Comments 73
А обыватели по-прежнему твердят друг-другу: "да кому там нужны твои персональные данные..."
Всё потому, что они (усилиями сборщиков данных разумеется!) не в курсе масштабов проблемы. Даже я (хорошо с ней знакомый) зашел на сайт tosdr.org, указанный в статье автора, и, увидев "Фейсбук собирает ваши данные, независимо от того - зарегистрированы вы или нет", такой - оппаньки... И напрягся.
А вы говорите "обыватели". Тут в первую очередь просветительской работы непочатый край.
>> Тут в первую очередь просветительской работы непочатый край.
Это верно. Только проблема не в том, что среднестатистический обыватель чего-то не знает. А в том, что и знать ничего не желает и всегда отдает предпочтение неосознанности и комфорту.
Если уточнить, то это одно из проявлений ситуации, когда изначальная наивность сталкивается с неожиданной реальностью, что вызывает ощущение преданного доверия и желание за это отомстить/наказать/запретить. Подобная цепочка - одна из основных причин поддержки обывателями разных форм тоталитаризма, потому что именно к нему ведёт стремление всё подряд запретить, зарегулировать, подвергнуть гос.контролю.
Был законопроект со штрафами за обуславливание заключения договоров предоставлением ПД, но он пока далеко не продвинулся.
По-хорошему, нужна возможность индивидуальных условий договоров и системы отслеживания услуг, связанных с договором. Это сейчас не массовые решения, довольно дорогие для бизнеса. Основной массе бизнеса и клиентам это не нужно. Пока госорганы принуждать к этому не будут – никто заниматься не будет. Госорганы сейчас заняты другими делами.
Вспомните ежедневный квест по отключению всех тракеров, включая "legitimate interest", на почти каждом посещаемом вебсайте – это примерно одного поля ягоды.
Наш закон защищает сами данные, а не права людей к которым они относяться. В этом я считаю и есть проблема
Он защищает не данные, а возможность доступа к ним для тов.майора. Именно поэтому:
До сих пор точно не определено какой именно набор данных считается "персональными" и подпадает под закон. Из-за чего "на всякий случай" любой набор данных выходящий за рамки тривиального "username + пароль + предпочитаемая цветовая тема на сайте" безопаснее считать "персональными".
Компании активно принуждают хранить данные внутри страны…
...но при этом никого не волнует наличие копий этих данных ещё и вне страны.
Практически никого не наказывают за утечки, да и не особо даже их расследуют.
Иными словами, пока все данные пользователей, представляющие потенциальный интерес для властей, находятся в лёгком доступе внутри страны - всё ок, и больше ничего предпринимать необходимости нет.
А тема "защиты ПД", под соусом которой это подаётся населению - это та же "защита детей", под соусом которой ограничивают права взрослых.
- Оформления самозанятости онлайн (необходимость идти в налоговую пешком)
Хм, а оформить самозанятость онлайн напрямую в ФНС, а не через бессмысленного посредника в лице банка?
lknpd.nalog.ru
Нужен только акк на госуслугах. Даже приложение ставить не нужно, всё через браузер.
Да, но тогда нужно сканировать чеки и договора, загружать в ФНС, ждать прохождения камеральной проверки, потом получить отказ, исправлять запятые, опять ждать камеральной проверки...
А если вы поставите галочку в нужном месте, то банк откроет для вас специальный виртуальный счет, на который можно будет принимать платежи. И сам автоматически будет оплачивать за вас налоги с полученной суммы.
Пока подписание пользовательского соглашения не несет последствий описанных в фильме "Окей, Лекси!" думаю мало кто задумается об том чтоб его читать...
Я юрист с десятилетним стажем, и то не всегда сразу понимаю.
Я юрист с десятилетним стажем, и то не всегда сразу понимаю.
В какой отрасли права?
Регистрация юридических лиц, судебное представительство (арбитраж).
Регистрация юридических лиц, судебное представительство (арбитраж).
Гражданское право. По идее — проблем быть не должно.
Можно чуть подробнее — с чем именно возникают сложности (в работе с пользовательскими соглашениями)?
