Comments 233
> если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД и обязаны соблюдать требования закона.
Довольно сильное утверждение, хотелось бы увидеть обоснование. Номер телефона в отрыве от ФИО или номера паспорта, или иных идентифицирующих сведений ("+7-905-909-99-99 Миша К.") не является персональными данными, т.к. нет лица, которое он однозначно идентифицирует
Классическое определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных. Номер телефона определенно является персональными данными так как он позволяет уникально идентифицировать человека при наличии доступа к базе данных телефонных номеров.
При этом не так и важно есть у оператора доступ к этой базе данных или нет, важна сама возможность.
То же самое касается и IP адреса. Даже при динамических адресах, зная время и имея доступ к данным интернет провайдера теоретически можно идентифицировать человека.
То же самое касается и IP адреса. Даже при динамических адресах, зная время и имея доступ к данным интернет провайдера теоретически можно идентифицировать человека.
Вряд ли это будет идентификация человека. Максимум компьютер, который был в сети, а вот кто им пользовался останется неизвестным.
Я согласен, что это спорный момент и далеко не всегда компьютер == человек.
Тем не менее, к примеру, GDPR явно относит IP адреса к PII, формулировка в российском ФЗ-152 тоже позволяет отнести их к персональным данным
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Это весьма широкой определение под которое могут попасть много неожиданных данных, даже данные геолокации (местоположение человека в рабочее время и местоположение в ночное часто позволяет практически однозначно определить человека).
Это не я сам придумал - научили на тренингах по PII. И хотя они были ориентированны в основном на западное законодательство GDPR, CCPA, HIPPA и тп, они точно так же широко формулируют персональные данные и общая рекомендация подходить к этому осторожно - даже если явно не сказано, что что-то это PII, относиться к ним так, если есть хоть какой-то способ идентифицировать человека с их помощью. И они могут быть персональными данными не в одном законе, так в другом, не сегодня так завтра.
ip-адреса остаются в логах сервера, значит и без ФИО, всеравно оператор ПД?
Уведомление в Роскомнадзор
Вот с этого пункта и начнутся ваши приключения. Вне зависимости от того, что вы делаете, государство поступает по принципу "коготок увяз - всей птичке конец", у вас будут запрашивать дополнительную информацию, например серийные номер оборудования на котором вы обрабатываете ПД (вы же сами признали, что бы это не значило), оно, разумеется должно быть сертифицировано, и пошло поехало...
А зачем вообще уведомлять Роскомнадзор, если по их же определениям не возможно быть юр лицом и не обрабатывать ПД? Но зачем-то это нужно и если не уведомлять Роскомнадзор, то и спрашивать о сертифицированном оборудовании у вас не будет.
Выглядит так: У вас есть лишние деньги? Нет, ну ладно, пока гуляйте.
А если добавить отпечатки пальцев, показания родственников и т.п. ?
Если есть отпечатки пальцев, то для чего IP?
Чтобы найти клавиатуру, по которой стучали.
Если у Вас есть отпечатки, значит клавиатура уже у Вас. Зачем IP?
Сначала по IP и данным провайдера идентифицируем девайс, потом снимаем с него отпечатки для идентификации пользователя.
Так пользователя Вы будете идентифицировать по отпечаткам, а не по IP. Из чего следует что IP не является персональными данными. Если известно, что правонарушитель уехал на трамвае №4, это же не говорит о том, что номер маршрута трамвая это ПД конкретного человека.
это же не говорит о том, что номер маршрута трамвая это ПД конкретного человека.
Если, как сказано выше, "определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных " - то маршрут трамвая тоже ПД. Да, в действующем законодательстве определение другое.
по логике вашего диалога выглядит так, что по IP вычислили компьютер, а имея доступ к самому компьютеру уже опознали кто им пользовался. Тут вместо отпечатка можно взять логи системы\историю браузера и так далее.
Поэтому в таком сценарии выглядит так, что IP адрес выступил первичным идентификатором по которому был найден пользователь)
упд: но я все-равно не считаю, что он является персональными данными
По логике вещей, данные потому и называются персональными, что они указывают на конкретного человека. Например - паспорт или иной документ, имеющие индивидуальный признак, отпечатки пальцев, радужная оболочка. IP, как и адрес жительства не могут быть персональными данными, так как не имеют признаков индивидуальности, а могут одномоментно быть связанными с разными людьми. И придавать результатам следственных мероприятий признаки персональных данных не правильно.
логика все же иная. Например как можно считать адрес электронной почты персональными данными? Или сумму месячного дохода?
Но это все может являться персональными данными, если может быть использовано для идентификации. Полагаю, что с IP адресом может быть так же - если он используется в совокупности с чем-то, то может попасть в эту категорию
по IP вычислили компьютер, а имея доступ к самому компьютеру
уже опознали кто им пользовался.
Да, имено такой сценарий
Тут вместо отпечатка можно взять логи системы\историю браузера и так далее.
Конечно.
но я все-равно не считаю, что он является персональными данными
Законодательство с вами согласно, но автор коммента, которого началась дискуссия - нет.
Чтобы найти клавиатуру, по которой стучали.
Да, в нынешнее время появилась возможность стучать по электронной почте...
> Классическое определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных
Нет, в 152-ФЗ (раз мы в его контексте рассуждаем) дано другое определение, подменять его не следует.
А раз определение другое, то и рассуждения про IP тоже сомнительны
И тем не менее Верховный суд в 2020 посчитал IP адрес персональными данными https://www.law.ru/question/163895-otnositsya-li-ip-adres-k-personalnym-dannym
Ведь по вашей ссылке четко сказано, что:
Так, Тринадцатый арбитражный апелляционный суд не признал персональными данными IP-адрес в постановлении от 05.07.2017 № 13АП-5614/2017. Суд посчитал, что такая информация не соответствует принципу точности согласно части 6 статьи 5 Закона о персональных данных. В других регионах суды считают, что IP-адреса компьютеров пользователей — это персональные данные, которые обрабатывает владелец сайта
Любое использование материалов допускается только при наличии гиперссылки
Так что практика неоднозначна.
Постановление 225-АПУ19-4 в открытом доступе не нашел, но, судя по ссылкам на него, там вообще уголовное дело рассматривается.
Но я видел и другое дело, на которое часто ссылаются относительно ip и куков. Однако, там речь шла о совокупности данных, в число которых входили и куки и ip, и... чуть ли не паспортные данные.
при наличии доступа к базе данных телефонных номеров
То есть, если я сейчас за 5 минут напишу скрипт, который по шаблону +7 495 xxx xx xx генерирует все возможные сочетания цифр (от 000 00 00 до 999 99 99), то это будут персональные данные? Ведь среди них неизбежно окажутся действующие номера москвичей, а при наличии доступа к базе...
Ну вы так же можете нагенерить номера паспортов, имена и так далее.
Персональными данными они считаются только связаны с конкретным пользователем. Например, если вы требуете для регистрации на сайте номер телефона, то должны следовать законодательству о персональных данных.
Здесь важна точность формулировок. Если подразумевать совокупность данных, то вопросов нет - легко можно придумать ситуации, когда ip дополняет идентификацию конкретного физлица. Но сам по себе ip (в отрыве от прочих данных) идентифицирует только узел и в большинстве случаев - промежуточный узел. По ip нельзя даже определить, человек открывает страницу или бот.
Тут зависит от контекста.
Скажем комбинация "Иванов Иван Иванович получает 100 тыщ рублей" сама по себе не является ПД, потому что таких Иванов Ивановичей в стране - пруд пруди.
Но та же комбинация, вывешенная на стенде в организации, где такой Иван Иванович только один - уже позволяет идентифицировать конкретного человека, следовательно - является ПД.
То же самое с IP. Пока это просто GET-запрос с адреса 1.2.3.4 - это ещё не ПД. Но как только мы можем связать этот адрес с логином конкретного пользователя, который заполнил анкету у нас на сайте - IP становится частью ПД.
