Комментарии 64
ааааа, так вот оно зачем...
а чтобы отследить, надо будет плагинчик скачать, видимо
Т.е. почти все компании с сотрудниками будут обязаны использовать отечественное ПО?
Да, так как любой работадатель по ТК - оператор ПД
Любой владелец сайта, который собирает куки - уже оператор ПД.
ИП без сотрудников то же, если работает не только с юрлицами (да и там можно докопаться - в договорах по любому будут эти самые данные).
Лучше представьте перечень этого ПО. Начиная от ОС и заканчивая... да вобще не заканчивая😁
Не почти все, а все и без сотрудников тоже, там есть учредители.
Какой изящный выстрел в ногу экономики (будто предыдущих мало)
У нас есть отечественные СУБД? Поиском находятся только на базе Postgres, а Беркли вроде как еще не российский.
Во всей этой кутерьме есть только один плюс: возможно кто-то наконец поймёт, что не нужно в принципе собирать никакие данные. Например, ещё 10 лет назад накопительные дисконтные программы отлично работали с безымянными дисконтными картами. Сейчас же, чтобы получить 3 копейки скидки с тебя спросят телефон, емэйл, ФИО, адрес и дату рождения - это только минимум.
И в целом всё идёт к тому, что полный отказ от сбора данных - единственный способ обезопасить себя от претензий со стороны контролирующих органов. Вот например, какая-то компания получила добро от всех инстанций, аттестовалась вдоль и поперёк, поставила российский софт. А потом у оператора данных в мониторе находят китайский контроллер с китайской прошивкой, и поскольку через монитор показываются все данные, получи в плечи 10 лет конфискации и расстрел имущества.
Да, было время. Купишь что-либо где-либо и тебе просто так, без всяких анкет и телефонов, дают дисконтную карту. Но такое прокатит только если покупатель приходит ножками в настоящий магазин, а если это интернет-магазин и доставка, то тут уже без персональных данных ничего не получится (как минимум, телефон и адрес доставки придется у покупателя спросить).
Адрес да, а телефон зачем? Но вопрос поднят правильный: избыточный сбор данных неполезен для самой компании. Не нужно собирать данные «просто, чтобы было».
Здрасьте, а чо вы мне товар не привезли?
Мы вам привозили, вас не нашли и уехали, телефон-то мы ваш не знаем.
Ну привозите снова.
Да ща, вот вам деньги, в другом месте закажите.
Выше замкнутый повторяющийся цикл.
Ну или вот ещё один:
Я кару потерял со скидкой 10%, восстановить можно?
Нет, паспортные данные мы не записываем, а Ивановых И.И. у нас 15 человек, а телефон ваш у нас не значится, можете заново накопить на 10% карту, вам нужно купить на 350 тысяч рублей и мы дадим вам карту.
Это всё можно прописать в пользовательском соглашении и если он не хочет давать свой телефон, можно за это дополнительную плату просить за повторные доставки и т.д. В конце концов, есть опция "оставить товар под дверью", написать по email, стукнуться в мессенджер по ID и т.д. Вариантов много, но всех загоняют в стойло. Да, человек, не предоставивший данные, в чём-то больше рискует, но в чём-то и меньше. И всегда лучше, чтобы выбор был, чем если его нет.
Адрес доставки тоже можно по ID указывать из службы доставки, необязательно именно продавцу его знать. И т.д. и т.п.
Так email и ник из мессенджера тоже являются ПД, а их если собирать - то проще тогда сразу телефон и собирать. По нему меньше вероятность игнора по причине "не видел" или "интернет выключен был".
Это от пользователя зависит. Я на сообщения в мессенджерах / email быстрее и охотнее реагирую, чем на звонки. Плюс я могу не хотеть давать свой телефонный номер или заводить второй для этих целей, а завести дополнительный email или ник в мессенджере — легко. Но нас всех подвязывают именно на номера телефонов, а их на паспортные данные.
Не только у нас) я тут недавно обнаружил, что даже Гугл аккаунт новый без номера телефона хрен создашь. По крайней мере через стандартную форму регистрации. А это, между прочим, практически обязательный акк на андроид смартфоне, без которого часть важных функций не будет работать. Но да, согласен, обязательность указать номер телефона иногда бесит.
Второй случай можно реализовать без хранения пд у себя – например, анонимизированной привязкой к госуслугам. Грубо говоря, госуслуги выдают токен для данного сервиса, по которому нельзя получить никаких данных – лишь проверить, что входит тот же человек. (не знаю, можно ли на гу сейчас выставить такой набор пермишнов для сервиса или имя юзера сервису всегда доступно, но реализовать можно).
Как вариант, чтобы доставку делал какой-нибудь Яндекс, юзер заполнял данные на странице яндекса, например в iframe, а Яндекс их не показывает продавцу. Но тут уже очень чётко прослеживается, что всё это будет во вред мелкому бизнесу и на пользу крупному.
И в целом всё идёт к тому, что полный отказ от сбора данных - единственный способ обезопасить себя от претензий со стороны контролирующих органов.
Для этого нужно быть физлицом (не ИП/ООО и пр.). Причём если на физлицо можно сайт зарегистрировать, то это должен быть сайт без метрики вообще (а без неё он будет на 5-15 странице выдачи)
В целом всё скорее идёт к тому, что люди будут типа юнитов в игре, возможно даже номер на будет обязательный на одеже и принудительный трекер, шаг влево/вправо - минус рейтинг. Разумеется это всё для правопорядка.