(Меня реально интересуют подобные проблемы, именно по этой причине и спрашиваю)
Коротко - с формулировками. Если специализированные юридические термины нагуглить и понять может любой, то конские (на полстраницы или больше) сложносочиненные предложения иногда бывает сложно понять в контексте документа на несколько десятков страниц. При том никакой реальной нужды писать такие чудовищные тексты, кроме собственно желания запутать клиента, нет - при желании(это ключевой момент) любой текст соглашения можно изложить просто и доступно без ущерба для его содержания.
Для сравнения, посмотрите современные ипотечные договоры - банки были законодательно принуждены все ключевые условия писать на самых видных местах так, чтобы кому угодно все понятно было, чуть ли не в табличках на титульной странице оформляют. Это не значит, что банки перестали злоупотреблять формулировками договоров, но сейчас им делать это НАМНОГО сложнее.
Коротко — с формулировками.
Спасибо!
При том никакой реальной нужды писать такие чудовищные тексты, кроме собственно желания запутать клиента, нет -
Как я мог заметить — если речь не идет о монстрах типа Гугла или Микрософт, то очень похоже на то что тексты конечных соглашений с пользователями пишут сами разработчики, а не юристы.
Так что это скорее баг, а не фича.
Для сравнения, посмотрите современные ипотечные договоры —
Там уже запретили использовать шрифт 10 пунктов на А4 с минимальным интервалом и в одну колонку? :) А ведь этот приемчик сбивает клиента куда больше, чем ключевые условия на пятой странице.
Это не значит, что банки перестали злоупотреблять формулировками договоров, но сейчас им делать это НАМНОГО сложнее.
Дело обычно в не в языке, а в количестве текста. Я бы хотел, чтобы количество текста во всяких пользовательских соглашениях было законодательно ограничено, и без возможности ссылкаться на дополнительные документы.
Ситуация, когда пользователь не может отказаться хотя бы частично от условий передачи ПД при заключении договора онлайн (при принятии соглашений и тд) без великой на то воли самого сервиса - это недоработка законотворца.
На мой взгляд на каждую конкретную цель использования персональных данных (обработка, анализ, передача третим лицам, рассылка спама, контроль качества рассылки спама) должны быть отдельные галочки (или бумажные подписи).
И на самом деле в некоторых сферах, например, у официальных дилеров автомобилей при прохождении сервиса, такое разделение есть. И можно, хоть и со скрипом, вычеркнуть большую часть целей по маркетингу, запретить передачу данных третим лицам и установить общий срок обработки скажем в 1 день. Правда, сомневаюсь, что потом это как-то влияет на фактическую деятельность и кто-то эти данные реально удаляет.
На данный момент ситуация (по закону по крайней мере) с отдельным согласием существует только с ПД, разрешенными субъектом для распространения неопределенному кругу лиц (на каком-либо сайте, например).
Вот в кредитных договорах обычно прямо прописано коллекторское агентство, которое будет взыскивать долг, если гражданин не заплатит сам. И тем не менее данные утекают сплошь и рядом.
Думаю дело не только в законах, но еще и в том, как они соблюдаются. Есть проблемы и с формулировками в законе (в том числе и с привлечением к ответственности виновных лиц), и в правовой сознательности и осведомленности граждан.
Я не исключаю, что мои персональные данные все равно попадают(или уже попали) в руки третьим лицам менее законными способами
Пользование веб-версиями услуг вместо приложений тоже приличный слив инфы, при этом спрашивать вас не надо. Да и часть данных что попадает через веб-версии услуг уже достаточно что бы сосоставить с имеющимися данными.
Да, но это уже несанкционированный слив. В статье речь только про (не)осознанно одобренный пользователем слив.
Ну я понимаю под несанкционированным сливом - это когда указал данные там где их обещали не распространять и не сдержали или просто украли. Но когда в соглашениях прямо это расписано и пользователь согласился или сбор тех данных об устройстве во время соединения для составления фингерпринта ...
P.S.: я не упрекаю, наоборот поддерживаю, просто развиваю тему. Жаль не могу плюсануть, так что мой коммент вместо плюса)
Есть очень недооцененная штука под названием pinephone, Ubuntu touch и plasma mobile. Там все открыто, и конторам подобным незачем данные брать. Удобство, разумеется, далеко не на высшем уровне, но от честно нормально для не особо любителей соцсетей, и использующих телефон для позвонить, написать, сфотографировать вполне сгодится.
