Comments 271
Что если форма обратной связи встроена через фрейм условного ucoz? Она считается формой обратной связи конечного сайта или ucoz?
Здравствуйте!
Если форма обратной связи содержит только сообщение и обратный email, или например, для форума нужно ввести только email - разве это персданные?
Нужно для этого какие либо галочки о согласии проставлять?
ну по мнению РКН у нас всё относится к персданным, доже то что к ним не относится (пункт про согласие на куки и яндекс метрику)
Берём любой отечественный бесплатный телеграмм бот, которые юзают офисники, вбиваем туда мыло, получаем где оно светилось, так же пароли от него, по паролю бот делает реверсивный поиск, и внезапно находит другие мыла, аккаунты и номера с похожими паролями, т.к. 99.9% юзают одинаковые и похожие пароли на многих акках. То что БД Альфы и прочие можно скачать в телеге без регистрации и смс думаю тоже не секрет. Так что учитывая текущие реалии все верно озвучивает уважаемый юрист
ну зато теперь яндекс за слив любых данных будет платить не 60000р, а сумму которую начнет замечать
Адрес электронной почты по мнению Роскомнадзора относится к категории персональных данных. Даже без дополнительной информации типа имени или номера телефона такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных (письмо Минцифры от 17 марта 2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным").
Но вообще это спорная история, есть решения судов, где вполне справедливо отмечали, что по одной только почте человека нельзя идентифицировать, а значит это не персданные.
Суды пишут, что сам по себе телефон и email не персданные. Но когда госоргану надо, могут вопреки всему объявить и обратное
Странно, что так суды реагируют. В законе ПД сказано, что все что позволяет идентифицировать человека - это перс. данные. Собственно, email-ы уникальные у каждого, как и телефоны. То есть я понимаю так: если что-то имеет отношение к человеку и оно уникальное - это ПД. Номера снислсов, ИНН, паспорта, телефоны. В целом, можно даже id профиля на хабр карьере подтянуть к ПД, т.к. ID уникальный, и четко идентифицирует человека
Было письмо Минфина, что ИНН не персданные, а, дескать, просто набор циферок. Но там практика пошла другим путём. ИНН чётко привязан к гражданину. А по телефонам логика заключается в том, что сегодня телефон мой, завтра ваш, послезавтра ещё чей-то. Поэтому практика сформировалась такая, какая она есть, и все копируют, что телефон идентифицирует оконченое устройство в телефонной сети, а не физическое лицо. Дура лекс, как говорится.
Есть же email'ы типа info@domain.ru, которым могут пользоваться разные люди. Так же есть что-то типа vasya.pukin@gmail.com (хотя, им может владеть Архибальд Васильевич Петров).
По поводу email'а очень спорно и сильно зависит от того, что ещё есть на того человека. Впрочем, товарищ майор со своими юристами будут иного мнения.
email-ы уникальные у каждого, как и телефоны
да, особенно sale@, inbox@ и прочие 8-800
А потому что в том же 152 ФЗ есть коллизия. К примеру таже почта попадает под:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Но она же попадает под обезличенные ПДн:
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Можете дать подтверждение на эту цитату?
И Роскомнадзор посчитал, что раз фотографии это тоже персданные
Это было в документе, который пришел из РКН. Вот полный текст:
3. В ходе анализа Сайта установлено, что на интернет-странице …распространены персональные данные тренеров в объеме: фотоизображение.
Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения в сети Интернет, установлены ст. 10.1 Закона.
Так, исключительным основанием обработки персональных данных, разрешенных субъектом персональных данных для распространения, является согласие субъекта персональных данных, которое оформляется отдельно от иных согласий.
Указанное согласие должно соответствовать Требованиям к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, установленным приказом Роскомнадзора от 24.02.2021 № 18.
Каких-либо указаний на наличие у Оператора согласия субъектов на распространение их персональных данных, а также сведений о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения, на сайте Оператора не выявлено.
Вместе с тем в ходе анализа Сайта подтверждения наличия вышеуказанных правовых оснований распространения персональных данных тренеров не предоставлено.
Т.е. есть решения, что например sexxybeast777@ нельзя соотнести с с конкретным человеком зарегистрировавшим ящик 25 лет назад?
Да, все так
Ну попробуйте достоверно соотнесите. Докажите, что это не его коллеги, родственники и вообще хз кто.
Вот например номер паспорта это однозначно ПДн.
ЕМНИП поэтому елси дело доходит до суда, то обычно принимается только совокупность данных, а не просто "ну вот емайл васькапупукин@мыло.ру"
Как правило да. Только в вашем примере имейл включает ФИО)
Во-первых не ФИО, а только ФИ, а во-вторых это никак не гарантирует, что владельца действительно зовут Васькой Пупкиным, а не каким-нибудь Анатолием Петровым или вообще Мариной Глади-Полежской. Потому и совокупность - для однозначного определения личности.
Но ведь ФИО не уникально, который из 100500 тёск вам нужен?
А если я этот email хеширую и храню не в чистом виде. Это поможет избежать вопросов?
Даже без дополнительной информации типа имени или номера телефона такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных (письмо Минцифры от 17 марта 2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным").
Ради интереса нагуглили это письмо, прямая цитата минцифр "Адрес электронной почты можно признать персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу.". Все же "можно признать", а не "идентификатор является ПД".
Правильный порядок действия для ИП:
Повесить на свой российский домент заглушку "на реконструкции" (и оставить его для того чтобы списывать затраты не вызывая подозрений)
Зарегистрировать домен вне RU/SU - или использовать прокладку чтобы домен не был напрямую связан с ИП оказывающим услуги
На несвязанном домене вернуть сайт, и работать как работал
На любые вопросы РКН - указывать что представительством предприятия в сети Интернет является ("сайт на реконструкции"), а к тому, другому сайту, имярек отношения не имеет.
ИМХО РКН поставили план по добыче штрафов, и они прикрутили краулер и нейронку. Тут давеча Россельхознадзор плакал что после введения ИИ - у них количество выявленных нарушений возрасло в 160000 (сто шестьдесят тысяч!) раз - и они не справляются штамповать столько административных дел (и было бы неплохо чтобы ИИ напрямую штрафовал поднадзорных субъектов!
"Война дорого обходится стране - казна пустеет, милорд..." (С) Ришелье
На любые вопросы РКН - указывать что представительством предприятия в сети Интернет является ("сайт на реконструкции"), а к тому, другому сайту, имярек отношения не имеет
Очень сомневаюсь, что такой финт прокатит, когда РКН подаст в суд.
Тогда следующим шагом - делаем на неподконтрольном хостинге сайт собирающий личные данные в пользу АО "Газпром", ПАО "Промсвязьбанк" и далее по списку "голубые фишки ММВБ". Как суд должен разобраться, что некий сайт за пределами РФ имеет отношение к ИП Пупкин В.А - а такой же сайт к Газпрому - нет ?
В смысле я понимаю - будет телефонный звонок, еще и не в том разберутся! Но масштаб не тот - и арбитражные суды все-таки пытаются соблюдать единообразие практики...
Им проще в реестр внести и накидать штрафов не подъемных
Вы думаете, будет телефонный звонок? Я вот думаю, к ИП приедут с паяльником.
В смысле я понимаю - будет телефонный звонок, еще и не в том разберутся! Но масштаб не тот - и арбитражные суды все-таки пытаются соблюдать единообразие практики...
Я думаю не будет даже звонка. Всё ещё проще – проверка РКН не выявит нарушений у Газпрома или ВТБ сколько бы сайтов там кто-то ни сделал, и соответственно не будет штрафа от РКН и суда, а нет суда, нет и проблем с единообразием практики.