Необходимо доказать что этот IP выделен и зафиксирован для оборудования абонента - вот ТОГДА он его идентифицирует.
Если это IP шлюза с NAT, да еще один из десятков шлюзов - кого он идентифицирует?
Ну вот допустим IP-адрес статический.
Только...за роутером с NAT интернетом совсем не один человек пользуется. И куча всякой автоматики которая в том числе может в некоторых ограниченных ситуациях дернуть ресурс по внешнему запросу в том числе не особо авторизованному(ну там - превьшки сгенерить на сервере Matrix если кто-то ссылку в канал на который кто-то с этого сервера подписан прислать да и у Peertube и прочих Activitypub-систем федерация есть)
При этом подключено два провайдера и от обоих статика и куда пойдет запрос - а вообщем то куда роутер захочет (там еще и несколько VPN'ов есть)
И кого тогда это идентифицирует? :)
вот ТОГДА он его идентифицирует.
Только не абонента, а оборудование. Мало ли кто заходил с компа в квартире, если пароль на вход не выставлен.
Но та же комбинация, вывешенная на стенде в организации, где такой Иван Иванович только один — уже позволяет идентифицировать конкретного человека, следовательно — является ПД.
Riddle me this, Batman: являются ли ПД:
комбинация «Иванов Иван Иванович получает 300 млн рублей» (при условии, что реально он получает 100 тыщ»
комбинация «Иванов Иван Иванович НЕ получает 101 тыщ рублей»?
Вот в этом контексте вспоминается мне одна художественная серия на АТ.
Сделано как серия рассказов о своей жизни и определенных событиях от толпы народа, в основном попаданцы, тексты проходят редактору и потом цензуру местных спецслужб. Мир с одной стороны не наш а с другой стороны - доступ в наш интернет оттуда есть (как и серьезное наказание за попытку установить связь с близкими и "оригиналом"(попадает копия, ну или иногда копия улетает в наш мир)).
По куче персонажей прям полное ФИО и возраст (несовершеннолетние тоже есть), данные про сексуальной ориентации тоже есть.
Себя автор тоже вывел :).
Есть ли разглашение ПД ? :)
Дико извиняюсь, а можно ссылочку или название? Заинтересовало.
https://author.today/work/series/35991 + https://author.today/work/series/35656
это по сути один цикл.
Но - сразу предупреждения: там та еще жесть в плане общества (но многие персонажи считают что вообщем то с другой структурой общество будет ЕЩЕ хуже), некоторые нюансы автор похоже намеренно не прописал а понять можно двояко .
Ну если уж доводить до абсурда, то тогда можно утверждать, что почти каждый сайт занимается трансграничной передачей данных (а там штрафы уже исчисляются миллионами). Ведь почти каждый сайт использует гугл-шрифты, скрипты и прочее, загружаемое в браузер посетителя с серверов зарубежных компаний. А при загрузке эти сервера фиксируют ip посетителей сайта. На этом фоне (с миллионными штрафами) штрафы за форму выглядят копеечными. Но может быть, просто не надо доводить до абсурда?
Но может быть, просто не надо доводить до абсурда?
Это вы чиновникам из роскомнадзора скажите, которые в какой-то момент могут захотеть легких штрафов нарубить.
Смотрите, ипэшников и юрлиц у нас под десяток миллионов. Сайтов наверно еще значительно больше. Каждый штраф надо оформить, собрать хоть какие то доказательства, зафиксировать и пр. Сколько человек работает там? Сколько они осилят наложить штрафов? Чисто теоретически. Можно посчитать вероятность попадания под этот домоклов меч.
Хороший повод расширить штат!
И увеличить бюджет.
/сарказм только отчасти
Достаточно пары показательных штрафов. И нет гарантий, что среди этих случаев вы не окажетесь.
Посмотрите на фасады домов... А ведь до недавнего времени было запрещено без сложного согласования вешать кондиционеры, остеклять балконы...
Кстати, только в 2000-х годах (насколько помню) отменили советское требование регистрировать цветные принтеры, вести журнал доступа в помещение к принтеру и пр. Это кого-то беспокоило? А ведь и по этим случаям единичные процессы были.
Простите, а Домокл это кто?
Отец Домоклика
Домокл это кто?
Дамокл, которого изуродовали двоечники.
Не надо. Всё эти данные есть в информационных системах. Штраф нужно только эцп подписать и все. Налоговая за просрочку подачи любых документов именно так штрафуюет, автоматом. Если что не так, можете обжаловать, у них такой процесс.
А имя челловека — это персональные данные? Если я выйду на улицу в футболке со своим именем, должен ли каждый грамотный встречный идти платить штраф?
Просто телефон не является ПД. Вот вам номер - +79999999999 - идентифицируйте
Слава богу РКН не вкурсе про биомеханику.
А то - сайт получает события от мыши? Регистрируйся как ПДшник.
Скоро чтоб запустить сайт нужно будет собрать лицензий больше и дороже чем для открытия нефтяной вышки.
Форма реги есть? Делай кучу бумаги и решайся в сотне органов.
Чатик на сайте есть? Ооо. Красава, ставь сорм и регайся как ОРИ, и да, не забудь установить оборудование для сорм на 3+ миллиона.
Малый бизнес убили. Следующими на очереди сайтики на 3 человека. Додавим до визга.
Прошу прощения, а что значит малый бизнес убили, вроде просто дикое количество, во всяком случае в провинции, всяких сервисных центров, парикмахерских и прочих булочных
Например мелкие магазины повально закрываются. Т.к. не могут конкурировать с магнитами и пятерками.
По работающим смб рекомендую изучить сколько реально платится налогов а сколько идёт мимо кассы. Во многих малых бизнесах сейчас невозможно работать полностью в белую т.к. экономика будет отрицательной.
Пример патовой ситуации (цены исключительно с потолка, чтоб продемонстрировать принцип):
Бутылка воды со всеми налогами, включая белые отчисления продавцам ларька стоит 100 рублей. Т.е. продавая ее по 100 ларек работает в 0. Надо продавать хотя бы по 110.
А вот соседний ларек продает по 90. Что математически невозможно при всех отчислениях. Ответ простой (как один из вариантов ) там у продавца белая ЗП 15000. И у него экономика в итоге плюсовая с 90 рублями.
И как предложите работать?
Да, цены диктуют соседи работающие в чёрную. Но условия кто создал?
Или вот пример. У нас есть сайт (патоиотичный, никакой медузы). К нам пришло предписание зарегистрироваться как ОРИ. По закону да - мы обязаны регаться. Т.к. Есть признаки ОРИ.
Последствием этого - установка СОРМ.
ценник на комплекс сорма (только софт) начинается с 3 миллионов рублей. С железом - 5 миллионов. Это самый дешёвый! Дешевле просто не нашли.
Свой софт никак т.к. его нужно лицензировать в ФСБ.
И что прикажете делать когда это 8 месяцев оборотки?
Поясню уровень маразма: если у вас на сайте есть чат например, то даже если там 1 посетитель в год - вы обязаны поставить сорм.
Поясню уровень маразма: если у вас на сайте есть чат например, то даже если там 1 посетитель в год - вы обязаны поставить сорм.
Точно? А то у меня есть сайт автолюбителей с чатом. Вообще к бизнесу отношения не имеет. Мне беспокоиться и удалять его?
"Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет""
Организатор распространения информации в сети "Интернет" обязан хранить на территории Российской Федерации:
информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий;
Если есть обмен сообщениями на сайте то вопрос времени или желания конкретного человека кому то насолить
Это ещё не бред 😉
Там есть второй приказ. 700-какой-то который тоже про ОРИ.
и там определено что электронное сообщение это не только текст, но и запрос браузера. А по тому приказу ОРИ обязаны хранить ключи дешифрования. Т.е. SSL-ключи для всего трафика браузеров клиентов которые обращаются на сайт. А это прямо больно. Там ценник до 12 миллионов вырастает легко.