Вы не можете не собирать данные. По меньше мере данные учредителей и сотрудников вы в любом случае по закону собираете. Способ увереутся один, не использовать компьютеры/смартфоны/планшеты, в работе совсем.
Данные сотрудников и учредителей можно записать в таком случае на бумажку. В виду складывающейся ситуации это выглядит самым простым рабочим решением.
Всевозможные отчёты по сотрудникам тоже в рукописном варианте сдавать? )
Есть организации без сотрудников, там я ещё допускаю, что можно как-то схимичить.
Вам тогда весь документооборот с банками, государством и контрагентами придется вернуть в исключительно бумажный вид с использованием печатных машинок или рукописных документов, с поездками в банк для проведения платежей и передачи всей отчетности по почте или личным визитом. Работа с контрагентами в таком варианте вообще затруднительна или невозможна, никто с вами работать не станет, если вы договор не можете отправить по электронной почте для согласования, а можете только лично привезти напечатанный, потом получить рукописные правки, тоже лично, и дальше его опять набрать.
Что, уже все объекты КИИ до 01.01.25 перевели на отечественный софт? Ага, конечно, верим.
Учитывая, что операторами персональных данных, по сути, являются в принципе ВСЕ (от блогеров до автоваза), то получаем картину, в которой прекрасно все: 1) ВСЕ должны перейти на отечественные (импортозамещенные) программы и ниип...не волнует, 2) если кто-то не перешёл (даже просто потому что "аналоговнет" среди импортозамещения), то его можно просто прижать в любой нужный момент (допустим, если нужному человеку надо ребёнка на хорошее место пристроить, директором фирмы там, или ещё кем).
SQLite вроде как public domain, т.е. ничья, можно?
Если я записал, в свой личный смартфон, ФИО и номер телефона другого человека, то являюсь ли я оператором ПД?
Вообще-то да 🤣
У меня ровно такой же вопрос возник! Потратил некоторое время на изучение всего текста 152-ФЗ, поскольку видимо это новая реальность... В Ст.1 п.2.1 ответ содержится: "...не распространяется на отношения, возникающие при: обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных". Т.е. в целом ответ есть, но на мой взгляд неоднозначный.
Получается записав ФИО и номер сантехника вы не попадает под закон пока вы используете сантехника в личных целях, например вызывая его в личную квартиру. Но стоит его вызвать к вам в офис/предприятие - вы мгновенно выходите из категории "личные/семейные нужды" и становитесь оператором ПД.
Цирк да и только
А потом я разрешил доступ к контактам какому-нибудь приложению и всё... Вот тебе и передача ПД, и вовсе не для личных нужд...
А есть у кого-то опыт миграции на СУБД из Реестра российского ПО? Интересно узнать про такие кейсы
Насколько я понял, единственный способ обеспечить пользователю возможность восстановления доступа ("забыл пароль"), который не будет использовать ничего, из того ,что хотя бы теоретически может трактоваться как "персональные данные" - это использование персональных кодов, токенов и т.п., которые будут генерироваться и показываться пользователю 1 раз после успешной регистрации (username/password).
Также, возможна генерация нового кода по запросу с существующим кодом.
Контакты: мыло админа, форма с указанием имени юзверя и того самого кода/токена.
Ещё есть вариант - древняя система "ответ на вопрос".
Все это, конечно же, люто неудобно для конечного пользователя, по сравнению с классикой "восстановление по email".
Это, по сути, "любимая" клиентами банков система "назовите кодовое слово", но без доп. ифнормации.
Но такая система, по идее, исключает даже теоретические претензии РКН.
Там, правда, остаётся вопрос с куками (техническими - тот же юзернейм и айди). Если c убогой евросистемой всё более или менее понятно (даже предупреждать не нужно про технические куки), то в РФ на эту тему, пока, непонятно практически всё.
И да, это будет работать в тех случаях, когда нет блогов, форумов, комментариев и т.п., т.е. тогда, когда нет обязанности идентифицировать полльзователя.
Можно заюзать аутентификацию через какую-нибудь третью контору, тем самым переложить ответственность на неё. Кажется, у Я что-то было на эту тему, но я не вникал.
Я свои веб поделки только для себя делаю - мне пофиг, т.к. я могу вообще отказаться от формочек регистрации и логина, и тупо создавать пароль пхпшным скриптом, вызываемым из консоли.
Вся эта фигня с аккаунтами мне нужна только для того, чтобы в базе сохранять что-то под специфичным юзером. Иногда мне нужно больше одного "набора данных", скажем так. Удобство здесь значения не имеет.
Я вообще могу без классической регистрации обойтись, тупо захаркодив пару юзеров в базу, а то и вообще в файлах (не база sqlite, а просто пхпшный файл с массивом).
Но для публичных сайтов такое вряд ли подойдет.
Про судебную практику. Можно, например, вот так поискать: "РКН Верховный Суд email site:garant.ru"
Да, мнение отдельного ведомства не всегда поддерживается судами.
Нет, это не может остановит РКН от предъявления претензий.
Операторов персональных данных обяжут использовать только российское ПО