корабль" назвать иначе?
"Номер телефона" + "форма обращения" + "дата, в которую вы хотите получать дополнительную скидку" - это является персональными данными?
Пример: "+7 999 000 11 22", "Мальчик Вова", "01-01-2024"
А никого не смущает, что ПДн содержатся в поле "Субъект|Subject" сертификата? Я имею ввиду ГОСТовые сертификаты, которые нужны для юридически-значимого электронного документооборота.
Открытая часть доступна всем участникам обмена и содержит:
ФИО, СНИЛС, ИНН, адрес регистрации...
Обработка ПДн производится автоматически, где работает криптография, но никто никаких согласий у субъекта не берёт
Это, скорее всего, подведут под общедоступные в силу закона данные. Например, директор любой организации указан в выписке по юрлицу. Не хочешь разглашения — не становись директоров.
Я говорю не про директора организации (не про ЭП, которые выдает УЦ ФНС).
Тут речь про ЭП физических лиц (оставим за рамками вопрос зачем обычному физику ЭП - государство всё больше создаёт трудностей, чтобы без ЭП не обойтись).
Получается, что ПДн физика содержится в сертификате. Расхождение между требованиями 63-ФЗ "Об ЭП" (вернее Приказа ФСБ №795) и 152-ФЗ "О ПДн", хотя у нас везде сплошь и рядом расхождения в подзаконных актах, разрабатываемых разными ведомствами.
Более другой вопрос :)
Заказываешь товар на озоне, оплачиваешь картой озону(в выписке - озон). Через некоторое время прилетает смс с именем от TANAIS что мной было что-то что-то на AliExpress и иди грузи на tanais.express паспортные данные, ИНН и скан паспорта не забудь.
При заказе - ничего такого не было указано.
Типа избранных закон не касается? Для начала - а где согласие в явном виде на передачу данных этому Танаис и на каком основании озон будет говорить что не сможет доставить если данные не выдать?
(я знаю чем занимается Танаис, данные мои у них у же есть но выглядит это именно именно что для кого надо - законы не писаны)
Потому что на самом деле это перепродаван, который получает заказ через «Озон», тут же покупает на «Али» и указывает доставку на Ваш адрес. А то, что едет с «Али», проходит таможню. Товар, отправленый почтой, проходит таможню без лишних телодвижений, то, что едет другим способом, при попадании на таможню требует документов получателя.
РКН и ФАС выпишут штрафы, если не найдет двух важных согласий на вашем сайте! Вот инструкция, как их составить