Беспокоиться или нет - каждый решает лично сам 😉
Тут вопрос : обратит ли внимание око закона на сайт, или кто-то кто хочет насолить.
Да, в законе критериев как у блоггеров - от 1000 человек нет. Критерии только по функционалу.
Да, сообщения - этот UGC. Т.е. комментарии, посты и т.д.
Продумайте с точки зрения органов (начинание то правильное, но как всегда у нас реализация через жопу при этом огромным дилдаком). На сайте в комментах или в посте кто-то разжигает нац. Рознь- органы хотели бы знать кого посадить. Или вот другой вариант - ищут преступника. Есть его сообщения и это всё что есть. Из сообщений они составили стиль письма. Следующая задача - по всем сайтам куда могут дотянуться найти тех, кто пишет в таком стиле комменты или посты, вдруг он где-то забыл впн включить. Отсюда и требования. В целом для народа хорошо. Если бы не дилдак.
В форме на сайте кто угодно может вбить чьи угодно данные, это еще не обработка и не сбор пд. а #тел. может уже сменить нескольких владельцев. Особенность в том что это уже в суде скорее всего только примут к сведению. И не забывайте что сайт это все таки ИСПДн, т.е. ответвление от 152фз
Согласен, я и не утверждал, что именно является обработкой и сбором персональных данных.
К примеру, тот же GDPR хоть и определяет IP адреса как персональные данные, но не требует согласия на это так как это считается "legitimate interest" в целях обеспечения безопасности.
Но надо помнить, что хранение адресов в логах не равно продаже IP адресов и ассоциированных с ним действий третьим лицам. Это явно не legitimate interest.
Номер телефона определенно является персональными данными так как он позволяет уникально идентифицировать человека при наличии доступа к базе данных телефонных номеров.
Ага, ага... "уникально идентифицировать человека"... Как минимум на этом глобусе существует чуть больше чем дофига оборудования использующего сотовую сеть для передачи данных. Какого "уникального человека" вы там идентифицируете?
Такая же хня с корп номерами которые используются группами сотрудников, т.е. не один номер в одни руки. Формально подобный номер закреплен за конкретным сотрудником, но вот "уникально идентифицировать" кто и в какое время пользовался этим номером, уже неполучится.
Дальше. Телефоны оформленные на умерших людей. ИМХО ещё не существует закона обязывающего морги незамедлительно сообщать всем ОПСОСов о смерти человека.
То же самое касается и IP адреса. Даже при динамических адресах, зная время и имея доступ к данным интернет провайдера теоретически можно идентифицировать человека.
Даже теоретически он этого сделать не может. Домашний интернет: Даже если человек живет один, к нему в гости может кто-то приехать и попользовать его инет. Корп. интернет: Ну вы поняли...
Дальше. Телефоны оформленные на умерших людей. ИМХО ещё не существует закона обязывающего морги незамедлительно сообщать всем ОПСОСов о смерти человека.
Номер оформлен на паспорт. Операторы периодически проверяют валидность паспортных данных через сервис МВД.
Операторы периодически проверяют валидность паспортных данных через сервис МВД.
Вот-вот, "периодически" и промежутки между этими периодами ну совсем не маленькие. Пример из жизни: Где-то лет через 7-8 стукнулись. Причем это явно не было связано с "периодической проверкой", их тогда вздрючили на тему "пересчитать всех по головам", в тот же год и ввели требование по корп. номерам о предоставлении информации за кем конкретно закреплен номер.
Второй пример, человека нет уже 2.5 года, пока нэтребуют.
ЗЫ Да и по первому случаю дополнение, явно считали не по людям, а по номерам. На человеке было два активных номера у его жены и у его мамы, но требования о предоставлении актуальной информации на эти номера прилетели с разницей где-то в полгода-год.
Проблема в том, что определение персональных данных и того, что с ними связано, трактуется государством так, как государству выгодно в конкретный момент.
Можно вспомнить случай с одним из сайтов Навального, где была форма обратной связи. Стандартная форма вида "Имя и что вы хотели нам написать". Прокуратура решила, что в форму человек может ввести свои персональные данные (например, паспортные - ведь технически может же), а значит, тут осуществляется их сбор и обработка.
Таким образом, если стоит цель вас закошмарить - вас закошмарят за простую форму из двух полей.
Все sim карты в РФ обязаны быть привязаны к паспортным данным. Так что должны идентифицировать.
Это все равно что броситься на пешеходном переходе под машину несущуюся со скоростью 100 км/ч, потому что ты как бы прав.
Вы просто получите штраф и всё.
Это ты будешь в суде выяснять когда пени за неоплаченный штраф(в) будут капать каждый день:)
Нет, здесь это однозначно идентифицирует пользователя сайта.
Можно ли не ставить галку, а просто написать, "Нажимая кнопку Оправить, вы соглашаетесь..."?
С нас требовали галку, как более явное согласие
скорее нет, чем да. Так как тут могут придраться, что одно действие подменяется другим. Согласие же должно иметь критерии того, что оно дано свободно, однозначно, своей волей и вот это всё. А тут по сути согласие хитро впихнуто в иной процесс отправки формы. А может я отправить то хочу, но соглашаться не хочу. И вот если бы была отдельная галка, я бы опомнился и не стал этого делать. А так я нажал Отправить и не понял, что еще и неявно выразил согласие.
Короче, РКН раскалупает легко такую конструкцию если захочет
Нет. Пользователь может сказать что не видел. Должно быть явное действие
если я делаю следующий сайт:
люди регистрируются и покупают на нём какие-то услуги
люди видят части сайта в зависимости от оплаченного
То мне придётся держать
email/телефон - потому что логин/авторизация
список оплаченных услуг
И вот как правильно что мне делать?
Скорее всего, вы будете запрашивать и имя, раз там услуги. Это однозначно требует регистрации, как оператора ПДн. Если память мне не изменяет, то почта с телефоном -- уже совокупность данных, так что туда же.
Мы делали MVP небольшого сервиса и чтобы не сталкиваться с 152-ФЗ оставили из всех данных пользователя строго email. Ни ника, ни имени, ни телефона.
Есть судебная практика. И ВС РФ подтвердил, что email и телефон сами по себе не являются персональным данными.
Определение Верховного Суда РФ от 21 июля 2023 г. № 305-ЭС23-12160
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие.
Так и вижу вместо уже ставшего классическим чекбоксом "Согласен" - поле для загрузки листа ознакомления подписанного КЭЦП. Ну или как минимум кнопку инициации запроса к криптопровайдеру или плагину для подтверждения действия с использованием СКЗИ. Кстати у MetaMask неплохо реализован запрос на подпись контракта криптокошельком, но как-то всё это не для бабушек, которые хотят подписаться на невинный гороскоп или узнать наличие валокордина в ближайшей аптеке.
Очень жаль, что при настолько прогрессирующей уже почти ПД-шизе, мы всё равно регулярно слышим о грандиозных сливах.. И отдельно хотелось возмутиться отсутствием прогрессивной шкалы исчисления размера штрафа. Всё-таки довольно сложно ставить в один ряд многомиллиардный ресурс и местечковый форум или сайт-визитку
Не на прогрессивные, а на оборотные, наверное вы хотели сказать - зависящие от оборота компании.
И отдельно хотелось возмутиться отсутствием прогрессивной шкалы исчисления размера штрафа. Всё-таки довольно сложно ставить в один ряд многомиллиардный ресурс и местечковый форум или сайт-визитку
Так уже... ввели прогрессивную шкалу за утечку, начиная с 1000 единиц утекших данных. Только там есть нюанс - минимальный порог штрафа, который огромен. И если для крупной компании оборотный штраф в несколько процентов не смертелен, то для мелочи этот минимальный порог во многих случаях означает мгновенное закрытие и вероятно банкротство. А 1000 аккаунтов - это например, мелкий интернет магазинчик или форум/блог небольшой.