Повесят дискредитацию работы гос аппарата, или еще что
суд в России это секретарша которая оформляет штрафы чтобы было красиво, им не нужно разбираться, вам выпишут штраф и вы его оплатите, не важно сколько там здравого смысла или правоты на вашей стороне
казна пустеет, милорд..."
Такая трактовка конечно напрашивается, особенно на фоне призывов Матвиенко отбирать доходы у безработных, для оплаты бесплатной медпомощи.
Но с другой стороны, масштабы мошенничества это тоже серьезный повод для всяких резких движений. Если бы целью были только поборы в казну, то размер штрафов делали бы меньше, количество потенциальных "нарушителей" больше, а требования практически невыполнимыми. Чтобы дешевле было "отстегнуть и забыть", чем неукоснительно соблюдать, или обжаловать несправедливость.
И как это должно помочь против мошенничества? Сливы перс данных как были, так и будут(да и слито уже всё), мошеннические сайты же нужно блокировать, а не делать запросы.
Ну я с хабра удивляюсь. Все же вайнили, что яндексу за такой слив смешной штраф впаяли? Вот теперь будут по 15млн впаивать.
Да, РКП - это дно. И яндекс тоже дно. Да, понятно для чего эти сборы и куда пойдут. Но конкретно в этом случае, как-будто бы обычные граждане в плюсе. Еще бы в судах компенсации подтянули хотя бы тысяч до ста на человека, чтобы был смысл туда идти.
Все же вайнили, что яндексу за такой слив смешной штраф впаяли? Вот теперь будут по 15млн впаивать.
Так не устраивала то диспропорция. И диспропорция до сих пор осталась. Для яндекса это все еще смешной штраф, а для малого бизнеса - самоубийственное банкротство. У яндекса утекут миллионы записей о клиентах, у интернет-магазина 10к. Хорошо бы это как-то соотносилось с оборотами и величиной клиентской базы.
Так там де-юре написано, что штраф пропорционально размеру утекшей базе будет. Интернет-магазин заплатит сотку (если вообще заплатит, кто об этих сливах знает, если это мелкий магазин), а вот крупные провайдеры будут платить много.
Ну и для Яндекса этот штраф не критический, конечно, но и не смешной. По шапкам, думаю, прилетит ответственным
Масштабы мошенничества да - жуть. А у нацистов были ооочень убедительные обоснования для уничтожения людей в концлагерях.
Ну хватит уже, какое мошейничество?
Уже сразу пишите безопасность детей под угрозой!
Сарказм ваш понятен. Однако,
Сценарий 1.
Доклад от ФСБ Президенту:
"За период ххх , жертвами мошенников стали ххх тысяч граждан, ущерб составил ххх миллиардов рублей. Похищенные деньги пошли на финансирование враждебных сил. По результатам расследования, одной из сопутствующих причин стала масштабная утечка персоданных."
Вопрос от Президента к РКН:
"Что вы там .... вашу ... делаете для предотвращения утечки персоданных моих подданных?"
Ответ РКН:
"Боремся с утечками всеми силами, Ваш Величество! Устанавливаем дьявольски строгие требования, и конские штрафы за нарушения!"
Сценарий 2.
Секретная директива: "Всем министерствам и ведомствам! Вводите идиотские требования, и конские штрафы за нарушения! План по сбору штрафов ххх миллиардов рублей. За невыполнение плана по сбору штрафов - штраф. А так же лишение премии, должности, и ниже по списку."
Какой сценарий по вашему более вероятен?
Не является ли второй сценарий избыточным, так как первый уже автоматически создает те же последствия?
У вас в бюджете УЖЕ заложена сумма штрафов. И еще рассылаются по ведомствам требования собирать сверх плана! И никто не пишет "вводите идиотские требования". Просто вот план, а то не соберет еще +30% сверху - сдадим прокурору (сами знаете за что). И ведомства прекрасно сами придумают что ввести, как проконтролировать, и как собрать!
Предлагаю альтернативу: убираем все поля, кроме текста.
Сверху пишем: если хотите, чтобы мы направили вам ответ - укажите email/телефон в тексте, а если не хотите - не пишите.
Все, вы ничего не собираете! Ни к чему не принуждаете.
Настраиваем что-то для извлечения email/телефона из текста: хотите старым способом (регулярными выражениями), хотите новыми (нейронкой). Но РКН об этом без доскональной проверке не узнает.
А всё закончится очень просто, если не сознаетесь, что второй сайт ваш - его просто заблокируют за нарушения прав субъектов ПД да и всё. А это мешает бизнесу зарабатывать деньги
Сколько можно открыть сайтов на штраф 100-200 тысяч ? Можно же сделать так чтобы на "основном рабочем" сайте перс.данные не собирались - а для их сбора редиркетить на жертвенный домен... Но мое ИМХО - не будут они этим заниматься. Проще идти дальше по списку и трясти трудовую копейку с тех, кто не сопротивляется... Это же вам не домены ФБК, которые сверху приказали давить - да и то давилки не хватило...
Для бизнеса сайт — это не только и не столько хостинг. Это как раз доменное имя и его репутация. На него завязано продвижение в соцсетях, маркетинговые кампании, разбросанные по интернету или письмам ссылки, сохраненные ссылки у пользователей. Смена домена это сразу потеря всего этого актива, который мог годами накапливаться, и это серьезный удар по бизнесу.
Сколько можно открыть сайтов на штраф 100-200 тысяч
Ну, один-два, если простенькие... Если с интернет-магазином, с поисковой оптимизацией, с хорошими местами в выдаче, то 0,1 сайта...
Не? Или сайт делает по стоимости хостинга?
Ирония в том, что сейчас ровно этим же занимаются черные казино. А вот теперь бизнес спускается на эту же ступеньку.
"Проблемы с доступом к ХХХ? Поставьте циферку Y в имени домена и все путем!"
Вот это бизнес-климат!
Что у вас за сайты такие, что можно менять доменные имена как перчатки, и продолжать получать заказы? На ум приходит или наркота, или конченый скам.
Вы забыли остальные правила из "9,5 правил ведения безопасного IT-бизнеса в России"... :)
Господи, поздолбали...
Ну ловите вводные - вам лет 50, есть свои проблемы со здоровьем; есть ещё в живых старшее поколение, у которого, увы - ещё более не всё замечательно со здоровьем; есть дети, которым надо поступить и закончить ВУЗ; есть какой-то невеликий, но приносящий копеечку бизнес...
Вы уверены, что выполнение ХОТЬ ОДНОГО из этих "смишных" правил вот возьмёт и улучшит положение в описанной ситуации? Особенно - последнего?
Ваши предложения?
Да, ещё просьба учитывать тренды последних лет. И целесообразность использования находящихся на рубежом ИТ ресурсов, если Ваши Заказчики - тут.
PS. Да, лет 20 назад я тоже посмеиваясь читал эти правила. Но жизень - она посуровее весёленьких рассказиков...
есть какой-то невеликий, но приносящий копеечку бизнес...
а потому что это не бизнес
бизнес - это когда он не невеликую копеечку приносит, а адекватную вложенным в него усилиям, потому что большая часть микробизнеса это каторга похлеще работы на дядю за теже самые копейки
И целесообразность использования находящихся на рубежом ИТ ресурсов, если Ваши Заказчики - тут.
