5.5. Компания имеет право ограничить или заблокировать доступ Пользователя к приложениям, разработанным для других Заказчиков.
Они термин «Заказчиков» не раскрывают в Терминах и Определениях, хоть и пишут его с заглавной. По всей видимости их юрист не доработал и не заменил из какого-то шаблона слово Закзачик на слово Пользователь. При этом ломается смысл если так заменить. Думаю не следует, что это конкуренты имелись ввиду. Аналогично в п. 7.5.
Из качества ПС полагаю они экономили на юристах, из ситуации по ПДн полагаю не уважают пользователей, вероятно и к потребителям в кафе также относятся. Кто уверен после этого, что они вкладываются в качество еды?
Признаки нарушения п. 2. ст. 5 152-ФЗ «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.»
Роскомнадзор написал все правильно, и в то же время телефонный номер для целей авторизации — это персональные данные.
Если вы обзваниваете по списку номеров (диапазону номеров), обработки ПДн нет. Возможно этот список не случайно у кого-то, но это другая история. на которую нужны доказательства. А вот когда для целей авторизации/регистрации — это уже Пдн, так как служат для целей сопоставления/определения конкретного лица. К телефонному номеру привязывается большой пласт информации по этому лицу.
Помимо самого факта того, что используется номер важна цель использования. В этом контексте противоречий с РКН нет. Судебная практика это подтверждает.
eXoToL Интересную тему подняли. Может получится ситуация, когда будут проверены 5-10 приложений и все у них более менее хорошо. Получается народные деньги неэффективно будут потрачены. Тут можно волонтеров привлечь. Есть же люди, которые хотят попрактиковаться, например, как создатель этой всей истории, а Роскомсвобода могла бы анализировать уже детально, там где волонтеры найдут признаки.
Не обязательно по идентификаторам нужно достичь цели: определить 100% конечное физлицо, что бы эти идентификаторы являлись персональными данными. Значение имеет то, для чего этот номер, должна учитываться цель использования телефонного номера. В данном случае номер используется для авторизации/регистрации именно с целью отличать одно лицо от другого, значит относятся к определяемому или определенному лицу. Если бы мы говорили о диапазонах номеров, выделенных Россвязью оператору связи в каком-то регионе, эти номера не Пдн. В контексте БК — это Пдн, и им действительно не помешала бы консультация «не карманного» юриста. Или даже специалиста по Privacy (не путать с Security).
Нормальные конторы, тем более из топа Хабра, должны делать софт основываясь изначально на принципах Privacy by Disign. Да, этот принцип обязателен только недавно стал по GDPR (не 152-ФЗ), но это тренд и если у них есть Европейские клиенты, на это уже должны быть заточены люди. В ЕС теперь уже просто Софт с обработкой ПДн заказчику не сдашь, он до 20 млн. евро штрафа не захочет, даже намека.
Видать у топовой компании с Хабра нет Европейских клиентов, только Российские, а в России многое играют связи.
Почему так, можно посмотреть в этом комментарии. Дополнительно про "transparent manner". Прямой перевод не отражает вложенной сущности, к сожалению. В 152-ФЗ такой аналогичный термин не добавили. Автор имел полное право употребить Транспорентность. В ЕС Privacy это наука и там много понятий, которые Вы еще не знаете, перевод еще больше введет в заблуждение, у нас Privacy это только «какой-то» закон немного о нем говорящий.
Еще нечеткость правоприменения, разные теруправления ркн разную позицию выдают. В европе Privacy это уже наука, новая специальность DPO предусмотрена, а у нас "какой-то" закон и в РКН на местах занимаются люди без фундаментальных знаний по Privacy.
Отличное замечание Sububu. Если кто то берет те данные, которые не нужны фактически для целей договора или меняет цели обработки потом, бери согласие, обоснуй или откажись. Это мировой тренд.
Сейчас много привлечений по пдн за указание адреса электронной почты. Что уж говорить о номере мобильного телефона. К тому же нужно иметь ввиду, что номер служит для идентификации и сопоставления с определенным лицом. Т. е. Является ли номер телефона ПДн, зависит еще от цели. Вот в GDPR все четко расписано.
Они термин «Заказчиков» не раскрывают в Терминах и Определениях, хоть и пишут его с заглавной. По всей видимости их юрист не доработал и не заменил из какого-то шаблона слово Закзачик на слово Пользователь. При этом ломается смысл если так заменить. Думаю не следует, что это конкуренты имелись ввиду. Аналогично в п. 7.5.
Из качества ПС полагаю они экономили на юристах, из ситуации по ПДн полагаю не уважают пользователей, вероятно и к потребителям в кафе также относятся. Кто уверен после этого, что они вкладываются в качество еды?
Если вы обзваниваете по списку номеров (диапазону номеров), обработки ПДн нет. Возможно этот список не случайно у кого-то, но это другая история. на которую нужны доказательства. А вот когда для целей авторизации/регистрации — это уже Пдн, так как служат для целей сопоставления/определения конкретного лица. К телефонному номеру привязывается большой пласт информации по этому лицу.
Помимо самого факта того, что используется номер важна цель использования. В этом контексте противоречий с РКН нет. Судебная практика это подтверждает.
Видать у топовой компании с Хабра нет Европейских клиентов, только Российские, а в России многое играют связи.
Поведение РКН в этой истории тоже интересно посмотреть.
Можно взять 2 аналогичных сервиса в РФ и Европе, разница будет сразу же и большая.
Еще нечеткость правоприменения, разные теруправления ркн разную позицию выдают. В европе Privacy это уже наука, новая специальность DPO предусмотрена, а у нас "какой-то" закон и в РКН на местах занимаются люди без фундаментальных знаний по Privacy.
Действительно, пишите здесь.
Отличное замечание Sububu. Если кто то берет те данные, которые не нужны фактически для целей договора или меняет цели обработки потом, бери согласие, обоснуй или откажись. Это мировой тренд.
Сейчас много привлечений по пдн за указание адреса электронной почты. Что уж говорить о номере мобильного телефона. К тому же нужно иметь ввиду, что номер служит для идентификации и сопоставления с определенным лицом. Т. е. Является ли номер телефона ПДн, зависит еще от цели. Вот в GDPR все четко расписано.