Да! В том и суть, что ввести-то ввели, только снова малышей придушили.. Вы всё правильно пишете. И согласитесь, разный эффект, когда это 1000 банковских карт и кредитных договоров или 1000 корзин с мини-магазина бижутерии. И то и то - ПД, но как-бы... эх, даа
Или слитые 1000 email с формы обратной связи, причём 999 из них принадлежит рекламным ботам, но штраф придётся платить.
Так же, я не совсем понимаю, как они будут отслеживать, как именно были слиты данные? Что если вскрыли сам хостинг например и получили все данные с моего сайта. Выходит виновен всё-равно я? Так же, как они определяют слитые данные?
Вот банально, конкурент может нагенерировать 1000 аккаунтов на том-же небольшом интернет-магазине или форуме, после чего их же оформить в базу и выложить, на какой-нибудь хакерский форум, после чего подать обращение в ркн, что его личные данные были слиты.
По факту, так можно шантажом заниматься и спасибо ркн за новый вид скама.
Оборотный штраф в несколько процентов смертелен именно для крупных компаний - и мотивирует их дробить. Вроде очевидно почему. :-)
А вот нижний порог смертелен для мелочи - ну так и лоббирует такие законы крупный бизнес, задача которого консолидировать рынок. Маркетплейсы, конечно, имеют все необходимые ресурсы, чтобы соблюдать любой набор регуляций. И департаменты юристов на зарплате для судебной работы.
Значит мелким компаниям не нужны персональные данные! А то каждый захудалый магазинчик норовит выманить телефон, чтоб самим спам рассылать, и перепродавать другим.
Не нужны ни телефоны ни ФИО для коммерции, email и договора с платёжным шлюзом достаточно.
Нету денег на ИТ безопасность, значит ПД вам не нужны!
Телефон и адрес объективно нужны для доставки товара. Иначе как товар доставить?
Ну, и расширенная нечеткая трактовка персональных данных, не позволяет однозначно определить, что относится к ПД, а что не относится. Например, относится ли email/телефон/ip/cookie/логин к ПД, сами по себе или в совокупности с чем-то? Всё это, как я понимаю, отдается на откуп проверяющим.
Да и выходят законы, обязывающие идентифицировать личность при аутентификации (но здесь я не уверен в деталях).
Что-то мне подсказывает, что должно быть требования обязательной идентификации физ лиц по номеру телефона. Обратите внимание, не осталось сервисов, которые бы не вводили номер телефона как идентификатор. Все едйствия показывают, что власти стремятся сделать так, чтобы в любом случае, если что, личность любого можно было установить. По этому сейчас вы не зарегистрируетесь ни на mail.ru ни на яндексе без номера телефона.
Но с другой стороны, если почитать каменты в целом, создается впечатление, что можно просто не запрашивать ПД и идентифицировать клиентов без них, например просто по логину.
Уверен, это ошибочное понимание закона. Моя интуиция подсказывает, что если просто не пытаться идентифицировать клиента по номеру телефона, то если кто-то где-то как-то, то крайним назначат вас. А если сделать нормально, то попадаете сразу на весь комплекс мер по обработке ПД, и при согласовании их, кроме кучи денег, будет ещё момент, что от вас могут потребовать произвольного набора мер, например, если клиенты могут общаться (оставлять отзывы) почему - бы не записывать весь трафик?
По сути получается, что если предполагать строгое следование закону, малый, да думаю и средний бизнес у нас стал запрещен. Но как всегда, суровость законов компенсируется тем, что фактически их никто не выполняет, а те кто должен следить за этим и не интересуются всякой мелочью, нападая пока только на крупняк.
What is "КЭЦП"?
Мой Чатлано-Пацакский словарь вероятно не полон:
З. Ы. С 2011 года термин звучит как "Электронная Подпись". Поэтому
ПЭП, КЭП, НЭП, УНЭП, УКЭП
З. З. Ы. "Ц" в терминологии до 2010 года появилась наверное из-за того, что импортный лектор, который читал лекции авторам термина Элетронно-цифровая Подпись несколько заикался, и в конспект слушателей попало что-то вроде
"Ди-Дитжитал Сайгн" / "Дидж-Дидж Сайгс"
Ну а при переводе этих конспектов пришлось выкручиваться и плодить "масляное масло".
What is "КЭЦП"?
Квалифицированная Электронная Цифровая Подпись, же)
Просто к "Электронным Подписям" относят и персональные/личные подписи работающие например через СМС или через УЗ на порталах, но такие подписи имеют свои ограничения и не для всего подходят. КЭЦП была приведена в качестве гиперболизации образа.
Не надо гиперболизировать так...
Вот ссылка на закон. Первая редакция вышла в 2011 году
https://www.consultant.ru/document/cons_doc_LAW_112701/
Да. До 2010 года в русском была неопределенность как называть Электронные подписи. Но с тех пор прошло 15 лет.
Если хотите выделиться, и использовать не меньше ТРëХ букв для обозначения электронных подписей, то можете взять сочетание computer generated signature (CGS). Оно Имхо тоже устарело, но хотя бы не содержит тафтологию
Форма на сайте еще не означает, что данные как-то обрабатываются или хранятся в отрытом виде. Или в законе есть прямое указание на обратное?
если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД
Судебная практика говорит, что это не так - есть позиции ВС и КС, по которым одно имя или телефон - не ПД.
Я с трудом представляю себе форму с одним лишь email (или телефоном). Равно как и ценность таких такого объекта данных для бизнеса.
Ну в плане, ок, но это очень нишевое применение. В голову приходит например какой-то бесполезный калькулятор подсчёта символов в строке - вообще без сохранения куда либо. А из более подходящего для бизнеса - единственное что приходит на ум: подписка на спам от компании. Причём максимально бесполезный, т.к. нельзя его обогатить другими уточняющими данными не переведя данные в статус ПД. Т.е. если юзер ввел свой мэйл - нужно просто добавить его в лист рассылки. При этом нельзя собрать данные с какой страницы он подписался, предположить на основе данных сайта какая информация ему более интересна, использовать пиксель или сервисы сквозной аналитики для получения uid юзера, его интересов, откуда пришёл, реквест, айпи или фингерпринт и пр.. Даже нельзя запомнить такого юзера и состояние поля ввода на форме, потому что если мы привяжем его мэйл хотябы к сессии - это уже ПД. В общем это как-то очень сомнительный кейс, а главное - бесполезный для бизнеса. Проще уж всё сделать по правилам и иметь полный карт-бланш.
И кстати, а что делать с .log? Если сервис логирует всё достаточно подробно, то хранение логов - также хранение ПД, ведь там и реферрер, и айпи и точное время запроса и данные браузера могут быть. А в некоторых плохо спроектированных системах там даже чувствительные данные гуляют порой (и повезёт если не пароли).
В общем всё это на словах хорошо, но по факту любое использование сервиса сложнее голого html - почти гарантированно генерирует ПД.
Я с трудом представляю себе форму с одним лишь email (или телефоном). Равно как и ценность таких такого объекта данных для бизнеса.
Это уже вопрос к автору, который утверждает, что сбор одного лишь номера телефона или одного лишь имени (даже не ФИО) - это обработка ПД.
форму с одним лишь email (или телефоном)
Стандартная современная формочка для логина (после ввода появляется другая форма для ввода кода, пришедшего на почту или в SMS).
Или классическое "заказать звонок" где кроме номера и нет ничего. Ну или есть выбор продукта. В обоих случаях это не ПД.
Также выше говорили, что данные с какой страницы был запрос не собрать - почему? Это как-то идентифицирует человека? Нет. У вас Метрика вообще может запись экрана делать и это тоже человека не раскрывает.
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением.