идея правил в том чтобы заказчиков искать за бугром и вообще в РФ не работать
у меня тут сейчас опять, спустя 12 лет после закрытия моего бизнеса, опять начинает чесатся идея открыть чтото... и желания открывать его в РФ нет никакого..во всяком случае основную его часть
есть дети, которым надо поступить и закончить ВУЗ;
если есть дети, которым надо поступить, а не "которых" надо поступить, то, к примеру, в Словении недорогое обучение, и ВНЖ студенческий относительно легко дают.
Не по теме IT, но если кто следит - то в РФ вовсю пихают инициативы по превращению студентов-медиков в крепостных на три-пять лет после окончания обучения. Причем крепостных без кавычек, слово "закрепление" уже звучит очень громко.
На остальное обычно жена говорит "зарабатывай деньги, дорогой"
пихают инициативы по превращению студентов-медиков в крепостных
Обратите внимание, не всех студентов-медиков, а только бюджетников. Всё вполне в духе любимого многими капитализма. Кто девушку ужинает, тот её и танцует. Государство платит за обучение, оно имеет право устанавливать условия этого обучения. Платите сами и не будет вам никакого "закрепления".
не хочу вас расстраивать, но с платниками тоже всё довольно печально в последние годы. В частности, количество платных мест сильно ограничено даже в частных вузах, а из-за щедрости депутатов и трюков с вузовскими "олимпиадами" на бюджете мест фактически нет. И большинство крепких абитуриентов идут на эти самые платные места переждать пару сессий, пока разгонят халявщиков.
Государство платит? Вот прямо из своих кровно заработанных?
Если число нарушений возрасло в 160 000 раз - это означает, что они создали систему в которой не прав каждый.
Если государство создаёт "закон" по которому каждый является нарушителем, то это не Закон в исходном его понимании, а предлог для ограбления под видом "штрафа".
Совершенно верно! А если кучка негодяев захватила власть и терроризирует весь народ - то нормальные люди организуются и лишают власти зарвавшихся ничтожеств, судят их и отправляют в места. А если народ считает себя терпильным и безропотным стадом, которому обязательно нужен козел(который сам не знает куда ведет) - то происходит ровным счетом то, что сейчас наблюдаем.
Проблема в том, что в реале за нормальными людьми из стада приходят такие же люди, но продавшие душу власти. То есть твой же сосед будет тебя по случаю раскулачивать. Кучка негодяем пишет законы так, чтобы народ сам себя хлестал плетьми и черствыми "государственными" пряникам ипошил. Один видит в новом законе угрозу и несправедливость, а другой возможность обогатиться. Вся система в головах, главное правильно с детства форматировать мозги.
Этож в каком чудном мире такое происходит? (в смысле первый вариант)
В Непале чтоли? а еще есть варианты?
p.s. я чёт тут анализировать начал на фоне всего тут происходящего и чёто както печально это всё выгядит в реальности то
написал же - нормальные люди. А в какой стране сейчас нормальные люди? По мне так ближе всего к этому Франция, там хоть нормальные профсоюзы сохранились, да и люди не считают себя скотом. Если там на прилавки вывалят гнилую картошку - то будет революция, притащат мэра и заставят его самого жрать её. А у нас, я почти каждый день, вижу как в магазине в гнилой картошке ковыряются "люди" - хотят что-то съедобное для себя найти, и порой довольно прилично одетые, не сказать что бомжи.
"С тех пор, как мы ввели налог на воздух, вы стали меньше дышать! Это возмутительно!" (c)
Любимая цитата из «Атлант расправил плечи»:
- Вы думаете, мы придумываем законы, чтобы вы их соблюдали? Нет, мы их придумываем, чтобы вы их нарушали!...
Все так и осталось.
это означает, что они создали систему в которой не прав каждый.
Или, как это обычно бывает, десятилетиями до этого все клали на законы и правила, а тут ВНЕЗАПНО выяснилось, что так нельзя было. Например, как с пиратством - сколько было воя, когда пошли первые дела за это и закрытия трекеров, уууууу... "Мы всегда качали на халяву, почему это мы должны вдруг начать платить".
Тут тоже самое - десятилетиями делали что хотели, клали на здравый смысл, логику и безопасность, а тут ВДРУГ оказалось, что это и так раньше было незаконно!
А мне другая идея пришла. Что если вовсе отказаться от персональных данных?
TLDR: вместо емейла, или телефона идентифицировать пользователя по генерируемому идентификатору.
Disclaimer: не специалист, идея может быть плохой.
(куки я так понял не персональные данные, и нужно просто уведомлять пользователя но не обязательно отсвечивать перед РКП. Если нет, то пусть пользователь сохранит идентификатор (о котором пойдёт речь ниже), в браузере как логин пароль. Который сайт сам ему сгенерит и вобьёт)
Короче, идея такова. На основе коротенького майнинга в браузере (длину которого можно варьировать в зависимости от признака подготовки к спам атаке на какие либо заявки), присваивать пользователю идентификатор. Далее имея идентификатор принимать заявки, на этот идентификатор. Хранить идентификатор как на сайте, так и у пользователя. При этом кроме самого идентификатора генерить ещё и порядковый номер. Короткий. Чтобы в случае чего вручную решать какие-то вопросы, например потери идентификатора.
Дальше взаимодействие на основе идентификатора.
Правда проблема остаётся, что какие услуги можно оказывать без персональных данных? Полагаю, доставку на дом уже не сделать. Но что если это доставка не на дом, а просто в абстрактное место/подъезд/куда угодно? Или в лес в землю и давать координаты 🤡? Не изучал, но возможно постаматы также можно без персональных данных пользователя использовать.
Наверное, можно организовывать приход куда-то.
Возникает дополнительный вопрос, а является ли безналичный платёж персональными данными (ведь всегда можно узнать кто отправил) и является ли просто проверка его совершения обработкой персональных данных, даже если никуда не сохраняешь, а просто через банк проверяешь? А то может и вовсе огромная нелатаемая дыра в идее?
По крайней мере, нет данных -- нет утечек. xD
А утечка похоже это самый страшный штраф.
Ага, вы изобрели фингерпринт клиента, самое кошмарное зло, которое случалось в вебе
Я думаю, что это не оно. Потому что я не имел в виду собирание всей доступной информации, такой как юзерагент и прочее.
Более того, хоть это и не указано в явном виде, имел в виду систему, в которой пользователь сам контролирует, оставлять вбитый идентификатор или завести новый.
Как минимум я не противоречил контролю идентификатора пользователем, так что не надо обвинять меня в изобретении кошмарных зол. :D
Хотя теперь предыдущую идею вижу несколько не в тему. Идентификатор с паролем можно чтобы пользователь сам придумывал, а короткий майнинг всего лишь для активации аккаунта использовать.
В общем какую-то фигню понаписал, теперь неловко.
К чему такие сложности? Можно просто просить ввести логин и пароль.
Потом сотрудник РКН оставляет на сайте.com заявку, Вася-бизнесмен ему перезванивает - и приехали.
Повесить на свой российский домент заглушку "на реконструкции" (и оставить его для того чтобы списывать затраты не вызывая подозрений)
И как только ИП по заявкам позвонит заказчикам или разошлет заказы - появится повод постучаться к нему с тем же вопросом.
а к тому, другому сайту, имярек отношения не имеет.
Делается заказ, получается чек, всё, готово.
На несвязанном домене вернуть сайт, и работать как работал
Какой простор для фишинга.
очень интересный пункт про фотографии. а где в законе написано что я должен публиковать согласия на сайте? собрать должен, да.
Согласия сотрудников, допустим, имеются на бумаге. Есть ещё вопрос к юристам: вправе ли РКН проверять их наличие в организации?