Жаль только что нет поддержки. Пользовались бы процентов 10 людей, по любому бы кде налепили открытых клиентов тиктоков и фейсбуков. Вяло все идёт.
В современном Андроиде при первом включении пользовательское соглашение километровое, даже больше виндосовского. А гугл же самый крупный продавец данных, потом уже Фейсбук и по мелочи. Просто хочется сесть и плакать, ведь никто не против, против только процент один юзеров. Может быть с веб 3.0 это уйдет в прошлое, а может быть наоборот - как сайт webarchive будущее, где надо отпечаток члена сделать чтобы пользоваться интернетом
Вообще закон оставляет возможность отзыва разрешение на обработку ПД кроме минимально необходимой, но это повлечёт дополнительные неудобства: у экосистемы сбера пропадает логин в дочерние системы (которые по подписке прайм, например сбер звук), у билайна пропадёт доступ в лк, попросит снова принять условия договора. Скорее всего много где так.
А как чисто физически осуществить такой отзыв? Написать заявление на имя компании, потом несколько лет добиваться, чтобы они на него ответили?
Спасибо за уточнение. Но у меня нет цели судиться с операторам ИТ-услуг, мне кажется лучше прийти к некоторому общественному договору(или хотя бы пониманию) о том, что хорошо, а что плохо в политиках обработки ПД.
Федеральным законом N 59 обращения в коммерческие организации на регулируются
Пример судебной практики?
Когда вы выступаете в отношения с коммерческой организации, отношения эти происходят в рамках договора. Именно этим договором и регламентируется ваши права и обязанности, в том числе на общение и взаимодействие.
С органами власти у вас договора не заключено. И вроде как обязанность их вам отвечать ничем не определена. Именно поэтому такая обязанность и предусмотрена этим законом.
Если работа коммерческой организации в какой-то определенной сфере предусматривает необходимость отвечать на ваши обращения, то эта обязанность предусмотрена законодательством, регулирующим эту сферу.
Писать заявление, в любом удобном формате. Ответ в данном случае не требуется, с момента получения заявления законодательное обязательство прекратить обрабатывать данные. Любой закументированный факт от этой компании, в нарушении, отправка заявления в прокуратуру с копией отзыва с отметкой о получении и документальное подтверждение нарушения.
Как бы то ни было, ответственность за такие нарушения - чуть ли не уголовная. Более того, при наличии отзыва на обработку и задокументрованного факта отправки рекламы - есть шанс каждое такое рекламное сообщение подвести под штраф от 200 до 500 тысяч рублей.
В приложении Сбера в меню настройки есть менюшка "Согласия и договоры"
Там можно запретить передавать ПД по экосистеме Сбера.
Для остального топать в банк.
В некоторых случаях, в том числе, подписывая разного рода договоры вычеркиваю письменный отзыв и вписываю срок договора, пару раз договор возвращали, на третий раз приняли.
Вполне смешная шутка, как бы страшно она не звучала. Впрочем, это же уже после ухода в мир иной. Следовательно, личные данные толком и интереса уже не будут предоставлять.
Обойти свежие участки, составить список недавно усопших, с помощью собранных данных найти родственников усопших, которые вполне возможно поиздержались в процессе похорон, предложить кредит.
Хотя через морг проще и информация полнее. Но нужен человек свой и деньги.
Пример с телефоном: по обычному номеру +7-999-999-99-99 дозвониться нельзя, только с добавочным номером (+7-999-999-99-99#630219). Каждому требующему персональные данные отдаем уникальный такой номер. При утечке таких данным мы точно знаем канал, кто слил наши данные. Это хорошее основание вплоть до автоматического выписывания штрафов таким компаниям.
Но, думаю, даже без штрафов это бы хорошо повлияло на рынок. Т.к. сейчас на рынке телефонного спама на вопрос «откуда у вас мой телефон» слышим «из публичных источников». Вот когда из каждого такого звонка вы гарантированно будете знать, что этот спамер пришел от сбербанка — то и желание сбера сливать серым компаниям данные поуменьшится из-за репутационных рисков.
Я думаю, что масштаб проблемы мы реально увидим, если сделаем персональные данные уникальными и отслеживаемыми
Я тоже так думал, перешёл на wildcard email'ы а-ля habr.com@username.fastmail.com, и, потирая руки, ждал как я буду отлавливать этих негодяев пачками.