Вроде бы разрешено обрабатывать данные, необходимые для оказания услуги, безо всяких согласий. Вы, например, можете отозвать согласие у банка, но продолжать оставаться его клиентом. Все эти согласия давно стали фарсом.
Если не ошибаюсь, то это работает только в том случае, когда законами обязывается обрабатывать ПД для оказания услуги.
Вы не сможете отозвать разрешение на обработку ПД у банка, так как он обязан обрабатывать эти данные при обслуживании. Да еще и хранить 5 лет после расторжения договора (115 ФЗ)
Вы не сможете отозвать разрешение на обработку ПД у банка
Делал это неоднократно. После этого банк имеет право использовать ПД только для целей исполнения договора. Для всего остального запрещено. Так должно быть по умолчанию везде. А сейчас вас заставляют подписывать согласие, к котором понаписано всякого и только потом с вами заключают договор. Поэтому схема следующая: подписываете согласие, заключаете договор и сразу же, не вставая со стула, пишите отзыв согласия на обработку ПД. Дальше, по закону, организация может обрабатывать ПД только для целей исполнения договора и других целей, положеных по закону.
Эти требования касаются не только крупных компаний, но и малого бизнеса, ИП и даже самозанятых и физлиц. Чем больше вы собираете данных — тем больше ответственности.
Каждый хранит в своем телефоне ФИО и телефоны, знакомых, родственников, контрагентов, каждый получается оператор ПД.
С юридической точки зрения нет, ибо эти данные вы используете в личных целях. Однако, мы уже сталкиваемся с законодательной практикой, когда всевозможных исследователей, осинтеров и "пробивщиков" на вольных хлебах, обкладывают ограничениями и ответственностью, за использование таких данных.
Нет, закон самоустранился от регулирования в этой плоскости нормой в статье 1:
2 Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
если при этом не нарушаются права субъектов персональных данных;
Записная книжка в телефоне нередко привязана к гугл.аккаунту, с которым свое соглашение. По сути человек не "обрабатывает ПД в личных целях", а "передает их трансгранично иноагенту для очень многих целей". Нарушаются ли при этом права этих субъектов?
Пользователь телефона никому ничего не передает. Передачу осуществляет администратор операционной системы, а это другое лицо, с последним идут тяжбы без блокировок. Этим вопросом РКН усиленно занимается - у Google в активне запретительные решения суда (многомиллиардные штрафы в т.ч. за неисполнение требований о трансграничности) и развернуть коммерческую деятельность на территории РФ он пока не может.
Пользователь телефона никому ничего не передает.
Эдак мы договоримся до того, что командир отдавший приказ не отвечает за действие солдата его выполнившего. Пользователь вбивает телефон в записную книжку, после чего выполняются действия предусмотренные соглашением, которое пользователь подписал. Кто эти действия выполняет уже не важно. Распоряжение о передаче пользователь отдает в момент когда вбивает телефон по определённому им самим подписанному соглашению.
Отправка уведомления в Роскомнадзор после начала обработки Это будет нарушением с 30 мая.
А если до 30 мая успеть уведомить, что давно обрабатываешь, то не будет нарушением? )
Считаю РКН выдающейся в своей бесполезности шайкой паразитов. Это не эмоционально, это фактически.
В далёком году приезжали паразиты на завод и задали "коронный" вопрос. Получаем разрешение на обработку персданных, используем их, они уходят в архив, субъект отзывает разрешение. Наши действия с ПДн отозвавшего в архивах?
Уничтожить, согласно вашей политике работы с ПДн.
Уничтожить или обезличить, если законодательством явно не установлена невозможность этого действия.
Скажем, кадровое законодательство требует от работодателя хранить данные работника, даже уволившегося, в течение 75 лет, поэтому тут хоть сотню отзывов напиши.
полностью поддерживаю. Но по факту, это всего лишь очередная попытка покошмарить народ. У озвученной инстанции нет нормальных алгоритмов и процессов для того чтобы отслеживать работу сайтов в части ПД. И расчет как раз на тех кто подаст это самое уведомление и засветится в РКН)))
Не знаю как тут будет, но с блокировкой незаконного контента было нормально, у меня была доска объявлений, регнулся в РКН, они присылали требования удалить нарушающий закон контент, давали несколько дней. Удалил, ответил на письмо, получил ответ с подтверждением того, что претензии сняты. В принципе - нормальная работа по чистке рунета. В законе о ПД штрафы жуткие, действительно, и это для большинства мелких фирм будет не подъемно
В далёком году приезжали паразиты на завод и задали "коронный" вопрос. Получаем разрешение на обработку персданных, используем их, они уходят в архив, субъект отзывает разрешение. Наши действия с ПДн отозвавшего в архивах?
Какой нетривиальный вопрос, ведь 152-ФЗ не распространяет своё действие на "отношения, возникающие при [...] организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации" (ч. 2 ст. 1)
Что Вы им ответили, какой ответ они хотели услышать? Предоставить письменный отказ в отзыве персональных данных?
Уверенно сказал, что у нас такие отличные железо (соврал), сотрудники (польстил), процедуры (кто это вообще?), что предприятие не использует архивных копий БД.
Паразиты сказали, что это удивительная практика. А ответ на вопрос они сами не знают.
Ответившим "Мы удаляем данные из архивов по такому пустячному поводу" скажу, что так можно и рабочее место создать, тем более что про логи приложения никто не вспомнит, но при клонировании одинэсной базы обычно и логи клонируются.
Вроде бы очень простой вопрос. Ответ - данные субъекта ПДн организацией не обрабатываются, хранятся в соответствии с требованием закона об архивном хранении. Никакие действия не требуются, кроме ответа субъекту ПДн о статусе его данных.
А вот и нарисовалась одна из граней цифрового концлагеря.
Если это форум, где 4 поля: логин, мыло и пароль 2 раза, то нужно ли все это?
Обязательно нужно, ещё кучу всего нужно, и ещё нужно нужно сделать иначе штраф!!!!!!
Ну так только кажется, что их всего 4. А внутри дальше нет полей для кастомизации? Ник, аватарка, город, год рождения и пр.? Это помимо того, что каждому юзеру присваивается уникальный айдишник, по которому можно найти все его посты (которые могут содержать также персональную информацию), историю сессий/входов, данные о лайках, просмотренных страницах, иногда даже об устройствах с которых происходил доступ, данные операционных систем и браузеров. Так что тут даже сомнений нет в том, что форум - рассадник ПД
Чтобы понять всю глубину проблемы, нужно почитать, как внедрение GDPR происходило в Европе. В Германии, скажем, за малейшее несоблюдение правил (например, сайт пропускает какие-то кукисы без согласия пользователя) может прилететь такой штраф, что мама не горюй. Прецеденты были с миллионными штрафами, можно найти в интернете, началось ещё в доковидные времена.
Маленькие фирмы и частные сайты мало кого интересуют, а вот сайты и шопы весомых компаний проверяли под микроскопом. Специально для этих целей создавались фирмы-"паразиты" - шакалы, подобно "адвокатским" фирмам, нацеленным на поиски контента, который можно было подвести под нарушение авторского права.
То, что будет что-то подобное и в РФ, можно было и не сомневаться. Но это не выдумка РКН.
А вот в Америке, кстати говоря, не знаю, как сейчас, но раньше всеобщего такого закона не было, был вроде в некоторых штатах только, и первый вроде как в Калифорнии больше всего был похож на GDPR, и как-то я не слышал, чтобы там как-то сильно кошмарили за несоблюдение. Как раз где-то в 20 или 21 году мне товарищ что в теме рассказывал, что после принятия закона был дан один год на приведение своих ресурсов в соответствие.
США - отдельный мирок, там этой проблемы как таковой просто не стоит.
Маленькие фирмы и частные сайты мало кого интересуют, а вот сайты и шопы весомых компаний проверяли под микроскопом
То, что будет что-то подобное и в РФ, можно было и не сомневаться
Я вот, кака раз, сомневаюсь. В рф будут кошмарить именно мелочь, чтобы ззагнать в маркетплейсы, которые кого надо маркетплейсы. Вся идея состоит в том, чтобы поднять стоимость входа в бизнес.