И такой же вопрос насчёт запрета распространения. У меня рекламные снимки, я заплатил сотрудникам, стилистам, визажистам, фотографам - и хочу, чтобы их фото допустим в моей фирменной одежде с логотипами распространяли. Продвижение картинками кстати не позавчера придумали. РКН там берега не потерял?
Скажите,Алексей, если мой сайт в зоне .com, на английском языке , надо ли мне переводить политику обработки ПД на английский?
И что делать с английской версией сайта .ru (когда переключаешь язык кнопкой) ?
Дак в зависимости в какой юрисдикции работаете
Проблема в том, что если на ru.yukr.com зайдет кто-то из России, российские власти будут однозначно трактовать это как работу сайта-компании в России.
Если yukr мелкий уровня Hoovers LTD и не интересен РКН и прочим российским властям, то скорее всего забьют, но вот Гуглам и прочим начинают выписать штрафы в Гугол.
Upd: Посмотрел у Газпром- там на английской странице политика на английском..придётся переводить..
Лучше перевести, на всякий случай. В любой непонятной ситуации с РКН — лучше что-то сделать, чем не сделать.
Мораль сей басни такова: make email great again
Оставляйте вместо формы с запросом емейла линк, который при нажатии откроет emailпрограмму у клиента и пошлет вам емейл с предустановленным заголовком.
Получите емейл клиента, а поскольку он вам его отправил то согласие на обработку персональных данных не тебуетсся
Шах и мат Роскомнадзору :)
Ну вот на сайте есть наш email. Посетитель шлет на него письмо. Это как считается?
Штука в том, что РКН считает, что даже сам по себе емейл — это персданные. Некоторые суды с ним, правда, не соглашаются, но тем не менее.
Это если вы его в форме спросили. А если вам емейл прислали то это нельзя считать персональными данными. Так же как если я вам письмо пошлю по почте со своим обратным адресом. Я не собирал вы сами передали
Как насчет хранения и обработки персональных данных? Или только за сбор будут предьявлять?
Считать можно и нужно (и считают, если там есть что), а вот СОГЛАСИЕ на обработку уже не нужно -- человек самим фактом отправления емейла согласился на его обработку.
А если у емейла есть подпись фио и телефон, это уже перс данные, а может человек решит туда какие-либо свои документы добавить, перепутал что-то или с головой не дружит?
Но это не имеет значения, ведь в данном случае это лишь сбор пд и он относится к подаче заявления в роском, не а на сайте сбора нет. Вопрос, как это работает кончено открыт
Не совсем так. Отправка письма действительно подразумевает добровольное сообщение данных, но последующая их систематизация (например, в CRM) всё равно подпадает под закон о персданных
Что значит систематизация? Почта принимается через Яндекс.Мейл например, там вся переписка хранится на сервере Яндекса вместе с емейлами, ФИО, телефонами отправителей, местом их работы. Какие это "персональные данные"? Люди сообщают свои рабочие контакты.
Например екселевский файл с именами, контактами и пометками "Чувак хочет купить ХХХ, денег буран, но жмот". Это уже полноценная БД, содержащая ПД.
Вы же не храните все контакты только в почте?
Даже если и так - это ваш личный аккаунт, вы его оператор, и за содержимое отвечаете вы. Если там будет храниться книга \Роскомнадзор\ или веселые картинки особой категории - отвечаете вы, а не Яндекс.
Это почта, там хранится переписка и контакты всяких менеджеров по закупкам и их директоров..
Вообще смысл был в том, чтобы защищать данные физиков - покупателей товаров и услуг, а не данные должностных лиц всяких ООО.
ИП "Иванов Иван Иванович" юр. адрес пр. Депутатов, д.1 кв.43. - это персональные данные?
В общем в очередной раз усердие превзмогло рассудок.
ФЗ 152, ст. 22, ч. 2
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
...
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
Постановление Правительства РФ от 15 сентября 2008 г. № 687 Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Эти данные же не хранятся на вашем компьютере/сервере. Поэтому "оператор" никак не может отвечать за эти данные, они физически находятся не у вас. И как ответили ниже - подобного рода обработка без систем автоматизации допустима.
У меня за 20 лет ни разу по клику на mailto: не открывалась почтовая программа. Потому что её либо нет, либо она есть, но всё равно не процессит эти линки (Thunderbird), либо Gmail указано процессить эти линки, но всё равно ничего не происходит при нажатии.
Кстати да, тоже ни разу не довелось использовать эту «мэйлту» по назначению. По сути это кнопка, которая нужна лишь для того, чтобы пару секунд посмотреть на интерфейс неработающего Аутлука перед тем, как его закроешь.
Тоже пришла в голову мысль: а как связать сайт и конкретного предпринимателя? Что если сделать сайт как бы под конкурента и нарушить там все, что можно (даже "случайно" список "клиентов" засветить)? Бедный конкурент может от штрафа и отбрехается, но нервов знатно потратит.
Фальсификация доказательств легко превращается в фабрикацию преступления. Это путь к уголовному делу, блокировкам и репутационному краху. Не стоит..
Как сейчас и в интернете - не знаем. А нашему клиенту где-то в 2021 прилетел огромный штраф за рекламу, к которой он отношения никакого не имел (точно не имел, там даже услуги были те, которые он не умел оказывать при всем желании), просто потому что "Ваш телефон - значит реклама Ваша, можете подать регрессивный иск к тому кто эту рекламу за Вас разместил". И у нас тогда было ощущение, что это нормальная практика, чьи реквизиты нашли - тому штраф и влепили.
Уже давно на каждом сайте предпринимателей должны быть по закону в подвале или на отдельной страницы адрес, ОГРН, и прочие ОКВЭД на КПО
Что если сделать сайт как бы под конкурента и нарушить там все, что можно
Газеты, якобы агитирующие за одного кандидата, но, по сути, содержавшие полную дичь, призванную оттолкнуть от него максимально большое количество избирателей, выпускали ещё в 90х. А придумано это было, подозреваю, лет на 50 раньше.
Снес всю аналитику. Куки, как понимаю, при этом тоже не собираются? На страницах скриптов нет, только html.
CloudFlare теперь использовать нельзя?
Теперь даже лендинг с формой обратной связи превращается в юридическое минное поле
А у меня техническо-юридические вопросы:
Как было направлено письмо? Я вижу, что это письмо в формате PDF (традиционно), но как был выявлен конкретный электронный адрес предпринимателя? Указан, как адрес собственника доменного имени? Или компания-хостер предоставила? Или на сайте был размещен?
Адрес сайта в студию! Имя компании-хостера в студию!
Компания ИП занимается "растяжкой" в Тюмени. Но никто не жаловался. Сомнительно... Ну... ОК. Нет ли здесь подоплеки иного характера, когда ИП просто перешел дорогу, скажем, жене какого-нибудь уважаемого человека, которая обладает множеством талантов, но предпринимательство в сфере "растяжки" в них не входит, а бизнес ей муж уже купил?
Лендинг был привязан к конкретному офлайн-бизнесу. А если это сайт объявлений? Форум? Справочник?
Доменная зона насколько важна?
6. Некоторые хостеры предоставляют собственные системы веб-аналитики, которые ВООБЩЕ не предусматривают никакого кода на самих страницах. Их как отражать?.. И как их собираются вообще выявлять?
Предоставляя вам информацию, человек не обязан раскрывать все детали и данные и более того, чаще всего не хочет этого делать. Вы оставьте здесь свои данные фио, данные ип или ооо, адрес сайта...
На нескольких своих сайтах сделали лайт ребрендинг.
Куки убрали вообще, там где надо переделали на сессии.