За несколько лет на сливе спалился только hh.ru, и то:
я допускаю, что это я где-то сделал email публичным
спаморезка email провайдера справилась, и заботливо положила письмо в папочку "спам"
С номерами телефонов, скорее всего, будет сильно хуже, но спаморезка андроида вполне себе справляется: я даже не получаю этих звонков, только вижу их в логе, помеченные красным
Это хорошее основание вплоть до автоматического выписывания штрафов таким компаниям
Вам придётся как-то доказать, что вы не давали этот номер никому другому
тут еще и плюс в том, что можно сразу и отсечь источник спама, если использовать уникальные адреса\токены и тп
И было бы бодро, чтобы нельзя было использовать уникальное имя не тому, кому я его выдал. И он бы мог только новый токен сгенерировать на основе того, что я передал (и тут открывается возможность по редактированию прав и отсеканию, при желании пользователя, того что ему стало не нужно или начало напрягать). Пока мечты (
В «цифровой вселенной» это технологически несложно сделать. Например, выдал контакты Сбербанку, и только Сбербанк может ими пользоваться (при помощи своей цифровой подписи). Другая организация для связи с вами будет нуждаться в дополнительной выдаче контактов с вашей стороны (или же Сбербанк запросит передачу данных третьей стороне, а вы должны подтвердить).
Но что делать с реальным миром? Отказаться от физического адреса, фамилии, имени? Или иметьб уникальные адрес, фамилию, имя для каждого сервиса? Например, ребёнок в школе имеет имя, которое за пределами школы недействительно?
После покупки ОСАГО вам названивают сотни компаний-партнеров
Неправда, это было актуально 15 лет назад, в настоящее время ОСАГО убыточно. В некоторых регионах честному водителю почти нереально его оформить через онлайн, системы постоянно выдают "ошибку", перенаправляют на другие сайты-агрегаторы и т.д.
Полагаю вы пишете из регионов, знаем о такой проблеме. Но это тема для отдельной статьи, возможно затронем ее в будущем!
Как то установил себе приложение красного оператора связи(если так можно выразиться). Дал разрешение на доступ к медиа. Так с телефона сразу пошел исходящий трафик под 10Мбит. После того как написал в службу поддержки, а они быстро отреагировали, мне ответили что этот косяк исправили. Но запрос на разрешение то остался!! А доверия больше нет. Это был самый откровенный случай перед моими глазами. Берегите свои персональные данные. А моя позиция такова: что абсолютная свобода личности, от общества - это идеализм. Либо мы выстроим общество где персональные данные будут служить на благо всего общества, или нам выстроят то общество, где персональные данные будут использоваться на благо конкретных людей.
Автор!
Самая первая рекомендация начинать читать не с портянок соглашений, а с первоисточника: Закон 152-ФЗ о ПДн. Вынужден согласиться, что сложновато для понимания. Тогда поискать на хабре статью с переводом европейских разъяснений к аналогичному еврозакону. Практически все разъяснения применимы к российскому закону.
По статье очень сложно что-то говорить. Тут надо просто ее брать целиком и показывать, где прав, где неправ. А утверждений в статье тех и тех примерно 50 на 50. А если еще объяснять подробно, почему это именно так, то статья получится раза в 4 больше оригинала.
Например, в п. 1 в статье в выдержке из соглашения сотового оператора - все законно. Другое дело, что совершенно непонятно, как оно туда попало, так как к пользователю относится только малая часть. Ну кому какое дело в пользовательском соглашении, что оператор обрабатывает ПДн своих работников, с которыми у него есть трудовые отношения? Или что он обрабатывает ПДн работников своих партнеров, которые имеют доступ на сотовые вышки? Это все абсолютно законно, но просто не имеет отношения к пользователю.
А вот в "Пример пользовательского соглашения на веб-портале сотового оператора" с законностью все намного хуже. И если пользователь, получивший рекламное сообщение под прикрытием этого соглашения, достаточно юридически грамотный, то он теоретически может успеть накропать телегу в РКН, получить результат рассмотрения административного дела о незаконности обработки ПДн с вынесением предупреждения, штраф там едва ли будет, срок до 2 месяцев по КоАП. А потом он с этим результатом катает телегу в ФАС на незаконную рекламу, там уже минималка 100 тыс. Но... У меня, достаточно глубоко погруженного в тему, уйдет на все формулировки примерно 10-20 часов. Вероятность того, что я не накосячу оцениваю сейчас 50 на 50. Получу я от этого в результате НИЧЕГО материального. У нормального человека я бы оценил минимальные затраты времени 100 часов для получения вероятности наказывания 5% (вот именно в этом случае, чаще случаи намного легче, там требуется проходить только один этап, здесь вероятность сурово падает именно из-за двухэтапности процесса).