Да и в европе всё регулирование за редким исключением де факто способствует монополизации.
А как они проверят, что на сайте не было аналитики и форм? Сайт же развивается, не было и появилось. Появилось - подал заявку. Или через вебархив проверяют?
7 самых частых ошибок на сайте
...5. Использование cookies без уведомления. Установите pop-up с запросом согласия на использование файлов.
Разве в РФ требуется уведомлять о куках?
Мне периодически вываливается попап о куках на сугубо РФ сайтах (типа аптеки или магазина) с некоторых пор.
мне недавно задачу дали: добавить попап о куках и страницу с политиками обрадобкт ПД на сайт нашей студии, хотя там только гугл карты оставляют куки и у них своя ссылка на политики. Говорят законы стали жёстче и надо на всякий случай сделать.
Телефонные мошенники, которые мне звонят, знают мои персональные данные - телефон, фио, прописку. Какой смысл в этом законе тогда? Кого и от кого он защищает?
Вот как раз для противодействия таким случаям. Сейчас вообще практически полная безнаказанность и бесконтроль в этом вопросе - если посмотреть профильные рассылки, то чуть ли не каждый день "утекла база страховой компании", "утекла база сети магазинов", "пароли хранились в открытом виде" и так далее.
Организации, начиная с директора, должны чувствовать свою ответственность за хранение ПД. Нанимать адекватных разработчиков, проводить независимые аудиты, вести контроль доступа. Иначе наши данные так и будут ежедневно утекать к мошенникам.
Вот как раз для противодействия таким случаям.
А так же создают ошибочное мнение, что "раз кто-то этими данными оперирует - значит он законно их получил и является представителем государства/компании, которой я их сообщал" итд.
Для сильно части этих данных полезней было бы вот прямо заявить "защитить невозможно и поэтому все их знают. Вот у нас даже сайт сделан, где можно посмотреть. Поэтому по ФИО и номеру телефона к вам может обращаться кто угодно:"
Всё это обеспечить практически невозможно. Например, код моего домофона я взял из утёкшей базы Яндекс.Еда - у яндекса нет ни денег ни разработчиков? Небольшие компании нанять или заплатить не могут - денег нет, компетенции понять кто аадекватный нет, сопровождать систему некому. Разработчика адекватного найти сложно даже если есть деньги - вот Яндекс не смог, как и все остальные крупные компании с утечками (то есть все). Так какое практическое значение имеет этот закон? Прослушка через телефоны и всё что возможно сообщает яндексу.
Я не интересовался, какое яндекс понёс наказание за этот случай. Насколько я помню, в те времена штрафы были фиксированные и довольно гуманные, что-то в районе нескольких десятков тысяч рублей.
Сейчас штраф будет составлять уже многие миллионы и зависеть от оборота. Соответственно, меняются и риски и для организаций будет повод регулярно проводить, например, аудиты инфраструктуры и заранее закладывать механизмы защиты - скажем, автоматическое уведомление СБ, если пользователь делает выборку по пользователям.
В телеграм-каналах регулярно появляются утечки, часто из госорганов. Кого там штрафовать на миллионы?
Если мои пд утекли, значит нарушены мои права. Каков механизм получения компенсации? А если нету его то зачем это всё? Напомню, пд всего взрослого населения уже слиты.
Не путайте штрафы и компенсации.
Штраф - это наказание и он взимается в пользу государства. А на компенсацию Вы можете подать иск.
Что касается госорганов - там своя специфика, но штрафы и к ним очень даже применяются, пусть это и выглядит как перекладывание денег из одного кармана в другой.
Если государство действует в моих интересах, поддерживая этот закон, то оно является прокси между мной и организацией, выложившей мои данные. То есть иск я должен государству заявить? Или к организации, с которой, возможно, у меня вообще нет отношений?
Не очень понял логику насчёт прокси. Если государство разрабатывает правила дорожного движения - то, по Вашей логике, если кто-то въехал Вам в зад на дороге, то иск Вы тоже будете предъявлять государству?
Нет, государство является не прокси, а регулятором, устанавливающим правила игры. Если некто эти правила нарушает - он уплачивает штраф, причём неважно, чьи именно интересы нарушены: штраф налагается не за нарушение интересов, а за невыполнение требований законодательства.
Если же Вы полагаете, что некое физическое или юридическое лицо нарушило Ваши права - Вы вправе обратиться в суд и потребовать взыскать с этого лица компенсацию. Для этого Вам не нужно иметь никаких отношений (ну примерно как если некто украл у Вас сто рублей, то Вы вправе требовать, чтобы он их вернул, даже если Вы этого человека и в глаза никогда не видели).
В случае с автомобилями есть два события несвязанных между собой - нарушение правил и въехал в зад. За то что кто то въехал мне в зад государство ничего не требует с въехавшего, требует только если он при этом нарушил правила. И требуемая компенсация при этом вполне рассчитывается и более-менее адекватная.
А вот в случае с нарушением в сфере хранения персональных данных я даже не знаю каков механизм обращения за компенсациями от отдельных граждан - интуиция подсказывает, что получить компенсацию если и можно то затратив несопоставимые усилия, хотя права и есть - но сколько можно потребовать у того кто слил мои данные? Слил миллион записей, потребовать 10.000 и он должен будет заплатить 10 миллиардов? Не заплатит. При этом эффект от слива будет действовать долгие годы и никто ничего сделать не сможет.
Я не про то что ПД надо всем раздать. Я про то, что они раздавались и раздаются, несмотря на все усилия. Войти в область, связанную с ПД стоит слишком дорого.
Аа, вот почему на каждом втором сайте начали спрашивать согласие на куки.
Причем самое забавное: когда почти никто никакого согласия не спрашивал - меня эти куки не беспокоили. Серфишь себе, чистишь изредка кеш, тихо материшь прогресс последних лет, из-за которого старые девайсы на современном интернете становятся тормознутыми.
А как начали спрашивать - первая эмоциональная реакция - "Ааа, они своих куков на мой телефон запустить хотят! Не дам! У меня и так памяти мало!"
Вместо спонтанного начала общения со средой - предоставление разрешения на манипуляцию. Желание заходить на сайт сразу куда-то девается.
А знаете, что самое весёлое?
если сайт вместо кук положит токены (и что ему ещё надо) в local_storage браузера, то никакого вопроса пользователю задавать не будет требоваться.
Такие дела
Аа, вот почему на каждом втором сайте начали спрашивать согласие на куки.
С пробуждением, это активно началось с GDRP, и там так же, могут посчитать что вашим ресурсам пользуются граждане ЕС, а значит вы должны всё соблюдать.
Ну с другой стороны - допустим мне как владельцу сайта - плевать на граждан ЕС (и визу в ЕС я получать не планирую и нахожусь в России)(ну или наоборот - на граждан России и визу России получать не планирую и нахожусь в ЕС).
Что они мне сделают?
Будут гневно осуждать и ругаться (возможно матом).
Они пойдут в свой суд. Там вынесут решение. Вам придёт уведомление на адрес, который они смогут найти или на мыло.
Т.е. в EU странах формально отработают, насколько это возможно.
Усиленно искать, конечно, никто не будет.
Но вот проблемы у персонажей с тем ФИО, которое там, в стране EU, посчитают виновным, могут возникнуть, например, при прохождении пограничного контроля в любой стране EU.
P.S.: Такие кейсы имели место быть с сайтами то ли в US, то ли в Канаде. Некоторые владельцы сайтов в Северной Америке даже пытались банить диапазоны IP EU стран, чтобы не иметь с персонажами оттуда проблем.
Чисто теоретически... Доменные зоны регулируются icann, зарубежной организацией, со своими правилами. Выполнит ли координатор зоны ru требование вышестоящего icann если тот по решению суда предъявит требование отключить Ваш домен? Или встанет грудью на Вашу защиту?
Чисто теоретически...получит иск в российский суд (подразумеваем что российских законов сайт не нарушает).
А вообще - вот конкретно этот способ против всяких kremlin.ru не использовали хотя уж получить решение какого надо суда что там сплошная запрещенка и терроризм - не проблема была явно. (С сетями была попытка - RIPE внятно объяснила желающим почему это - очень плохая идея и чем это может кончится, такие вот организации - не регулируют а координируют).
Оштрафуют на 91,5 квинтиллиона руб.
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие.
Ну "письменное согласие" тут может смутить. На самом деле можно получить согласие и электронным способом. Важно учитывать другое. У нас в РФ до сих пор нет внятного и утвержденного перечня доказательств для согласий собранных электронным способом. То есть нужно самому решать, что вы собираете и как будете доказывать, что согласие получили, а не выдумали. Это могут быть лог-файлы, проверочные коды и т.д.
Так все же, если на сайте висит форма запроса на услуги и данные отправляются мне на email (имя, компания, email, телефон - опционально) - это подходит под сбор ПД? Чем это отличается от того, если пользователь пишет запрос напрямую на email ?
на сайте висит форма запроса на услуги и данные отправляются мне на email
По описанию - у вас всё-таки сайт, а не почтовый клиент. Т.е. пользователь именно что передаёт свои ПД на обработку сайту/сервису, который уже в свою очередь инициирует отправку письма на почту. Пользователь не может быть уверен в том, что вводимые им данные нигде не оседают в системе или не используются ещё каким-либо образом, да и мне в это верится с трудом, если честно. В конце-концов опять же - логи.
Чем это отличается от того, если пользователь пишет запрос напрямую на email
Тем, что принимая пользовательские ПД на вашем сайте - именно вы отвечаете за хранение и обработку ПД, а если пользователь делает это через сайт почты - за ПД отвечает почтовик. Логично же.
На самом деле я прекрасно понимаю природу вашего вопроса. Это сложная палитра различных чувств с нотками негодования и надежды на то, что хоть какие-то исключения из этого существуют. Огорчу - может они и имеются, но готовиться всегда стоит по полной.
Ничем. Если Вы собираете эти запросы по email - Вы тоже являетесь оператором персональных данных и тоже должны уведомить РКН.
IP, куки, ФИО, № телефона.....
Какой толк это обсуждать - если нигде не определено конкретно с какого возраста субъект может подписывать лично согласие на обработку ПДн! А это очень принципиальный момент. Обрабатывать "биометрию" (а это просто фото на пропуске и в СКУДе) можно только с личного согласия субъекта. А если подписали согласие представители субъекта (за детей чаще всего) - всё! Пропуск без фото и в СКУДе белый экран!
Б - безопасность!
Следующим шагом будет сбор денег с операторов пд за хранение пд россиян
Замечательная статья, основанная на желании сделать что-то хорошо и привлечь внимание.
Однако, к сожалению, она оторвана от реальной судебной практики и актуальных прецедентов.
mrMazai, рекомендую ознакомиться с доступными прецедентами по делам о нарушениях в сфере персональных данных, чтобы не вводить читателей в заблуждение и опираться на проверенные факты.
я, действительно не юрист, а разработчик, просто тема на Хабре, в явном виде не поднималась (под другим углом были публикации). Как обычно на Хабре, ценность не в статье, а в комментариях. Если у вас есть правки, я с удовольствием внесу их в текст, если есть альтернативная статья, дам на нее ссылку. Т.к. сам до конца не понимаю, что правильно в данной ситуации, а что нет =(
Вы, @mrMazai, потрудились дать ссылку на свой телеграм-канал, но не потрудились дать ссылку на официальный документ, из-за которого подняли кипишь. Я вот уже минут 5 потратил, чтобы понять, стОит ваша статья моего внимания или просто толчете воду в ступе, не понимая, о чем пишете.
Вот вам правки, как просили:
добавьте ссылки на официальные документы
напишите вначале статьи: "я, действительно не юрист, а разработчик, просто тема на Хабре, в явном виде не поднималась", поэтому набросал что-то, сам не знаю и не понимаю что, факты не проверял
Если не трудно, не могли бы вы поделиться какими-то ссылками, если есть?
Я тоже разработчик, не юрист, и не очень понимаю, насколько все описанные в статье угрозы реальны. Хотелось бы разобраться и отделить зерна от плевел.
А как, интересно, будет рассматриваться ситуация с регистрацией через oauth гугла, например? Чисто технически на твоём сайте никаких форм нет, только редирект. Но при этом в последствии ты получаешь все необходимые персональные данные.
Создал для себя свадебный сайт, куда гости будут вписывать свои имя/фамилию, присутствие и предпочтения по напиткам - мне теперь об этом ещё РКН уведомлять?)
3. Согласия на обработку данных
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением"
С чего бы это вдруг? Согласие в подавляющем большинстве случаев вообще не требуется. Условия обработки персональных данных определены Статьей 6 ФЗ-152. И если, например, персональные данные обрабатываются при исполнении или заключении договора (пункт 5 части первой статьи 6), то никакое согласие не нужно. Согласие всегда можно отозвать, а если исполняется договор, то как отзывать? Я пришел в салон, заключил договор, купил автомобиль. Вышел из салона, написал отзыв и салон должен по вашей логике удалить мои данные из договора и акта передачи автомобиля? Не надо впадать в крайности. Или если законодательство требует от оператора обработки ПДн (пункт 2 части первой статьи 6), то согласие также не требуется - пример с военным билетом, работодатель обязан вести учет военнообязанных, это требование к нему со стороны государства, никакое согласия не нужны.
Письменное согласие необходимо в обязательном порядке для обработки биометрических ПДн или ПДн спрециальной категории (в отношении расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), для прочих ПДн такого требования нет - согласие можно получить любым удобным способом, позволяющим доказать получение согласия (усное согласие, согласие при свидетелях, пустой чек-бокс на сайте с логом времени и IP и прочее)
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением
Как это вообще возможно? Ни один сайт соискателей вакансий, письменно, не собирает согласия ? У меня мысль была сделать аналог hh, но офигел от требований по защите ПД. Получается просто вся страна положила болт и рисует на страх и риск галочки с согласиями?
Статья выглядит так, будто её написал человек без юридического опыта. Никаких ссылок на КоАП. Никакого обоснования: что именно (какие действия приводят к наличию и составу правонарушения) является правонарушением, приводящим к штрафу и чем это обосновывается. Я лишь подскажу, что речь про ответственность по ст 13.11 КоАП РФ и её дополнение согласно Федеральный закон от 30.11.2024 N 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".
P.S. Проблема затрагивания юридических вопросов людьми без юридического опыта - не редкость. Мне в багбаунти программах часто представители компании отвечают что-то вроде "телефон клиента не является персональными данными". Вот что бывает, когда юридические вопросы остаются в зоне отвественности технических специалистов.
Я тоже обратил внимание на это. Но когда-то пытался разобраться,Ю оказалось что даже определение что такое персональные данные очень расплывчатое и в законе его нет, есть только в толкованиях. Когда закон модет понять только юрист - ставить ссылки на КоАП бессмысленно. Этих ссылок надо миллион и то останется какое-то интервью кого то где будет прямо противоположное другому разъяснению.
Проблема затрагивания юридических вопросов людьми без юридического опыта - не редкость.
Проблема написания законов людьми без технического опыта - ну вот вообще ни полраза не редкость.
Статья выглядит так, что начало написал человек и добавил ссылку на свой тг, а концовку писал chatGPT
Вот чисто гипотетически рассужу. Количество ПД в условно свободном доступе со временем всегда будет увеличиваться. Прогресс однако. Причины этого могут быть разными, речь не об этом, а о самом факте. Уверен, что утекшие однажды мои ПД, пусть много лет назад, со временем раскочевались на просторах инета многократно. Следуя по линии этого тренда, да ещё и с учётом цифровизации всего и вся, через N лет этой информации будет пруд-пруди. Не зависимо нашего нежелания этого. Это есть факт. Так будет. И может нужно оставить эти абсурдные попытки закошмара, а начать продумывать - как жить/быть/защищаться в условиях всеобъемлющего свободного наличия этих данных?
Защищаться от чего? Технически, любой умный браслет сейчас знает про вас больше, чем вы сами и все ваши родственники вместе взятые. Законы больше про то, чтобы консолидировать ПД в нужных руках - кто владеет информацией, тот правит миром. Просто продвигаются под такими лозунгами, что население потеряло всякое ощущение реальности.
как жить/быть/защищаться в условиях всеобъемлющего свободного наличия этих данных?
Ввести жОсткие наказания для абьюзеров. Расстрел через повешение с конфискацией.
Повыкидывал нахрен все формы с сайта от греха подальше.
... но хранение личных документов (паспорта, военный билет) требует согласия.
Очень интересно, что будет если НЕ ДАТЬ согласие работодателю на хранение военного билета. Закон запрещает обуславливать предоставление любых дополнительных услуг сбором персональных данных, а согласие для обработки, связанной с основной деятельностью и так не нужно.
Но в любом случае текущие законы относительно ПД, как и их трактовки, как судебная практика - полнейшая неработающая туфта.
Была бы полезной подборка практики, где признавались бы данные не как ПД.
Например, если человек регистрируется на сайте и придумывает логин и пароль - по нему не идентифицировать гарантированно конкретного человека. Они же не подтверждаются. Даже подтверждение через смс не гарантирует именно того человека, что владеет номером. Вот в этом проблема, что в случаях, когда пользователь волен вводить любые данные, их пытаются трактовать как персональные.
Кстати, про честный знак - когда я покупаю банковской карточкой продукты с этой маркировкой, магазин передает в систему же данные о покупке кефира. Как только я купил кефир, данные на нем становятся персональными., так как они уникальны (иначе не продать) и связаны с платежным средством. Особенно в случае биометрической оплаты
Если Государство (а это именно государство в лице РКН при поддержке со стороны заинтересованных "операторов отечественных ЦОД" и "разработчиков отечественных решений") захочет вас обуть - оно вас обует.
Особенно если обуваемый сам прибежал с просьбами.
Самый простой случай, который видели все, но мало кто расценивает как нарушение закона о ПД.
Пишем в службу поддержки. Моё письмо пересылается между специалистами, я пересылаю им, в письмах подпись с email телефоном телеграммом и всем чем угодно. Кто в этой переписке объект персональных данных, кто что должен хранить и не показывать никому? Почему моё ФИО со всеми данными видят все, я вижу то же от других людей? Нас всех надо посадить по 274 статье?
Что значит брать письменное согласие для работы с ДП? Т.е. когда я собираю email для регистрации, например мне высылать акт на почту? И ещё я должен подавать заявку для этого в РКН?
Так же, очень странный запрет, на хранение ДП на иностранных серверах. А если у меня сервис в целом ориентирован на забугор? Тогда выходит проще блокировать доступ к сервисам, чтобы в России он был недоступен и не было таких проблем с РКН.
И тут мы открываем сайт ФСС по СПб и Ло, переходим в контакты, и там есть незаметная ссылка на телеграмм группу технической поддержки, где кол-во участников исчисляется тысячами и все видят передаваемые данные...
Других способов связи с поддержкой нету...
Использование cookies без уведомления Установите pop-up с запросом согласия на использование файлов.
Само такое уведомление УЖЕ будет нарушением, при такой широкой трактовке кук как ПД. Так как куку вы засунули в браузер посетителя еще до его согласия. То же самое и с ip: вы не можете получить согласие на использование ip, не получив этот ip предварительно до согласия. Таким образом, невозможно получить такое согласие без нарушения.
Также эта техническая информация неизбежно передается при использовании например гугл-шрифтов, а это уже означает трансграничную передачу и многомиллионные штрафы. Т.е. при такой широкой трактовке мы приходим к абсурду.
я верно понимаю, что теперь если я добавлю ФИО и номер телефона с почтой в контакты на смартфоне без разрешения владельца, то это штраф? А с учетом, что сделаю это с помощью зарубежного софта и серверов гугл, то еще и считается трансграничной передачей персданных?
Можно написать сервис обратной авторизации.
Хранить персональные данные в виде SSH+GUID на клиенте, !не на сервере!.
Сервер авторизации держать в Финляндии|Норвегии|Вирджинских островах|штаб квартире НАТО. Любой клиентоориентированный бизнес в России, запрашивает OpenSSH key слепок или fingerprint от GUID клиента, и хранит этот слепок на своём сервере. Слепок без GUID не может однозначно идентифицировать клиента, оставляя вариативность, но с GUID(UEFI) который хранится у клиента на компьютере это можно сделать в моменте.
Это примерная дилетантская схемка, тут надо продумать ещё, с юристами и специалистами по ключам, но мне кажется, это правильное направление.
Как быть фрилансерам, работающим с иностранными заказчиками?
Есть ИП без сотрудников, работа по контракту и инвойсам с зарубежной компанией. В контракте со стороны клиента указаны имя, почта и телефон руководителя, он не гражданин РФ. Со стороны ИП - только фио и адрес.
Своего сайта нет. Контракт передается в банк для осуществления ВЭД, более никак не используется, нигда не публикуется.
Является ли в данном случае наш ИП/фрилансер оператором ПД и нужно ли ему подавать уведомление в РКН?
Тут пишут, что для "ИП без работников работает только с юрлицами" нужно уведомлять.
Подскажите, пожалуйста, насколько обязательно для Оператора персональных данных не из субъектов КИИ иметь инструкции по защите ПД и действиям при утечке?
Какой закон обязывает их иметь?
А базу данных и бот пробива это касается?
Я со своим сайтом поступил просто: удалил на фиг форму обратной связи - и все!
У нас сервис, который хостится на платформе heroku с серверами в Германии. Как думаете - какая вероятность получить одобрение от РКН на трансграничную передачу персданных? Есть ли смысл пытаться его подавать или сразу думать о переезде - последнее очень неудобный вариант, тк все заточено под инфраструктуру, которую предлагает heroku.
Интересно как Казахстан отзеркалит эти правила? Уже сейчас стараюсь не напрягать пользователей сбором какой либо информации, политика конфединциальности есть отдельная страница, форма обратной связи в основном пользуется спросом у спамеров.
А давайте рассмотрим ситуацию: кукис баннер с действием: Принимаю или Нет, не согласен.
Какая логика в этом случае? По умолчанию Яндекс метрика не грузится и только после согласия пользователя подгружается?
Как это соотносится с поведенческими факторами и статистикой отказов и не нарушит ли правила Метрики?
Ну если большинство против нововведений,давайте сделаем следующее. Создаëм сайт,на котором только две страницы. главная страница с формой для сбора данных и политика о добровольном открытии данных. На второй странице все данные открыты в списке с поиском.
Я готов продоставить для этого доменное имя,так как мне плевать и на штраф и на срок.
При чьей либо утечке предоставляете ссылку на открытые данные и пусть ркн считает, тех, кто согласен на открытие своих данных, может число не наберëтся до 100 тыщ.
и т.д и т.п.
Странно что никто не додумался до такого:
Сделать сайт на вайлдкард домене. Со формой реги включающей паспортные данные и тд.
И подписью - вам не нравится? Пишите письмо в ркн проверить сайт и привлечь к ответственности.
На каждое письмо они обязаны отреагировать. Если писем будет много - возможно задумаются над идиотизмом ситуации.
Форма на сайте = штраф от 100 тысяч. Многие даже не подозревают