Контактные формы из "Ваш телефон" и "Ваше ФИО" переделали на нечто в стиле "По какому телефону Вас набрать" и "Как к Вам обращаться при звонке".
От передачи персональных данных клиентов это естественно не защищает, но собственно персональные данные могут и просто так на контактную почту прислать - это этого никто не защищен, главное что персональные данные мы больше не запрашиваем и соответственно не обрабатываем.
Может кто-то из юристов прокомментировать?
Тут и не юристу понятно что это не прокатит, если вы автомобиль назовёте велосипедом что бы не платить транспортный налог то автомобилем он от этого быть не перестанет и транспортный платить придётся.
А если у них есть метрика (наверняка есть) то это уже обработка персональных данных (по версии ведомства, даже не смотря на то, что они обезличенные).
Зато как теперь все безопасно себя стали чувствовать что их персональные данные надёжно хранятся ведь теперь буквально на каждом сайте лезет плашка с согласием.
не юристу понятно что это не прокатит
Так то не юристу, а вот для юриста немного по другому.
если вы автомобиль назовёте велосипедом что бы не платить транспортный налог
Если Вы в поле "комментарий" (как посетитель сайта) положили паспортные данные, то запись комментария в БД обработкой паспортных данных не станет.
уже обработка персональных данных (по версии ведомства, даже не смотря на то, что они обезличенные).
В законе об обезличивании даже есть понятие "идентификатора", не говоря уже о том, что с 1 сентября 2025 обезличенные часто можно обрабатывать без разрешения.
del
Так имя и телефон запрошенные, это и есть пд. Тут встает вопрос, если сайт содержит только контактные данные и никаких форм для заполнения и отправки не подразумевает, он все равно обязан к этим издевательствам или нет, а в вашем примере вы запрашиваете те же пд
Так имя и телефон запрошенные, это и есть пд
Имя в принципе не ПД, но в любом случае оно в форме не запрашивается, запрашивается условно "обезличенный идентификатор" клиента. Знали бы Вы сколько в этой форме появилось ответов вида "господин мой", "повелитель" и т.д. после переименования:)
Так же как не запрашивается личный телефон клиента, а запрашивается по какому телефону ему можно позвонить. И кстати, там тоже не всегда пишут телефон и/или личный телефон.
встает вопрос, если сайт содержит только контактные данные и никаких форм для заполнения и отправки не подразумевает, он все равно обязан к этим издевательствам или нет
Разумеется нет. Клиент вообще может е-маил в хуизе найти (даже без публикации на сайте) и копию паспорта свего Вам на него прислать так-то.
Ключевое тут "сбор персональных данных", инициатива, запрос со стороны сайта - грубо утрируя, если Вы поставили работающий шредер для мусора, а Вам туда насовали паспортов, то Вы никак не занимаетесь сбором и обработкой ПД.
"Придумайте себе позывной, по которому можно к Вам обращаться"
(раньше это называлось никнейм, но с учетом импортозамещения и некоторых других практик пусть будет позывной)
А как вы сессии без кук сделали?
?PHPSESSID=
Собственно тоже трекинг )))
Но куки-то нет, вот в чём фокус!
Утечку впаяют, это все в логах вебсервиса остается, а вы их как храните? надежно? точно? )))
Которые найдёте, все ваши. Мы их не ведём. )) А за логи у провайдера пусть провайдер отвечает. Мы ему галочку не ставили, если что.
Вроде при https (он ведь включен, да?) в логах не сохраняется URL query. Хотя, в данном случае "куки" -- это общий термин, который не ограничен только document.cookie, а охватывает любые механизмы отслеживания.
Классическая уязвимость когда можно угнать сессию через referer.
url/?sessionid=35545665557 например
То же, что в куке
Чисто технически - session/local storage и API запросы к беку где гоняется этот параметр в заголовках/теле/урле запроса (главное, что не в куках)
Извините, стало любопытно, что бы вы подумали о такой идее? https://habr.com/en/articles/954602/#comment_28939842
Пока (ключевое слово) не стоит заморочек, т.к. в принципе текущие правила выполнять несложно. Одно дело поля формы переименовать и отключить автоподтягивание инфы о клиенте из разных баз, другое дело перестраивать всю схему работы фирмы.
Вы там еще про оплату писали, ну так при оплате клиент почти никогда не идентифицируется, он просто направляется по номеру счета на платежный гейт, а оттуда приходит подтверждение оплаты, тут как раз все предельно просто.
Где хранится сессия на стороне клиента?
На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести >все правки в сайт и документы, и уведомить об этом РКН.
А если просто отключить сайт, то будет "у меня лапки"?
Исправить за 60 дней и потом включить?
А с новыми и старыми клиентами вы как эти 60 дней работать будете? За это время сайт утонет в алгоритме и в выдаче, не факт, что обратно поднимешь
А если просто отключить сайт, то будет "у меня лапки"?
Требование РКН сводится к "прекращению правонарушения" и "уведомлению о принятых мерах".
Отключение сайта к прекращению правонарушения приведет (как в общем-то наверное и удаление формы, че так сразу резко-то), обработку прекратить еще проще - нет сбора и обработки - нет и нарушения, а вот уведомить РКН о принятых мерах все же надо. И соответственно после приведения всего в порядок (через 60 дней или сколько там) подать заявление о том, что "снова начал собирать и обрабатывать".
пишите мне в личку в телеграме @bchlf
а это сбор персданных?
Должна ли я, как пользователь, чувствовать себя более защищенной от этого закона? Есть ощущение, что как всегда это повлияет только на простых работяг-ИПшников, а реальные злоумышленники действуют через сайты-однодневки или просто взламывают базы данных. Что говорить, если популярные схемы развода включают госуслуги?
Как у обывателя, у меня такой вопрос – если я запускаю гугл-форму на своей личной странице в соцсети, и там есть поле "ФИО" – это сбор персданных?
Не должны конечно, такой обязанности РКН пока в закон не включил:)
Но в принципе немного спокойнее быть можете, т.к. есть принцип бритвы Хэнлона "Не спешите приписывать злому умыслу то, что вполне можно объяснить простой человеческой глупостью".
Если раньше данные раздавал и собирал кто попало и базы хранили не задумываясь в открытом виде с дырами наружу, то сейчас злодеям хотя бы надо с сайтами однодневками заморочиться, да и взлом бд где-то будет сложнее, а где-то эффекта не даст.
Но в целом - разумеется текло, течет и течь будет. От этого никуда не денешься, проблема щита и меча.
Если что-то выглядит как злой умысел, работает как злой умысел и имеет последствия как злой умысел, то какая мне разница, что это была на самом деле глупость, а не злой умысел?
Проще и правильнее не выдумывать сложности и относиться к этому как к злому умыслу.
Если что-то выглядит как злой умысел, работает как злой умысел и имеет последствия как злой умысел, то какая мне разница, что это была на самом деле глупость, а не злой умысел?
Не уловили смысла Вашего вопроса. Мы отвечали на вопрос - поможет ли закон, смысл нашего ответа был в том, что:
Против чистого злого умысла (ломанули сервер нулевым днем) он не поможет.
Против чистой глупости (раздают ПД всем кому ни попадя просто так) он поможет.
В реальной жизни встречается и то и то, поэтому закон против глупости - уменьшит количество и/или вероятность утечек.
Что именно в этой логике Вы считаете неверной?
Проще и правильнее не выдумывать сложности и относиться к этому как к злому умыслу.
Ч/Б суждение всегда проще. А вот правильнее не всегда.