В резюме скажу, что 152-ФЗ в теории хорошо защищает ПДн. Но мало кто в нем разбирается.
PS Если будут вопросы, то ответить смогу только через сутки:).
Насколько я могу предположить, теоретически при желании можно собрать персональные данные практически кого угодно. Вопрос лишь во времени, сложности и ресурсах. Достаточно вспомнить сколько людей сейчас используют электронный больничный (все, официально работающие). Другой вопрос - насколько вы вообще кому-то нужны. Есть же множество людей, которые не соблюдают правила цифровой гигиены, типа двухфакторной авторизации, простых паролей, открытого разговора со "сбербанком" или честного заполнения анкеты на непонятном сайте.
Сомневаюсь, что кто-то будет использовать гигантские ресурсы бот сети, чтобы ломануть одного Васю Пушкина (при том, что у Васи хватит ума на хвост мошенникам сесть), когда можно этим же ресурсом сломать сотни простых юзеров.
Да, есть же утечки и т.д. - это минус, да. Чем чаще светишь свои реальные данные, тем выше вероятность их слива. Но на мой взгляд (наверняка специальные компании занимались подсчётом вероятность утечки данных) - вероятность, что утечёт нечто ценное - в пределах погрешности. Если, конечно, фотографии паспорта не грузить на все популярные файлообменники.
А то что данные передаются - об этом пишут в лицензионном соглашение и т.д. - это скорее вынужденная мера. Да, в некоторых случаях компании используют эту информацию для собственного обогащения, но это скорее паразиторование на существующей системе, чем целенаправленное выяснение скрытых тайн.
А разве когда в этом самом зеленом банке открываешь счет не нужно подписывать соглашение об обработке ПД? Или есть принципиальная разница на бумаге или электронно
В принципе, можно было бы начать с электронных дневников, как с бюджетной и подотчетной организации. Дневники, как сервисы, периодически меняются в каждой школе. На запрос об отзыве ПД из дневника, которым школа больше не пользуется, максимум вы получите удивление и многомесячные попытки найти концы. Это если вам вообще ответят.
Я не понимаю почему закон о защите персональных данных прямо не запрещает передачу этих самых данных третим лицам? Есть например Яндекс-драйв, который собирает твои данных для своих нужд, но в соглашении указано
Яндекс также может передавать Персональную информацию третьим лицам, не входящим в Группу Яндекса, для достижения целей, указанных в разделе 5 настоящей политики
То есть ты подписываешься на то, что твои данные фактически могут оказаться абсолютно у кого угодно. И как этот закон защищает мои данные если одной строкой в соглашении их можно распространить среди неопределенного круга лиц?
Если в законе будет запрет на передачу ПД третьим лицам, тогда остаются два варианта. Либо фирмы начнут изо всех сил проталкивать отмену этого запрета. Либо фирмы начнут тихонько нарушать этот запрет. Потому что выполнять его — слишком дорого.
Нас в учебке один полковник учил, что у нас должны храниться подписанные каждым солдатом бумаги о том, что солдат был предупрежден о необходимости соблюдения пожарной безопасности, об опасности прыжков из окна и т.п. Т.е. нужно описать все возможные угрозы и рядом с каждой получить автограф.
Это я к чему веду: в данной статье не учтен момент, когда данные собираются и хранятся с целью защиты неочевидных интересов, например, с целями:
обезопасить пользователей от нарушителей, любящих пересоздавать аккаунты (особенно на сервисах фриланса и сервисах знакомств);
обезопасить сервис от претензий пользователей, которые везде пихают свои данные, а потом забывают, что это делали;
помочь пользователю воостановить доступ к аккаунту, если он забудет email на который его регистрировал, или утратит к нему доступ (достаточнопопулярный кейс).
Персональные данные — почему они всем так нужны (кроме нас)