Предлагаете убрать из УК статью убийство по неосторожности и/или при самообороне, оставить только намеренное? Убрать критерии при которых это еще самооборона, а при которых уже нет? Убийство же этож человеческая жизнь, раз убил значит это выглядит как злой умысел и вот это все - какая Вам разница глупость это была или неосторожность?
Правила и стандарты оказания медицинской помощи которым должны следовать тоже предлагаете убрать? Оставим простой и правильный критерий - умер пациент или нет, умер - значит врач убийца, скорее дело заводить, верно?
ПДД давайте тоже отменим, если ДТП случилось, значит был злой умысел, не глупость, зачем регулирование и критерии, зачем штрафы?
Закон о ПД, при всей его корявости, имеет тот плюс, что огромная куча раздолбаев (а их куда больше 90%) перестанет раздавать кому попало и вываливать в общий доступ данные клиентов и/или посетителей. Просто потому, что есть закон регулирующий то, как с этими данными надо обращаться и в каких случаях. И соблюдение этих правил уменьшит количество утечек и/их вероятность, почитайте закон-то уже, он короткий.
При этом нет ничего сверсложного (пока) в следовании этому закону для рядового бизнеса, все решается рядовым ИТшником за пару дней, ЕСЛИ данные раньше не раздавались направо и налево, а если раздавались - так что плохого, если они перестанут раздаваться?
да очнитесь вы алло, никто из так называемого «государства» не собирается о вас заботиться, это просто машина по выкачиванию денег через штрафы, налоги, откаты и ребалансировка денег на счёт ВСУ СВО
мне вот лично хватило того, что всю KDV group стоимостью в 500'000'000 рублей просто взяли и отжали за один день в пользу сильных власти
Даже если вы храните контакты в телефоне, это уже сбор и хранение данных.
Все эти законы преследуют только одну цель — заработать денежки в бюджет. Всё.
Мне вот итересно как и насколько будут штрафовать КВАДРО, за излишюю кастомизацию для УК и саму УК.
Как пример, оказывается они предоставляют функционал любой УК позволяющий отключить вкладку Обращения. Проще говоря, после того как вы загрузили туда обращения (юридически значимые доки в РФ, см. определение), УК подтвердила, что их получила, и даже взяла в работу. Внезапно оказывается, что у пользователей пропадает сама вкладка со всеми доками.
Опять у РКН двадцать пять )
Давайте всё же прочитаем указанный пункт 18 Условий по ссылке https://yandex.ru/legal/metrica_termsofuse/ru/ ))
Задача со звёздочкой - прочитать весь текст Условий, и уточнить, кто в данном контексте является Пользователем Сервиса.
Может после письма что-то поменялось, потому что 19й пункт соответствует тексту абзаца.
Вопрос более глобальный: если сайт не обрабатывает ПД вообще, но использует метрику, то относится ли это к обработке ПД, учитывая очень интересную формулировку того самого 19ого пункта?
И еще вопрос: что, если сайт не использует метрику, но на сайте висит реклама, которая использует метрику (та, которая от Яндекс, например)?
Если не натягивать сову на глобус, то по логике куки и метрику можно притянуть к персональным данным (ка средство обработки), только если собираются настоящие персональные данные.
А что если будет некий платный сервис для разработчиков, который будет содержать хранилище персональных данных оформленное полностью в соответствии с РКН и предоставлять хеши пользователя (может даже одноразовые для сессии, истребуемые движком целевого сайта). И те, кто не хочет лишний раз связываться с этими процедурами могут просто запросить в форме "введите ваш ORCID ID, SPIN-код РИНЦ" для прохождения регистрации. В принципе даже пароль не нужен и какие-либо скрипты. Персональные данные вытягиваются из официальной базы данных с которой уже подписан договор о предоставлении таких услуг, а сами согласия об обработки пользователь уже подписывает хоть по ЭЦП с этой третьей организацией.
Авторизация через ЕСИА?
Для этого насколько помню всё равно появляется поле, содержащее то что прямо попадает под критерий - телефон или мейл, хотя, если сам сайт сначала открывает фрейм с формой ЕСИА то мяч уже на стороне этой системы и формально вроде как сайт не попадает под эти ограничения, тут уже вопрос интереснее, является ли другой домен частью сайта, если он визуально содержит форму ввода персональных данных на фоне основного. В случае же хеша - вводится одноразово сгенерированный код для копиаста или QR. С ещё одной стороны - сайт даёт этот куаркод который потом аутентифицируется с сессии телефона. Формально он также содержит двоичник не содержащий персоналки.
У VK есть функция сайтов и даже почты, ой как совпало
Я бы даже расширил утопию: Национальный Оператор Персональных Данных.
Персональные данные вообще не передаются за его пределы. Все взаимодействие с клиентами - только через его апи. Никаких прямых писем клиентам, никакого приема писем клиентов.
Вот идем к оператору и вызываем апи
НаписатьСообщение(хеш_клиента, текст_сообщения)
А потом периодически
ПроверитьНовыеСообщенияКлиента(хеш_клиента)
Такой вот единственный канал общения, за попытку обойти: штраф, за вторую УК. С сервисным сбором (мы же ведь монополия! какую цифру считаю обоснованной, такую и ставлю. куда вы денетесь?), приватизацией прибыли частной компанией ака "честный знак" (пусть убытки несет государство, а прибыль в карман нужных людей) и внесудебными блокировками любых неугодных ака "реестр подозрительных личностей".
На сайте нет «галочки» для того, чтобы пользователь подтвердил согласие на обработку персданных
Задолбали уже эти галочки. Недавно чтобы чек на имейл себе отправить после оплаты налогов нужно было эту галочку идиотскую поставить. Не согласен я ни на какую обработку персональных данных, просто чек мне пришлите. При этом спамеры всех мастей прекрасно себя чувствуют. Это уже не сюр, это уже просто шапито.
Особенно весело ставить галочку на телефоне, на сайте, который не оптимизирован под телефоны.
Иногда чисто физически невозможно, поскольку все закрывает какой то полупрозрачный банер или картинка разъехалась, или чек-бокс просто не работает, хоть затыкайся.
РКН и персданные это впринципе блядский цирк. вся работа с их стороны делается для того чтобы поставить галочку что она ведется, а со стороны оператора персданных - чтоб их РКН не выипал. про защиту никто вобще не думает
— Работаете с юрлицами (записываете ФИО контактных лиц)? ... значит эта история касается и вас.
Прошу прокомментировать следующие положения:
ФЗ 152, ст. 22, ч. 2
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
...
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
Постановление Правительства РФ от 15 сентября 2008 г. № 687 Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Это повсеместно не только у нас. Всё началось с Cookies (RFC 6265 и ранее) которые предоставляли безобидный механизм состояния HTTP не более того. Куки сохраняли сессию, пользователя, и собственно то что он ранее вводил в формы у себя, то есть то, что потом рассмотрели как персональные данные. Оставив за кадром вопросы безопасности можно сказать что он делал это не самостоятельно, браузер автоматом создавал эти временные файлы. Поэтому уже тогда стали возникать вопросы что же хранится на сервере а что на стороне клиента и по какому триггеру, и, в международном законодательстве решили всё это обобщить до наличия человека. Ввиду того и начались повсеместные подтверждения о принятии кукий, что формально, пользователь нажал на какую-то галочку и значит сделал это не автоматизированно. Сервер же работает по внешнему событию из браузера, а значит, не видит перед собой пользователя, следовательно, действует автоматически. Вообщем больше формочек, галочек, которые должны выполнить это требование.
Вы либо не туда ответили, либо не поняли мой вопрос. Автор утверждает, что даже контакты контрагентов это такие персональные данные, про которые нужно предупреждать РКН. Я в ответ привожу нормы закона, по которым это не требуется.
Вы совершенно правы по поводу этих норм. Вопрос как это реализуется технически и какие критерии проверки этого пункта существуют. Фактически два ключевых слова - автоматизация и человек (вспомнился почему-то журнал "Наука и жизнь"). То есть если за это отвечает конечный пользователь своими действиями то тогда всё в порядке. Поэтому и приведены примеры с кукиями как фактически реализацию этих пунктов, что человек сам (там не сказано о его принадлежности к оператору) своим кликом галочки управляет этими данными, включая ещё одно поле на прямое согласие по обработке персональных. Если браузер их сохраняет автоматом без формы пользователю - это автоматизация, если пользователь вводит свои данные и они автоматом без подтверждения об обработке сохраняются - тоже автоматизация. Как-то так. Законодательство в IT +- везде одинаковое, поэтому все эти клики на куки что у нас что там - прямое из того следствие.
так то сохраняет браузер конечного пользователя данные, при чем тут обработка на сайте?
Так а при чём тут куки? Речь про "сохранение" ПД контрагентов, для которого по мнению автора нужно уведомить РКН. Ну типа у меня (ИП) договор с ООО, и там ФИО директора. Так как автоматизированной обработкой тут не пахнет, то и уведомлять никого не требуется.
тут скорее подмена понятий или натягивание совы на глобус.
152фз говорит: автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
тут нет ни слова про человека. с использованием компа обрабатываешь - автоматизированная. всё.
а пункт 8 это про обработку ТОЛЬКО на бумаге. типа журнала регистрации посетителей при входе в здание
Наоборот там нет ничего про бумагу или компьютеры. И даже сказано, что факт извлечения данных из информационной системы (опять же не важно цифровой или нет) не делает обработку сразу же автоматизированной.
Вот, весь вопрос в действительно терминологии. "Непосредственное участие человека" - проставьте от 0 до 100 баллов, насколько именно участие. Обработка данных - до какого состояния, если они, например, принимаются зашифрованными, а их первичную обработку осуществляет фронтенд по желанию пользователя, с его непосредственным участием в простановке галочки. Если только на бумаге зачем тогда там "информационная система". Ну разве что под этим подразумевается картотека как в библиотеке. Как на конверте пишется индекс 123456 и сортировочная машина помогает раскидать письма. Индекс адресата - тоже персональные данные. Гипотетически ситуация решаема если персональные данные хранятся... у самого пользователя, а интерфейс создаёт иллюзию их хранения на сервере, на нём только то, что необходимо исходя из аутентификации уровня ID-пароль, конечно, очистка кеша браузера вынудит регистрироваться заново но по крайней мере для веб-пет-проектов когтеточек это более чем достаточно. Все остальные формочки, пдф-ки и прочее делает уже скрипт у юзера, тем самым сайт уже не принимает от ничего кроме того что нужно, грубо говоря, для составления "списка корзины" и идентификатора "откуда забрать". В этом случае приложение (пользователя) показывает, например, паспортные данные в пункте выдачи а аутентичность проверяется однократным хендшейком, это конечно удобство ещё то, как оплата куаром на кассе, но не попадает под ограничения. В этом случае фронтенд подтягивает весь мир, но кого сейчас удивляют странички с начальной загрузкой под 10 МБ.
А не очередной ли это шаг к суверенному и зависимому интернету? Так-то любая иностранная страничка теперь будет нарушать ещё больше требований. А там особенно бдительный депутат поднимет вопрос, а чего это наши ИП страдают, а мразь забугорная в ус не дует... И всё.
Штрафодобывающая отрасль экономики прогрессирует.
Интересно, есть ли теоретическая точка, когда даже опытный юрист не сможет вобрать в себя все нормы законодательства, включая ИИ-помощника, уже сейчас зеркало условного Консультанта или справочника 1С сотни мегабайт чистого текста (без разметки, это крайне много). Вообщем будет гонка за генерацию и анализ контента, плюс ещё отменённые акты и вновь введённые. Это целый бизнес с участием ML, преференции получит тот, кто может "оптимизировать" и минимизировать тем самым издержки. Промт веб-девелопера: "проверь алгоритмы бекенда и формы фронтенда на соответствие штрафам"
Интересно, есть ли теоретическая точка, когда даже опытный юрист не сможет вобрать в себя все нормы законодательства
На составление свода законов Российской Империи ушло почти полтора века. Первые попытки делал Петр I (который законы и начал плодить в диких количествах), получилось только у Николая I. Все это время никакого единого собрания законов просто не существовало, законы противоречили друг другу и т.д. Ситуация не один в один, но в чем-то похожая. Ладно, юрист. Обычному человеку как все эти законы соблюдать?
Как когда? Если некогда - есть бюро платных услуг, персональные консультации, предварительная запись, наши сотрудники 24/7 ответят на все вопросы, задайте его прямо сейчас и получите скидку. Вообщем на дворе уже 21й век, ИИ и всё такое. Уже как бы не до шуток в части подходов ко всему документообороту. Если задаться предметно вопросом стандартов и оптимальных решений, то сколько тогда придётся переучивать и сколько потом будут в службе занятости.
Как показывает опыт соседних стран, где кроме того еще прецедентное право (а в некоторых вся правовая система и суд в принципе на латыни), эта точка еще далеко)
Я вам как опытный юрист скажу - такая точка наступила очень давно, особенно учитывая, что вмещать надо не только законодательство, но и практику применения) именно по этой причине есть специализации.
*Штрафообразующая
Я подал уведомление в РКН с указанием трансграничной передачи ПД
Мне можно Google Analytics?
Вопрос, на который нет ответа!
С какого возраста субъект ПДн может подписывать "Согласие на обработку ПДн" самостоятельно?
Если с совершеннолетия (хотя таких упоминаний нет нигде) - то сбор ПДн становится ещё интереснее! Как узнать возраст посетителя сайта?
И чуть в сторону. Как горячо любимый MAX работает с ПДн? В магазине приложений стоит плашка 12+. Получается, что 12-летний ребёнок может самостоятельно (на сбор биометрии - только личное разрешение) подписать согласие? Хотя есть письмо от РКН, в котором разъясняется (правда по СКУД), что детские (теоретически до 18 лет) фотографии нельзя использовать.
Если админ паблика в ВК провёл розыгрыш призов среди подписчиков, которые, например, подписаны дольше 10 лет,
админ является оператором ПД (так как именно он совершил обработку ПД)?
Если админ паблика в ВК написал пост, в котором потегал подписчиков, писавших в паблике посты по схожей теме,
админ является оператором ПД? Совершил ли именно он (а не ВК) обработку ПД?
Если админ паблика в ВК ничего не делает, кроме как смотрит глазами на список подписчиков, он оператор ПД?
На сайте используется Яндекс-метрика. В сплывашке есть уведомление о том, что сайт собирает кукизы и использует Яндекс-метрику. Нужно ли выносить Яндекс-метрику в отдельную всплывашку или нет, ведь в теории человек может не согласиться с тем, что бы его данные передавались в Яндекс?
Да при таких трактовках сам по себе показ плашки о куках уже будет нарушением, т.к. без куки вы согласие не сможете получить. Т.е. вы еще ДО согласия уже использовали куку и ip.
Так что единственный вариант избавиться от всего этого нонсенса - это не считать сами по себе куки, ip и подобное перс. данными... до тех пор пока они не начнут использоваться для обработки настоящих персональных данных.
тут вообще непонятная ситуация.. надо блокировать исполнение всего до принятия условий использования... вот на хабре есть эта всплывашка... но метрика УЖЕ отработала.. и если откажется чел что делать?
Самое печальное во всей этой канители, что мир наступит, а все эти изменения, включая выросшие до небес налоги, сборы, штрафы. Адские цены на все, начиная от тб и заканчивая недвижимостью. Все репрессивные законы и практики. Все это останется с нами надолго, никто не будет проворачивать фарш обратно.
Да даже если «новые элиты» вдруг у руля будут - от достаточно эффективного инструмента набивания карманов себе и корешам только дурак добровольно откажется.
Все это останется с нами надолго, никто не будет проворачивать фарш обратно.
смотря что будет дальше, прошлый раз репрессивные законы и практики довольно оперативно отменили
Какой ерундой они занимаются. Им делать нечего - лишь бы придумать что что ли.
А потом удивляются почему бизнес уезжают делать в другой стране.
Почему не рожают. Почему квартиры не покупают. Почему работать не хотят.
Потому что с такими законами абсолютно невозможно ничего делать. Интереса нет, выгоришь пока разберешься. Максимальные сложности народу создают. Вымрет население - даже тогда не осознают что натворили.
Что за абсурд вообще с персональными данными, это клиент должен решать хочет он их оставлять или нет, у него есть выбор, можно не регистрироваться. Человек должен это осознавать, почему все то должны страдать из-за странных законов. Остальное даже комментировать не хочется.
То что люди это обычные животные это понятно, но с какой стати именно у нас в стране и еще так же именно в странах 3-го выбирают деструктивную модель поведения, абсурдные ограничение и гиперконтроль. Тюрьма какая-то.
Девушка, а можно ваш телефончик? Только галочку вот тут поставьте, что согласны на сбор персональных данных.
Вобщем, если посмотреть на все эти приседания с глобального ракурса, то самым лучшим интернетом с точки зрения РКН будет интернет 2000го:
Где куки толком не работают, поэтому во всех адресах тащится sessionId.
Где форм обратной связи нет, а вместо них просто адрес почты организации: пишите письма самостоятельно, ну и почтовая программа у вас должна быть настроена самостоятельно! А что вы хотели? Интернет - он для гиков, а не для домохозяек!
Где никакой автоматизации не завезли, а поэтому и собирать ничего в отдельные поля не нужно.
Где никакого веб 2.0 не случилось, а поэтому user generated content просто не существует и поэтому дополнительные персональные данные или премодерация - просто не нужны.
Где блогеров 10к+ в нем просто не существует.
Где современных мессенджеров нет, только аська с общением один-на-один и без шифрования, plain text.
Хм. А если я не соглашаюсь с видеофиксацией моей поездки в метро (плюс фиксация связи моего платёжного инструмента со временем прохода через конкретный турникет)? Я понимаю, что могу не ехать, но всё же еду, потому что очень надо. И получается, в момент совершения оплаты на турникете я как бы отправляю форму с предустановленной галкой согласия на обработку персданных. РКН, фас!
1) Если я разрабатываю телеграм-бота который консультирует клиента на начальном этапе и просит телефон для связи чтобы уже человек связался и закрыл сделку, то мне нужно кнопку о согласии приделать, чтобы у заказчика проблем не было? (Кстати, если я в логи пишу протокол переписки с id телеграм-пользователя, это тоже хранение персданных?
2) Факт нажатия галочки/кнопочки ни где хранить не нужно, это просто необходимое условие для запроса персданных?
Хочется обратно в тот интернет, в которое госво не умело... Возможно ли будщее в приватных сетях?
Проще размещаться за приватной сеткой, оставив в Интернете только РКН и госсайты. Откатываемся в локалки.
Всплывающее окно о том, что сайт использует куки
А прописан ли в законе срок действия таких cookies? А то задолбался уже по нескольку раз в день нажимать кнопку OK, например, на сайте Купера.
Сообщал им об этом дважды: 01.04.2024 на сайте через кнопку внизу слева "Оставить отзыв", и 09.05.2024 в оценке заказа. Прошло 1,5 года, так и не исправили.
Купер, как прокомментируете?
А использование гугл-аналитики, к слову, по нынешним меркам — трансграничная передача персданных в недружественную страну. Если еще не отключали — отключите.
А можете привести ссылку на закон или ответ от РКН, где это прописано? Просто впервые слышу о таком.
В связи с этим праздником мне вот что любопытно: является ли ведение перечня контактов (телефонной книги) в собственном телефоне "сбором и управлением персональными данными"? Ну то есть тупо позвонил тебе человек по работе, представился, ты следом вбиваешь в "Контакты" его имя/фамилия и место работы, чтобы в следующий раз не гадать - это мошенники или по делу?
Или подписи к рабочим письмам - с ними что делать? Прикреплять ниже простыню текста, что получено согласие на использование ПД сотрудника в рабочих целях? Ссылаться на пункт Трудового договора об этом? Дополнять этот самый договор этим самым пунктом?
До какого уровня мышей докапываться теперь нужно?
О, кстати! Контакты в телефоне хранятся на серверах эпла или гугла. Налицо трансграничная передача ПД.
Гугл-шрифты еще под запретом должны оказаться по той же логике...
Шрифты персональными данными пока ещё не являются.
Они однозначно идентифицируют их разработчика... так что при определённой трактовке таки являются.
Ну если куки считать персональными данными, то по этой логике и загружаемые по CDN скрипты, включая гугл-шрифты, можно считать перс. данными. Ведь эти загрузки также как и счетчики позволяют отслеживать действия посетителей.
Про необходимость подать уведомление в случае если какие-то данные сотрудников внесены в условную 1С-кадры упомянали?
А потом всему бизнесу скажут накопленные данные сдать государству. Особенно пары "емейл - IP".
Я с полгода назад наткнулся на официальную поддержку сфр по до и СПб в телеграм. Сейчас на сайте не найти ссылку, но он существует и найти можно. Так там прям очень соблюдают требования ркн, дохрена участников и все все видят, сами же страхователи тоже не стесняются перс данные вываливать
Если мой сайт передаёт ПД через API в облачную CRM, то, технически, я не собираю и не обрабатываю данные, это на "их" сервере хранится? В таком случае мой сайт как "прокладка", почему я должен нести ответственность за данные? Или я не прав?
Специально зарегистрировался чтобы высказаться.
Я недавно снёс свой проект, который собирал ПД и отображал их в силу необходимости. Когда я начал с помощью ИИ углубляться в закон, писать для сайта все эти "Политики обработки ПД" и пр., то потратив на это несколько дней решил, что в текущих реалиях оно мне ***** не нужно.
Тут люди в комментариях спрашивают массу вопросов стиле "является ли емейл ПД" и пр. Так вот, там нормально разобраться в законе - чёрт ноги поломает.
Наилучшее решение - законсервировать проекты (а лучше и себя) и ждать до лучших времен. Надеюсь, вы понимаете о чем я.
Самое интересное во всем этом то, что мало того, что непонятно, что такое персональные данные в части кука, мыло и т. д., но невозможно ни с какой долей вероятности определить, является ли то, что написал некий пользователь в Вашей форме, абсолютной правдой. Я понимаю, когда я прихожу в банк, подписываю заявление, даю паспорт и т. д. В таком случае мои ПДн 100% верифицированы, но то, что бот насыпет мне на странице обратной связи, это, конечно, мало напоминает верифицированные ПДн, а тем более, что за этими данными стоит какой-то конкретный человек. Не зря все-таки придумали процедуру KYC.
Началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону