Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Топ-менеджмент доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 311
Не пойму. Если я работаю как ИП с 2008 года, есть сайты, но там нет форм обратной связи, только ссылка на ТГ профиль мой. CRM есть, договора заключаю. Т.е. если я сейчас подам заявление о том, что я обрабатываю персданные в РКН, то мне грозит штраф 100 т.р. и это уже не обратимо?
РКН не проверяет историзм сайта, совсем никак. То есть главное, чтобы на момент проверки у вас все было в порядке и уведомление было. А там сколько времени ваш сайт работал до отправки уведомления, они не проверяют. Пока что не проверяют, по крайней мере)
Так а разница если локалка будет уже сто процентов?
Ну это ни в какие ворота уже не лезет... Не проверяют! ПОЧЕМУ? Ведь надо проверять -это же на порядок противнее и главное “правильнее”! Года с 1995-96 норм было бы.
Хотя...Не. Лучше эту пакость в загашнике держать. Чтобы знали, что МОГУТ применить В ЛЮБОЙ МОМЕНТ. Во! Истинный шик... :(( Главное периодически намекать об этом в СМИ (волнами так, волнами), чтобы невроз не проходил у пользователей.
вот на таких ресурсах проверялках реально получить годное? www.rkn-ok.ru
Обратитесь к квалифицированному юристу, — мой Вам совет.
а если на сайте юзер не дал согласие (не включил галку), то что? не показывать сайт, отключать метрики? что про это говорит ркн?
Пока что главное, чтобы без нажатия этой галки пользовательские данные юзера дальше не улетали и не обрабатывались.
Пока что главное, чтобы без нажатия этой галки пользовательские данные юзера дальше не улетали и не обрабатывались.
Вопрос был по позиции РКН. Вы в своём ответе приводите позицию РКН? Или свою вольную трактовку того, как РКН, на Ваш взгляд, должен к этому относиться?
У нас есть позиция РКН о том, что если пользователь не проставляет галочку под каждым документом, то у него не должно быть возможность оставить заявку, а у владельца сайта обрабатывать его персданные. Эта позиция выражается в предписаниях, которые я приводил в статье.
Но таки у большинства метрики установлены так, что они собирают данные при заходе на сайт, до всяких форм. Я так понимаю, вопрос был об этом.
В конструкторе Tilda есть блок cookie T972 - если юзер не нажал "согласен", то метрика не загружается.
Когда делал cookie-баннер для своего проекта смотрел на множество конкурентов, в том числе на большие конторы, типа банков, интернет-магазинов - у большинства все метрики грузятся сразу, баннер в режиме "мы уже собираем, если не нравится - уходи с сайта" или баннер есть с "согласен, настроить cookie", но метрики работают с первой секунды. Но видимо это кого надо компании, до них проверка не дойдет или нарушений не выявит.
Само по себе фиксация согласия/несогласия - это уже обработка ПД в такой широкой трактовке, т.е. уже нарушение.
Разве? Фиксация несогласия -- это кука в браузере пользователя. От него не принимаем никакие ПД. И мы не знаем, кто это такой несогласный. Просто еще один аноним.
Это при разумной трактовке так. Но если принять распространенную трактовку, что куки (сами по себе) - это ПД, то логически мы приходим к абсурду. Я как раз и подвожу к тому, что такие широкие трактовки приводят к абсурдным логическим выводам, что говорит о некорректности трактовок.
Несколько раз сталкивался с тем, что банки шлют СМС с деталями транзакций соверешенно другим людям. Если в этот банк позвонит человек и скажет, что ему приходят чужие СМС с персональными данными, то банк потребует придти к ним в офис и написать заявление о прекращении рассылки на его номер. Для того, чтобы написать заявление, нужно показать паспорт и вписать его в заявление, а раз так, то еще и подписать согласие не обработку персональных данных...
В подобных конторах сидят люди, которые ничего полезного в жизни делать не умеют. Вот они и придумывают, что надо куку положить. Ходят, проверяют. Потом, чтобы имитировать бурную деятельность, придумывают галочку, опять ходят, проверяют. Затем придумывают, что галочку надо вносить в базу данных, а для этого нужно еще одно согласие... Зато какие отчеты потом рисуют...
И мы не знаем, кто это такой несогласный. Просто еще один аноним
...с browserID a84ef0cdddc93562ba3f96!
Вопрос был по позиции РКН.
РКН-у абсолютно безразлично будет показан сайт или нет, получит ли деньги его владелец за показ рекламы, и получит ли посетитель нужную ему информацию. Его не интересуют ни цели владельца сайта, ни цели посетителей. Он на уровень смыслов не опускается. Только чистая бюрократия по процедурам обработки персональных данных.
так вот и получается, что тогда требуется доработка сайта (иногда нехилая), чтобы он загружал Метрику и вообще ЛЮБЫЕ куки только ПОСЛЕ того, как юзер поставит галку.
а это рушит ВСЮ статистику, т.к. юзер может и не ставить галку, но продолжать "читать" сайт. ЛИБО надо полностью закрывать доступ к сайту, пока юзер не поставит галку.
но все прекрасно понимают, что эти "требования" не про логику, удобство, заботу и безопасность, а про ГАЛОЧКУ и возможность для органов трактовать закон под обстоятельства (как мне кажется)
Так некоторые сайты не дают себя смотреть пока куки не подтвердишь.
Это требование GDPR, кажется. Ну вот и у нас аналогичные требования появились, в чём проблема привести сайт в соответствие?
Требования нормальные, может реализация и не лучшая, это да.
С чего Вы взяли, что я хочу участвовать в Вашей статистике? Зачем мне Яндекс будет рекламировать Ваш товар, если я просто зашёл не в ту дверь случайно на сайт? Только потому, что Яндекс Метрика меня спалила?
а это рушит ВСЮ статистику, т.к. юзер может и не ставить галку, но продолжать “читать” сайт. ЛИБО надо полностью закрывать доступ к сайту, пока юзер не поставит галку.
Это уже владельцу сайта решать, какая стратегия ему выгоднее - показывать полезный контент всем посетителям, иногда отключая метрики, или показывать полезный контент только тем посетителям которые соглашаются на сбор данных и показ рекламы. Та же самая история что и с блокировщиками рекламы, когда сайты требуют отключить блокировщики. Ничего принципиально нового.
Когда с дурпаловским куки баннером ковырялся, который этой CMS под GDPR создавался, прорабатывал этот вопрос, а 152-ФЗ местами думаю на него и ориентировался.
Есть 2 механизма - Opt-in и Opt-out - активное согласие и активный отказ, соответственно. Первый должен собирать данные только после нажатия кнопки "согласен", а второй собирает по умолчанию, пока не нажата кнопка "отказаться".
И GDPR, и 152-ФЗ разрешают только opt-in, пока кнопочка не нажата, собирать ничего нельзя.
Если хотите следить за тем, как сайтом пользуются люди, то на мой обывательский взгляд, это вешать свои решения, которые собирают только агрегированные данные (кол-во визитов, отказы, тепловые карты скролла, счётчики кликов, географию и тд), как раз-таки 152-ФЗ в отличие от GDPR в этом более либерален, он такое позволяет собирать без согласия. А регистрировать, что "на кнопку нажал конкретный клиент" только после его согласия, выраженного в нажатой галочке под ней.
Ой, а как быть с Яндексом, который фиксирует о каждом из нас очень многое, притом, собирая данные в т.ч. через Метрику, на что посетитель сайта не дает согласие?
за метрику должны получить согласие владельцы сайта, которые подключили метрику. Передача ПДн
Метрика не собирает ПДн (ну если вы прям насильно их в неё не запихиваете). "Юзер 100500 с айфоном 16" это не пдн, потому что их миллионы.
Тогда гугл тоже не собирает, а они говорят что это ПД
Да, я с этого орнул чаечкой. Очень хочу посмотреть на разбор этого дела в судах.
Но тут, конечно, речь не про ПДн, а про куки, которые и метрика, и аналитика лепят в товарных количествах. И про то ли нагнетание, то ли техническую безграмотность автора статьи.
Очень хочу посмотреть на разбор этого дела в судах.
Приглашённый судом эксперт заключил, что яндекс не собирает перс данных, а гугл собирает. У суда нет оснований не доверять заключению эксперта. (с)
Не упрощайте. На каждого эксперта можно привести своего эксперта, ещё можно притащить соответчиком сам яндекс, да и судов в иерархии вроде бы не 1, а 7.
А я не упрощаю, я вам рассказываю примерно то, что своими ушами от судьи слышал. Не про яндекс, но суть та же.
Своего эксперта не притащите. Только того, кого примет суд. Угадайте с трех раз, кого он примет.
Это зависит от того, кто я и кто эксперт. И да, я не теоретик, судился с госорганами и успешно оспаривал штрафы. В т.ч. у мировых судей (т.е. самого нижнего уровня). Там, знаете ли, тоже не лично министры с другой стороны в суде присутствуют, а затюканные тётки, которые шпарят по написанной копипасте, не понимая её смысла.
Кто, где, в России наших дней? Насмешили. Тут за слово Мир сажают, те самые эксперты.
теоретически вы правы, но мало кто бьется за свои права. А те кто приглашают независимых экспертов — их просто заворачивают без объяснения причины. Вердикт — виновен, и точка…
а если юзер на Debian Linux с ядром 5.10, живет в Перми, с таким отпечатком Canvas 4ef8e5a3dec97e11c54740bG9393735f40c945ab, открывает браузер на 1870x1080 (размер панели снизу такой)? И юзер с такими же параметрами авторизовывается в Яндекс Музыке, уже с указанием телефона и email, с платежными данными?
А какие вопросы к владельцу сайта, если юзер логинится в яндекс музыке? Владелец сайта не знает ни телефона, ни платёжных данных
владелец сайта передает данные, которые позволяют составить более полный цифровой профиль Яндекса. Если существует возможность однозначно идентифицировать человека, с помощью каких-либо дополнений, соединить записи из таблицы из одного источника с таблицой из другого источника, и идентифицировать пользователя, то это уже не обезличенные персональные данные. Отпечаток браузера в контексте сайта с метрикой можно трактовать как уникальный ID пользователя.
Получается, владелец сайта знает ID + поведенческие признаки, интересы пользователя. Даже если самому владельцу такой ID ничего не дает, то это не делает сбор ПДн автоматически обезличенным
Владелец сайта ничего из этого не делает и даже не может. Не составляет фингерпринт, не имеет базы для сопоставления и не, собственно, сопоставляет.
Если владелец подключает скрипты на свою страницу, то они действуют как бы от его имени
Не раз получал звонки от компаний, на сайты которых попадал по рекламе яндекса. Типа, вот вы интересовались, что хотели. Стало быть яндекс еще и пд кликнувших продает рекламодателям. или у них еще какая дыра для этого есть.
Владелец сайта не знает ни телефона
Знает. Если на сайт зашли через мобильный интернет (не обязательно даже с телефона, с компьютера через модем тоже) - то там ОПСОС подбрасывает какой-то заголовок с номером телефона, чтобы рекламщикам на сайте было удобнее делать большие зеленые кнопки типа "обратный звонок" или "войти в Л/К без пароля"
С одной стороны - удобно, там где нужно. С другой - каждый сайт знает ваш телефонный номер (если не открытым текстом, то его уникальный ID в БД ОПСОСа) и вероятно пишет его просто в логах HTTP-сервера.
Не каждый сайт, это только через большую ($) дружбу с ОПСОСом можно сделать.
В большинстве же случаев это работает иначе, через глупость юзера. Знаете на некоторых сайтах такую фигню, типа в уголке кнопка "нажмите и мы вам позвоним"? Так вот, эта штука -- трекер. Если вы её не заблокировали (надо не просто скрыть её визуально через пипетку в адблоке, а заблокировать её домен) -- манагеру на сайте будет доступна инфа, на какие ещё сайты с такой кнопкой вы заходили, и по какому номеру просили вам перезвонить на тех сайтах.
А на SIMку, через которую идет мобильный Internet, кто то и входящие звонки принимает?
Эээ... примерно все? Я плачу опсосу 2К/мес, и за это имею на трёх телефонах неограниченную возможность разговаривать и пользоваться интернетом (ну, она типа ограничена, но там лимит такой, что мы до него стабильно НЕ доходим). Ну и зачем мне извращаться с двумя симками?
Я понимаю, что личный пример не показатель, но среди моих знакомых, вообще пользующихся интернетом, у 100% есть домашний вайфай, так что интернет на симке -- это для "оперативных нужд вне дома" -- посмотреть расписание транспорта, что-то оплатить через онлайн-банк, полистать ленту в очереди... Вторая симка для всего этого просто не нужна, лишние хлопоты без заметной выгоды.
по нынешним определениям, ПД -- это в общем всё, что позволяет сайту отличить одного юзера от другого.
ссылочку на "нынешнее определение" дадите? На ФЗ там или хотя бы ПП? Внутренняя ведомственная нормативка в суде не канает.
Внутренняя ведомственная нормативка в суде не канает.
Т.е. письмо РосКомНадзора - это не нормативка и в суде значения не имеет?
В суде значение имеет, но ведомственная нормативка является таковой только для структур и сотрудников ведомства. Если, скажем, сотрудник ж/д нарушит установленные ведомственным письмом правила ТБ, суд признает за ним косяк, а вот если я эти правила нарушу -- за мной косяка нет, для меня это письмо -- не нормативка, оно меня ни к чему не может обязать, даже если я о нём знаю (хотя и знать тоже не обязан).
Метрика записывает все действия пользователя на сайте. В том числе ввод перс. данных. Т.е. ещё до согласия пользователя с обработкой перс. данных, а пользователь мог их ввести, потом передумать и не отправлять их владельцу сайта, всё это пишется в Метрику. И владелец сайта раньше мог всё это просмотреть. В один момент (лет 10 назад) Яндекс одумался и стал маскировать перс. данные при выводе действий пользователя владельцу сайта. По крайне мере телефон. Но вот вопрос, а как в реальности Яндекс хранит эти данные, весьма вероятно, что доступ к ним у Яндекса сохраняется, а маскируются они только для владельца сайта.
Я тоже так думал, но вот чатгпт почитав консультант и про яметрику, обяъснил что это может быть пд, тк создает реальный риск идентификации отдельного пользователя, а по закону о пд - это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу". о_О
ПД это что угодно, позволяющее вас идентифицировать. В яндекс-метрике тысячи параметров, по которым очень легко провести деанонимизамцию
ну попробуйте идентифицировать мою жену, которая пользуется этим же прикроватным ноутбуком
я, например, не ваша жена, но хожу в инет с белого ip и с уникальным конфигом компа или телефона - всё, меня поймали 100%
Нам с женой одну и ту же ракламу и другие "рекомендации" подсовывают именно на основании общего IP.
Так это просто яндексы такие примитивные. Один пользователь посмотрел товар - вся подсеть за НАТ-ом смотрит рекламу этого товара...
У нас постоянный белый IP (в РФ и снаружи), и за NATом только мы вдвоём и сидим. Поэтому профиль рекомендаций не "размывается" и это выражено сильно ярче, чем когда это провайдерский NAT с сотнями клиентов. За провайдерским рекламные предложения (если браузер порезал фингерпринтинг) похожи на полный рандом.
По этой логике никакое устройство вообще не может быть ПД. Телефон можно на улице потерять или отобрать, к компьютеру могут подойти гости или соседи. Как там марксисты говорят, отчуждаемость?
Это т. Майору будете рассказывать.
Почему вас не удивляет штраф человеку на основании номера машины?
Чем штраф по mac, например, хуже?
...только не я, а vaxant.
Но само сравнение у вас интересное получилось!
Предлагаете за нажатие кнопки "клонировать MAC" в домашнем раутере выписывать два года тюрьмы (ну или хотя бы 80К штрафа, УК РФ Статья 326)?
Есть всё же разница между "источником повышенной опасности", который по умолчанию всем запрещён, и для использования которого нужно заслужить или получить привилегию (права на вождение, определённой категории) и бытовым предметом "телевизор нового века". Или уже нет?
"позволяет" - это гарантирует возможность, или допускает? Это о достаточном условии или о необходимом?
Вопрос не вам, а вообще мысли в слух.
Только на сторону яндекс есть не только мое имя, но и картина всех моих хождений просто везде, так что там не просто ПД, а личное дело, и увесистое.
При этом владельцы сайтом говорят, что у них есть метрика для подсчета посещений сайта, но не спрашивают, готов ли я отдать Яндексу про себя даже больше, чем я сам про себя знаю.
А какие это данные? Обезличенные, но персональные-таки?
Все эти жонглирования с данными — это маркетинговая уловка продвигаемая гуглом и ангажированными юристами.
судите сами. В начале своей эпохи гугол нащел отличную и справедливую модель для монетизации благого дела. И реально, взамен показа странной рекламы в нулевых мы получали бесплатный скан всей литературы в мире, бесплатные карты с вилом от первого лица и многое другое. Казалось бы, оставь все как есть, но НЕТ! Кокому-то хитрому кокосу пришла классная идея персонализации с целью более точного таргетинга рекламы, и понеслось…
А эти регуляторы нифига не шарят. Более того, заинтересованые корпорации стали лоббировать эти идеи, поддерживать и развивать под это всю маркетинговую политику и техники. ФБ, Майки, все. Всем понравилась идея, и ведь выглядит логично. Типо: Зачем, юзеру же так удобнее, получать точную рекламу. А потом мы узнали о поослушках в ватсап ради рекламы. А потом телеком операторы и все клму не лень и есть доступ к большому набору данных пользователей стали устраивать с таргетировщаками дела. А потом и простые сайты подключились к этому. А теперь куда не нлянь, каждый блогер на ютьюбе связан с этими делами (ну я условно говорю).
То есть, теперь, заходя на сайт средней компании вы встретитесь с такой же ловушкой, потому что они тоже подключают себе этих таргетологов ради какой-никакой но копейки.
то есть сейчас, строя сайт для своей средней компании, ввш отдел айти по умолчанию предложит вашей фирме подключиться к этиим деятелям и сотрудничать с нимм. То есть не удивлюсь, что на каком-то noname.narod.ru тоже стоит скрытый пиксель сборшик данных. А что? Скйт посещают иьо там дельный совет чудак дал на все года вперед, и дай не дурак взял и подкючил себе рекалму.
В итоге: а сне оно нахер все это надо?
Вы уж меня простите, но я не хочу давать даже деперсонализирыанные намеки (данные) обо мне НИКОМУ!!!
Чем отличается ваша реальная жизнь от виртуальной? — Ничем! Вот вы заходите в магазин (ларекц/уиоск у дома) купить бутылку молока — вы показывайте свой телефон перед покупкой молока? Разрешаете поодавщице передать название модели и марки телефона третьим лицам? — уверен нет.
поправьте если не прав.
поэтому — я категорически против. Жаль, что гугол не ищет выхода из этого тупика, а продолжает дальше строить «костыли» (quick, gdpr), а не решает проблему фундаментально. А ламерам в регуляряторных органаха и не разобраться в этом. А маркетологом это выгно, поэтому они не собираются давать подсказки регуляторам.
Ужас….
А Яндекс... Он кого надо Яндекс))
Блокировать его блокировщиком рекламы, например.
"Ой, а как быть с Яндексом" - не пользоваться.
Странная логика. Вас никто не заставляет пользоваться сайтом. И никто не удерживает от того, чтобы уйти. Есть условия. Нравится - продолжаем, не нравится - разбегаемся. Если вы хотите воспользоваться сайтом, но не нравятся условия использования - обратитесь к владельцам сайта, вдруг они вам сделают персональное предложение?
Проведите экстраполяцию на реальную жизнь. Вы знакомитесь с девушкой, и она в итоге предлагает сделку под названием брак. В которой вы ведёте совместное хозяйство, воспитываете детей и т.д. А вы такой встаёте в позу, и начинаете спрашивать, почему только сразу брак, почему нет почасовых расценок вида "классика 3000 рублей, минет - 2000 рублей...". И пафосно возмущаться, почему какая-то девушка не хочет поработать для вас проституткой.
Вот Вы как раз неудачное сравнение выбрали, ибо предлагаете бинарный выбор: или брак, или разбежались, а у людей куча других разных форм отношений есть: дружить, встречаться сплентничать, кружки по интересам, романтика всякая, дружба с преференциями так сказать и т.д.
Особым сюрреализмом этой аналогии является высокая посещаемость "девушки" другими пользователями (неприятно, но это их личное дело), каждый из которых на ней женится (а вот это уже правонарушение). Можно было бы другой пример из рыночной экономики привести, b2c-услуги какие-нибудь, медицинские например.
А само существование такого органа как "РКН" не комично? В эпоху, когда каждая уличная собака знает ваш ежедневный маршрут, включая общественные туалеты, посещённые по пути, эти увольни якобы переживают о том, что Яндекс соберёт с меня некий айди, по которому, о Боже, можно узнать браузер которым я пользуюсь... (Наверное ещё много чего можно узнать, если эти данные агрегируются с другими, так это вопрос к яндексам и гуглам, но их то не тронешь!, это большие корпорации, они и бороду "министру цифрового развития" могут выдергать 🤣)
А где информация про сам бот ?
Если новостной сайт выкладывает фото, ФИО и должность человека - ему не нужно его согласие? Чем это отличается от фото сотрудников?
Зависит от конкретики. Так из Постановления Конституционного суда № 22-П от 25.05.2021:
Использование такого способа защиты требует от судов тщательной оценки конкурирующих интересов с целью обеспечения их разумного баланса, поскольку запрет средству массовой информации распространять сведения о гражданине является в действующей системе конституционно-правового регулирования исключительным и крайним средством, применимым, если иные способы защиты не смогли (или не могут) обеспечить защиту прав и интересов граждан.
В законе написано, что обязанность доказать факт согласия лежит на операторе. То есть, получается, нужно не просто куку размещать у клиента, а записывать в бд данные о событии (согласие/отзыв). И с технической точки зрения это весьма нетривиальная задача, не говоря уже о том, что количество записей будет постоянно расти, даже если не будет расти аудитория, так как согласие привязывается не к пользователю, а к устройству. Или всё же достаточно просто куку повесить и не писать ничего в бд?
А в чём простите техническая нетривиальность задачи? Записать в бд строчку, что юзер с такого-то айпишника, которому мы влепили такую-то куку, во столько-то времени жамкнул кнопку "согласен"? Негде хранить три года?
Upd: ну кстати про БД вопрос хороший. Пихаем все эти данные в куку, подписываем своим hmac и всё. По идее достаточно.
Какая печенька, зачем? Если вам прислали персональные данные, то вот к ним прикрепляете дату, а далее функционал вашего сайта подтверждает, что отправить вам эти данные юзер мог только, подтвердив согласие на обработку ПД. Всё, есть сами ПД, есть согласие, нет ПД, нет согласия.
Достаточно разместить текст оферты, и каждый кто пользуется сайтом автоматически попадает под договор присоединения. По-сути, все так и делают.
Персональные данные — это любая информация, по которой можно определить человека. ФИО, телефон, email. Если их обработка идет неправильно, этого уже достаточно для штрафа (ст. 13.11 КоАП РФ).
ФИО, телефон, email - это любое из? Или только если всё вместе? На основании чего автор решил, что это является персональными данными? Субъективная трактовка юридически значимой информации? Я дам пищу для ума. В 2024 году разбирался вопрос. В статье "Является ли номер телефона и адрес электронной почты персональными данными?" рассматривалась позиция по этому вопросу Роскомнадзора и судов. Даже приводится позиция Верховного Суда РФ, который не поддержал позицию Роскомнадзора. Казалось бы - вот и точка в этом вопросе. Но, нет. Согласно Закона, решение Верховного Суда РФ по конкретному делу не имеет юридической силы для других судов. А что имеет? Позиция Конституционного Суда РФ и Пленума Верховного Суда РФ. Это следует из п 4 Постановления Пленума Верховного Суда РФ от 19.12.2003 N 23 "О судебном решении" (ссылка на пункт 4):
Текст из п 4 Постановления Пленума Верховного Суда РФ от 19.12.2003 N 23 "О судебном решении"
Суду также следует учитывать:
а) постановления Конституционного Суда Российской Федерации о толковании положений Конституции Российской Федерации, подлежащих применению в данном деле, и о признании соответствующими либо не соответствующими Конституции Российской Федерации нормативных правовых актов, перечисленных в пунктах "а", "б", "в" части 2 и в части 4 статьи 125 Конституции Российской Федерации, на которых стороны основывают свои требования или возражения;
б) постановления Пленума Верховного Суда Российской Федерации, принятые на основании статьи 126 Конституции Российской Федерации и содержащие разъяснения вопросов, возникших в судебной практике при применении норм материального или процессуального права, подлежащих применению в данном деле;
@alexeybashuk, что как юрист скажете на это?
Вы сами процитировали мой ответ на этот вопрос. Я же не просто так написал «информация, по которой можно определить человека». Сейчас у РКН позиция как раз такая, что мол, сам по себе номер телефона не является персданными, если к нему не приложено имя абонента.
Но это позиция крайне спорная. Как раз именно эта позиция позволяет сейчас уходить от ответственности тем нехорошим людям, которые «парсят лидов на сайтах конкурентов» через всякие МТС Маркетолог и Мегафон Таргет, или как там сейчас их это дерьмо называется. Те самые, которые вам потом названивают, когда вы им номер не оставляли.
Поэтому как юрист скажу, что до точки в вашем вопросе «что считать персданными, имя, телефон и имейл, по отдельности или вместе» тут далеко. И даже если сегодня она казалось бы поставлена, то завтра эта точка может оказаться запятой.
Сейчас у РКН позиция как раз такая, что мол, сам по себе номер телефона не является персданными, если к нему не приложено имя абонента. Но это позиция крайне спорная. Как раз именно эта позиция позволяет сейчас уходить от ответственности
@alexeybashuk, а почему Вы, ссылаясь на статью 13.11 КоАП РФ, уделяете внимание исключительно персональным данным? Год назад статью обновили и добавили такое понятие как идентификатор. И даже указали значение этого термина (в той же статье 13.11 КоАП РФ):
под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.
Зачем по-вашему добавили этот термин? Как он соотносится с персональными данными? На мой субъективный взгляд термин добавили специально по принципу: "что не персональные данные - то идентификаторы". А Вы как считаете?
до точки в вашем вопросе «что считать персданными, имя, телефон и имейл, по отдельности или вместе» тут далеко
Может, и не так уж далеко. Например, из Постановления Конституционного суда РФ №22-П от 25.05.2021:
Федеральный закон «О персональных данных», принятый в целях защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни (статья 2), определяет, что персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (пункт 1 статьи 3); не исключены из объема такой информации фамилия, имя и отчество, год и место рождения, адрес, абонентский номер, сведения о профессии гражданина (часть 1 статьи 8).
А мне вот очень интересно, какой нормой регламентируется отдельная галочка согласия для каждого документа и почему нельзя использовать формулировку "Я принимаю условия документа А, документа Б и даю согласие на обработку персональных данных"?
.
Я спрашиваю во всех темах, где идет обсуждение персональных данных, и никто не может мне ответить: а что такое персональные данные, согласно действующему законодательству?
В ФЗ N 152 в ред. от 24.06.2025 сказано буквально следующее:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
И если брать во внимание это точное определение из закона, тогда появляется второй вопрос: что на практике считается персональными данными? Под практикой понимается та ситуация, в которой оказались все владельцы сайтов, включая некоммерческие, на которых есть форум:
Мальчик Вася открыл форум про аквариумных рыбок. Чтобы зарегистрироваться на форуме, пользователь должен придумать себе Никнейм, Пароль и указать свой Email (электронную почту). Без указания Email зарегистрироваться на форуме невозможно: на Email ведь высылается код подтверждения. Никаких ФИО и паспортных данных форум с аквариумными рыбками не собирает. Но Email ведь попадает под определение закона: эта информация относится к прямо или косвенно определенному или определяемому физическому лицу.
Так вот вопрос: является ли Email, без привязки к ФИО и паспортным данных - персональными данными?
От ответа на этот вопрос зависит очень многое: будет ли вообще существовать рунет в том виде, в котором он был до этого? Останутся ли частные и личные сайты в сети, или они исчезнут, и всех загонят на платформы, которые имеют финансовые и административные ресурсы чтобы обеспечивать процедуры по работе с персональными данными?
Что будет мальчику Васе за открытие форума про аквариумных рыбок? Всё, теперь это запрещено? Или чтобы форум существовал, мальчик Вася в свои 10 лет должен организовывать всю богодельню по организации безопасного хранения персональных данных?
Просто у меня, как и у мальчика Васи, есть сайт про хомячков (https://webhamster.ru) с форумом, вот я и думаю, являюсь ли я уже грубым нарушителем законодательства РФ, или еще нет?
эта информация относится к прямо или косвенно определенному или определяемому физическому лицу.
Необязательно определяемому. Специально для таких сайтов правильно делать email-однодневку или индивидуальный ящик для ответов только от этого сайта, автоматически перенаправляющий на ваш Proton mail (который не требует никаких персональных данных для открытия)...
Protonmail требует номер телефона.
Вопрос вообще не в том, надо или не надо заморачиваться и делать email-однодневку для входа на форум аквариумных рыбок.
Вопрос в статусе Email:
Email - он сам по себе является ПД или нет?
Если является, то форумов по аквариумным рыбкам у нас просто не будет, а всех, как я сказал, ссаными тряпками загонят на платформы типа VK.
Обезличенные адреса, которые невозможно соотнести с человеком, могут не считаться персональными данными (но на практике таких мало).
Так что форум аквариумных рыбок должен запретить персонифицируемые email'ы (вроде gmail и им подобным), а требовать использовать только анонимные почтовые ящики - и будет ему счастье.
требовать использовать только анонимные почтовые ящики
В смысле добавить галочку "зуб даю, этот ящик анонимный" ?
Или в смысле вести актуальные белые списки провайдеров типа mailinator и активно блокировать YaMail, GMail и прочих?
В смысле "вам будет сложно аргументировать судье что вот лично в вашем случае собираемые email являются обезличенными когда из случайной выборки там больше половины будут на gmail".
Галочки тут явно недостаточно.
Ну во-первых я спрашивал конкретно про слово "требовать", что вы в него вложили. Это буквальное значение или эвфемизм? А если эвфемизм, то ЧТО конкретно вы имели в виду?
Потому что при буквальном прочтения ваш тезис такой: "Ваша Честь, я у каждого посетителя отчаянно требую не присылать мне gmail, но меня почти никто не слушает!"
По вторых у вас принципиальная ошибка. Чем больше одинакового - тем больше обезличенность. Если у меня БД номеров паспортов и "из случайной выборки там больше половины будут" 111111 - то эти-то как раз и есть обезличенные. Необезличенными будут наоборот все остальные.
Мой тезис: "Ваша честь, я принял достаточные меры для того, чтобы в качестве email присылали либо только те, по которым заведомо нельзя персонифицировать, либо те, о которых неизвестно, персонифицируемые ли они."
Важен результат, а не способ, которым это достигнуто.
И обезличенность - это невозможность в обычных условиях установить личность общающегося (или общающихся) через указанный email. По gmail это сделать запросто, а вот по аккаунту protonmail - почти невозможно.
Зачем вообще форуму по аквариумным рыбкам или разведению хомячков собирать адреса почты, имена, телефоны, паспортные данные и отпечатки пальцев?
На мой взгляд, вполне достаточно логина и пароля (причем логин можно генерить самому сайту, неперсонализированный). Забыл - сам виноват, заводи новый аккаунт (ну или в частном порядке восстанавливать, по истории IP, если ценный участник). От ботов - теневая премодерация на первые несколько сообщений и капча при регистрации.
А если сайт - магазин или иной серьезный сервис, и данные эти реально нужны - то будьте добры соблюдать правила.
Восстанавливать можно по всяким там контрольным вопросам (имя вашего первого хомячка не персональные данные) или вообще использовать TOTP.
а что вы против отпечатков пальцев имеете, в контексте?
Если вы мне хотите испортить настроение рекламой запрещённых голых женщин втюхать (осуждаем как ИГИЛ) - то мой телефон или e-mail вам это легко позволят, а вот мой отпечаток - нет. Во всяком случае пока какая-нибудь СБП 2.0 не сделает сервис "найти показать ФИО по отпечатку"
Так что ещё вопрос, что из этого больше или меньше ПД, опять же в контексте интернет-рекламы и телефонных мошенников
а что вы против отпечатков пальцев имеете, в контексте?
То же, что и против остальной биометрии - оно позволяет меня идентифицировать в оффлайне, и не может быть сменено. Поэтому их стараюсь никому не отдавать ;) , и голос с мордой лица и радужкой глаз тоже.
(одно исключение - Apple, но они и так про меня слишком много знают)
Возил машину на СТО. Заставили указать ФИО-телефон-email и подписать бумажку о ПД. На вопрос "занафига вам мои данные?" ответили - не хочешь, не обслуживаем.
Так в форме же написано «ФИО, телефон» — но нигде не написано, что это должны быть Ваши ФИО и телефон!
Поэтому я пишу «Васисуалий Иванович Пупкин, 234 567–89-00»
Зачем вообще форуму по аквариумным рыбкам или разведению хомячков собирать адреса почты, имена, телефоны, паспортные данные и отпечатки пальцев?
Вопрос был только про адрес почты, все остальное вы зачем-то сами приписали.
Все движки форумов испокон веков регистрируют посетителей по Email и капче. А часто email еще и является логином, потому что люди, интересующиеся аквариумными рыбками, не ведут списки паролей в KeePass и даже в файлик не записывают. А еще через Email происходит процедура восстановления, отправляются сообщения от администрации и о наличии новых ответов на сообщения форума. Вы что, не знаете об этом?
Вот в этом комментарии приводится позиция Конституционного Суда РФ. Получается, всё это - персданные.
Получается, что любой человек, ведущий даже бумажную записную книжку, в которой записаны ФИО и телефоны не только семьи, является оператором персональных данных.
А значит, он должен обеспечивать все процедуры, связанные с хранением этих ПД, включая подписание согласия на обработку ПД от человека, телефон которого он посмел записать в записную книжку.
А это в, свою очередь, означает, что уже сейчас любой человек, если узнает что его знакомый записал его телефон, и не получил заверенного подписью согласия на обработку персональных данных (а это примерно все люди в России), то можно и штраф потребовать и заявление в суд подать, и много еще интересных действий совершить.
Давайте сначала покурим man'ы закон... ;)
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 24.06.2025) "О персональных данных"
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
Если вы передадите телефон остеклителя дяди Васи своим знакомым, это уже выходит за личные и семейные нужды. И стекльщик дядя Вася может справедливо посчитать, что вы нарушили его права как субъекта персональных данных.
Что будет делать с этим?
Поделились телефоном хорошего учителя - вот уже и влетели на нарушение закона о ПД.
если при этом не нарушаются права субъектов персональных данных
А нарушаются они или нет определит РКН, поэтому будьте добры уведомить ведомство о наличии у вас записной книжки с контактами :))
А телефон? Список абонентов! А если у вас подключена адресная книга gmal, так это вообще - трансграничная передача перс данных!!!
Тут есть ещё одна штука. На которую мне так же пока вменяемо не ответили.
"Я ФИО. У меня есть шариковая ручка".
Исходя из 149 ФЗ 2 ст. 1 пн. "1) информация - сведения (сообщения, данные) независимо от формы их представления;"
Исходя из 152 фз. 3 ст. 1п. " персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); "
Информация о том, что у меня есть шариковая ручка является персональными данными.
И что с этим делать дальше? «На этом мысль останавливается» ...
И самое смешное - что таки да, являются. На сколько-то-там процентов.
Как показали фингерпринтинги в WWW, совокупность казалось бы случайных данных - очень даже уникальна.
У вас есть ручка, но нет кистей и карандаша, но есть сигары, но нет сигарет, но есть папиросы,.... ...и в итоге наберётся совокупность, которая в самом деле вас опишет близко к уникальному.
Я наверно плохо сформулировал мысль.
152 фз. Любая информация. ( для меня эт ключевые слова. ЛЮБАЯ!) определённому лицу.
Вот он я. ФИО такие то паспорт номер такой снилс, ИНН. Я определённое лицо. У меня есть ручка. Это ЛЮБАЯ информация.
Значит информация о том что у меня есть ручка, о том что у меня носки трехцветные, и прочее и прочее является ПД.
Любая информация! относящаяся ко мне, является персональными данными.
Вопрос в кафе, вам какое кофе? Обработка ПД.
Любая информация прямо относящаяся ко мне является ПД. 152 фз.
Но она реально является, разница только на 99,9% или на 0,01%
> Вопрос в кафе, вам какое кофе?
А у разных сортов кофе разная цена, и в налоговую посредством фискального регистратора уйдёт запись (момент времени + точка продаж + фактически ID товара) - и это тоже в какой-то мере будет ПД. Не на 100%, и не на 1%, но будет. Если вдруг потребуется выяснить, а кто в таком-то месте и времени пил капуччино - то всё население РФ перебирать не придётся.
В том и дело, что по сути нет и не может быть черно-белого бинарного выбора, когда какой-то факт или 100% вас определяет, или 0%. В реальности всё где-то посередине, и определяет по совокупности. Даже паспорта поддельные бывают.
"Всё что нёс, я не донёс, значит я ничего не принёс"....
С другой стороны вопрос. Меня не надо определять.
Я не скрываюсь. Почти. ;)
"Я ФИО, ИНН, № Паспорта, СНИЛС" я себя определяю как определённое физ. лицо. Меня не надо определять. Я УЖЕ определённое лицо."
152-ФЗ "определенному ****** физическому лицу (субъекту персональных данных) "
И вот "любая информация" тогда ПД. Информация какой кофе я заказал, ПД, был я в очках или без очков ПД, моя внешность ПД.
Как кофейня обрабатывает эти данные?
Если я оставлю визитку со своими данными? Ведь тоже ПД.
Мне видеться тут широкое поле для злоупотреблений договорных взаимоотношений.
"Вы ошибочно обрабатываете ПД. Давайте в порядке досудебного урегулирования вы заплатите мне *****. "
P.S. Проверять паспорт не дело кофейни, их дело правильно обрабатывать ПД.
Если кофейня вся такая из себя инновационная, сделала приложение с программой лояльности, хранит там твой UUID, эл.почту, список заказов с суммами, то это ПД.
Потому что можно будет по этим данным определить конкретного клиента, неважно, какими путями.
А если кофейня записывает, какой кофе кто заказал: "Латте заказали 500 человек с именем Дмитрий, 800 человек с именем Александр", а "Лавандовый раф чаще всего заказывают бородачи", то это обезличенный сбор согласно п.9 ч.1 ст.6 152-ФЗ, согласие на него не требуется.
Если состоится форум любителей шляпок и мы начнём писать журнал участников - "Вася был в синей шляпе", а "Петя в красной" - это не ПД, по ним невозможно однозначно установить человека. А если записано "Вася с билетом №892 в синей шляпе" - это уже ПД.
Всё зависит от объёма и от целей.
152 фз на мой взгляд очень размыто написан. Ну или я не понимаю.
Не надо устанавливать человека. Человек ИЗНАЧАЛЬНО установлен.
Я хочу понять, что с точки зрения 152фз будет ПД, а что не будет.
И что с этим делать.
Предъявление паспорта это обработка ПД. В К&Б к примеру. Не разу не видел, чтоб там заполняли согласие на обработку ПД.
Выходит злостно нарушают?
Или если я сам покажу паспорт, ведь тоже обработка ПД. Даже если меня не просили.
Или ВасильевВВ ИНН СНИЛС такие то, был в синей шляпе.
"был в синей шляпе" это ПД? И как тогда их обрабатывать?
P.S. Я понимаю, что надо идти на профильный ресурс, но разу уж тут завернулось.
Предъявление паспорта - это ознакомление с удостоверением личности для установления возраста, а не обработка) А если кассир запишет это в журнал - это уже обработка будет.
А "был в синей шляпе" это в отрыве от всего - не ПД, но совместно с остальным - ещё как ПД.
152фз. ст3. п.3 обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
из 152 фз. Ознакомиться можно с ПД. Но чтоб ознакомиться ПД надо обработать.
Вы смотрите в мой паспорт, вы производите сбор.
То есть УЖЕ обрабатываете.
Когда в журнальчик, это запись и так далее.
Но ещё раз, это не профильный ресурс. И или 152фз слишком широк, или я слишком его не понимаю... :(
Спасибо за ответ.
Так в том и прикол, что ознакомление != обработка или сбор
Вот гениальная аналогия - перед тобой субъект женского пола задрал майку, ты ознакомился с содержимым. Если всё на этом и закончилось - то это технически так и остаётся ознакомлением.
Но если ты, подобно герою вестерна, успел выхватить из кармана телефон и открыть камеру - то это уже сбор. А если успел нажать кнопку затвора, что приведёт к фиксации фото и его сохранении в галерею, то с этого момента это уже обработка, при чём неважно, рассматривать ты это потом будешь или удалишь.
А если тебе данный субъект добровольно прислал содержимое в личной переписке, то он дал согласие на обработку таких данных (однако с реальности в случае веб-сайта надо взять явное, opt-in, согласие), ты такие данные обязан сохранить в тайне, а в случае распространения получишь штраф - в данном случае потерю репутации.
Вместо почты - OpenID и/или OAuth - но с поправкой, по белому списку разрёшенных Кремлём провайдеров. Yandex PAssport можно, Google Passport нельзя, LiveJournal пока в серой зоне
Предоставьте, пожалуйста, параметры бота РКН: user-agent и IP-адреса. Обновлю настройки сервера для их теплого (переходящего в горячий) приема.
Есть кое-что получше https://github.com/C24Be/AS_Network_List
Вопрос то был про РКН. Зачем админу блокировать на своем сайте запросы с VK и запрещать пользователям МТС смотреть его сайт?
https://github.com/C24Be/AS_Network_List/blob/main/blacklists/blacklist_with_comments.txt
Ниже 2 строчки смотреть пробовали?
Я вижу:
VKONTAKTE-REGIONAL-CDN (LLC VK)
TVK-AS (MTS PJSC)
VKONTAKTE-SPB-AS (LLC VK)
VKONTAKTE-MSK-CDN-AS (LLC VK)
VK-AS (LLC VK)
odkl-as (LLC VK)
VGTRK-ITD
NTV-net
NewsMediaRus
RU-ODNOKLASSNIKI-20120607 (LLC VK)
и т. д.
Зачем это всё блокировать у себя на сайте? Вопрос был про РКН и связанные с ним структуры. А тут под связанные с РКН структуры включили даже сеть ВГТРК (телеканал Россия-1). Какой в этом смысл?
Специально зашел в комменты, надеялся увидеть IP бота или useragent, чтобы встречать их в iptables :)
История владельца сайта, который «попал»
История владельца сайта, который «попал»
Жил-был небольшой сайт. Не маркетплейс, не банк, не социальная сеть, а обычный такой сайт компании: «Оставьте заявку, мы вам перезвоним». На сайте было три страницы, пять фотографий сотрудников, Яндекс.Метрика, старая Google Analytics, форма обратной связи и политика обработки персональных данных, написанная в 2018 году человеком, который тогда еще верил, что фраза «нажимая кнопку, вы соглашаетесь» закрывает все вопросы мироздания.
Сайт работал спокойно. Люди заходили, оставляли телефон, менеджер перезванивал, жизнь шла.
Потом пришло письмо.
Не электронное, конечно. Электронное письмо можно было бы получить быстро, прочитать быстро, испугаться быстро и начать что-то делать. Нет, письмо пришло настоящим способом: через почту, извещение, очередь, окно, паспорт, «распишитесь здесь». На дворе был уже третий рабочий день из десяти.
В письме сообщалось, что на сайте имеются признаки несоответствия требованиям законодательства о персональных данных.
Владелец сайта сначала решил, что это какая-то ошибка. Сайт ведь маленький. Там даже новостей нет с 2021 года. Но именно это, видимо, и понравилось автоматическому боту: тихое место, старая политика, форма без отдельных галочек, Метрика в углу, Google Analytics под слоем исторической пыли.
Началось расследование.
Юрист сказал:
— Нужно актуализировать политику, согласие, уведомление в РКН, куки, цели обработки, категории субъектов, сроки хранения и отдельно описать аналитику.
Разработчик сказал:
— Я сайт не делал, я только хостинг перенес.
Маркетолог сказал:
— Google Analytics можно удалить, мы туда все равно два года не заходили.
Собственник сказал:
— А зачем он тогда был?
Маркетолог ответил:
— Для уверенности.
Особенно красивым оказался вопрос с чекбоксами. Раньше под формой была одна гордая строка: «Нажимая кнопку, вы соглашаетесь с политикой». Теперь оказалось, что эта строка больше не строка, а исторический документ эпохи юридического романтизма.
Поставили чекбокс. Потом выяснилось, что он не должен быть заранее включен. Выключили. Потом выяснилось, что документов несколько, и на каждый желательно отдельное согласие. Поставили три чекбокса. Форма стала выглядеть так, будто человек не заявку оставляет, а вступает в ипотеку на сервер.
Особенно трогательно смотрелась кнопка:
[ ] Согласен с политикой обработки персональных данных
[ ] Согласен на обработку персональных данных
[ ] Согласен с использованием cookie и средств аналитики
[ ] Подтверждаю, что понял, зачем я вообще сюда пришел
Последний чекбокс юрист попросил убрать.
Потом нашли страницу «Наша команда». Там были фотографии сотрудников. Сотрудники работали давно, некоторые уже не работали, один вообще переехал в другую страну, но на сайте продолжал улыбаться как субъект персональных данных с неизвестной правовой судьбой.
Позвонили бывшему менеджеру:
— Можно мы оставим вашу фотографию на сайте?
— Какую фотографию?
— Где вы у кулера.
— Я у вас не работаю четыре года.
— То есть согласия нет?
— У меня уже и кулера того нет.
Фотографии сняли. Страница «Наша команда» стала выглядеть честнее: заголовок есть, команды нет.
Дальше обнаружили, что уведомление в РКН когда-то действительно подавали. Это была хорошая новость. Плохая новость: подавали его так давно, что в нем сайт выглядел как место, где собирают ФИО и телефон «для заключения договора», но не было ни Метрики, ни cookie, ни CRM, ни рассылки, ни формы «задать вопрос директору», которую директор никогда не читал.
Юрист сказал:
— Надо привести фактическую обработку в соответствие с уведомлением.
Собственник спросил:
— Может, проще привести фактическую обработку в состояние «ничего не собираем»?
Разработчик оживился:
— Можно удалить форму.
Маркетолог побледнел:
— Тогда лидов не будет.
Собственник сказал:
— Зато не будет персональных данных.
Повисла пауза. Все впервые почувствовали, что отсутствие бизнеса — это тоже форма комплаенса.
В итоге форму оставили. Но теперь она была окружена документами, как маленький пограничный пункт. Посетитель хотел написать «перезвоните», а сайт встречал его юридическим кордоном: политика, согласие, cookie, аналитика, сроки, цели, правовые основания.
На девятый рабочий день отправили ответ. В письме было написано, что нарушения устранены, документы актуализированы, уведомление обновляется, чекбоксы приведены, аналитика описана, лишнее удалено, сотрудники обезличены, бывший менеджер у кулера освобожден от публичной нагрузки.
Собственник выдохнул и спросил:
— Теперь все?
Юрист ответил очень юридически:
— Теперь лучше.
И вот это, кажется, самая точная формулировка всей истории. Не «теперь все хорошо», не «теперь безопасно», не «теперь можно спать спокойно». А именно: теперь лучше.
Сайт после этого стал выглядеть солиднее. На нем появилось больше документов, чем услуг. Кнопка «Оставить заявку» опустилась ниже, потому что над ней вырос правовой ландшафт. Конверсия чуть просела, зато владелец впервые за десять лет узнал, какие скрипты стоят у него на сайте.
Главный вывод простой: раньше малый бизнес думал, что сайт — это витрина. Потом понял, что сайт — это еще и касса. Потом — что это рекламный канал. Теперь выяснилось, что сайт — это маленький юридический организм, который ночью может быть найден ботом, проверен человеком и поставлен на учет как источник приключений.
Причем приключения начинаются не тогда, когда у вас украли базу на миллион клиентов. А когда у вас есть форма «Ваше имя, телефон» и старая фраза «нажимая кнопку, вы соглашаетесь».
Самое обидное, что бот в чем-то прав. Сайт правда собирал данные. Документы правда были старые. Метрика правда стояла «потому что всегда стояла». Google Analytics правда никто не удалил, потому что «а вдруг пригодится». Просто раньше это выглядело как технический быт, а теперь внезапно стало юридическим событием.
Так что да, маленькие сайты теперь тоже взрослые.
Даже если на них последняя новость: «Поздравляем клиентов с Новым 2020 годом».
Гениальное саркастическое произведение!
Нейронкой писали?
А зачем хранить в разделе "Наша команда" фото человека, который давным-давно не работает в команде?
В некоторых компаниях, в которых команда из 5 чел, некоторые страницы сайта не обновляются годами, потому что некому это всё актуализировать. Тем более что публикуется публиковалось это всё лет 10 назад просто потому что тогда была такая мода.
А это парадокс размножения запретов, только наоборот.
Потому что иногда гендиры и хрюши обостряются на тему "а почему вы у нас до сих пор не на сайте? завтра приходите в парадной одежде и я вас сфоткаю, все должны быть, я тоже там!"
Вот в обратную же сторону обостряться просто некому. Продажникам с гендиром нужно наполнить сайт фотографиями для иллюзии человеческого общения, якобы это повышает продажи. Интереса же убирать нету, если только сайт не лопается. Но от пары десятков лишних фото он не лопнет.
Поэтому снежный ком нарастает до моменте, когда гендир обострится на тему реструктуризации и перетасовки тех же бл^W сотрудников по другому дереву отделов и департаментов. После этого странички на сайте наконец переписывают на соответствие новому дереву отделов и они на время становятся чистыми и не засиженными. И начинают покрываться пылью с начала.
Когда меня выживали из одной мелкой конторы и результат стал уже ясен - я себя заранее убрал с сайта, чтобы потому не бегать и не выпрашивать, когда я уже буду тут никто, а всем ещё живым будет пофиг. И никто почти этого даже не заметил.
Во всей этой истории намой взгляд зачистка лишних фотографий - это положительный эпизод, спасибо РКН хотя бы за это. Интересно, как быстро недовольные уволенные сотрудники начнут писать жалобы в РКН на свои оставшиеся фото с каких-нибудь групповых сборищ и конференций? Не благодарите, пользуйтесь.
Интересно, а когда на 2ГИСе оставляют отзывы о человеке с его ФИО, не спрашивая его согласия на это, то это тоже персональные данные? Вы можете не пользоваться 2ГИСом совсем, но быть упомянутым на нем 1000 раз.
Само по себе ФИО не может быть персданными.
а этот ФИО - кто? ИЧП Руслан Обоев, которые плохо режет бороду и хорошо режет шаурму? тогда его ФИО по сути уже торговая марка, вывеска.
А что там кто-то будет про обычного жителя квартиры 12345 в человейнике что-то писать... Что там писать, "маша - (всем даёт)" как на заборе? Так это смывать должны дворники и модераторы 2ГИС
Странное какое-то понятие перс данных у ТП. Перс данные - это то те, по которым можно ОДНОЗНАЧНО идентифицировать человека. По ФИО - нельзя. По е-майл вообще не понятно как. ФИО + е-майл тоже нельзя. Итого - только по номеру телефона можно.
По номеру телефона тоже нельзя - номер может принадлежать другому человеку, может быть корпоративным, может быть номером телефонного пула.
Номер не может принадлежать ни кому, кроме абонента, который его получил. Все корпоративные номера, по закону, теперь привязаны к конкретному сотруднику организации и не могут быть обезличеными.
p.s. я о мобильных номерах
Номер может сменить нескольких владельцев и без дополнительной информации (время) не позволит определить, кто из них пользовался номером.
Это не так! Есть куча симок на IoT-тарифах, они принадлежат организации, но никакой человек их на себя через ГосУслуги не регистрировал и не должен - они стоят в оборудовании, которым ещё и разные люди пользуются (в отличии от рабочих телефонов или ноутов).
В такой конфигурации вы нарушаете закон. Т.е. даже до проблем с обработкой пд этих телефонов закон нарушен)) а владелец сайта, он же автоматом оператор обработки пд, не может не брать во внимание все остальные варианты сотовых, привязанных к реальным людям. Другими словами вы не сможете делать сервис только для обезличенных телефонов, а значит придется учитывать законодательство по обработке ПД в своих сервисах.
это корпоративный, а внутри семьи пока еще можно :-)
Интересно, что с сайтами, на которых размещена реклама Яндекс.Директ? Ведь директ подключает метрику. А еще есть системы, которые откручивают разную рекламу и каждая собирает множество данных.
На Сайте выявлен факт использования метрической программы «Яндекс. Метрика», функционал которой позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что является обработкой персональных данных и допускается в случаях, установленных ч. 1 ст. б Закона. Вместе с этим в ходе осмотра Сайта выявлено отсутствие правовых оснований обработки персональных данных, собираемых посредством метрической программы «Яндекс. Метрика», в соответствии с ч. 1 ст. 6 Закона, а равно информирование при входе на Сайт об обработке персональных данных с использованием метрической программы «Яндекс Метрика».
А вот это бред. Яндекс Метрика не собирает персональных данных. Данные с Яндекс Метрики не позволяют однозначно определить объект персональных данных. Мало того, если бы и позволяло бы, то оператором обработки и хранения персональных данных был бы Яндекс...
А точно нет никакой возможности обратного восстановления у персональных данных, передаваемые в Яндекс?
Метрика собирает килотонны ... метрик, по которым однозначно можно установить пользователя. Я так делал, в точности находил кто из конкурентов ко мне на сайт зашёл из 200 чел, зная их устройства, ОС, город и размер экрана.
А ещё он тот ID, который показывает тебе, связывает со своим глобальным UUID, для рекламы, предпочтений и т.д. А если куки блокируются, то по косвенным признакам связывает, а тебе показывает как разных клиентов.
А ещё он IP клиента пишет, а тебе не показывает, потому что не положено.
Как там выше ответили, яндекс считает эти данные как ПД согласно законодательству.
А механизм того, что ты поставил к себе метрику на сайт называется "Поручением обработки ПД" и обязывает тебя, как оператора, всё равно брать согласие на тех условиях, которые определяет метрика, как обработчика ПД.
Сайт имеет возможность авторизации/регистрации только по связке логин/пароль и не требует/не хранит ничего другого, включая почту, имя и прочее, то есть не собирает персональные данные вообще. Тем не менее у авторизованных есть возможность комментировать статьи, общаться в личке и, как-раз, форма/средство обратной связи, реализовано через механизм личных сообщений с хозяином ресурса.
В этом случае сайт подпадает под эти правила или нет?
А разве по нынешним временам не должен требовать и верифицировать хотя бы т/ф номер?
Логин-парольных, кажется, остались только единицы древних, и тех дожимают
Спросил гугловский LLM. Тот говорит, что "жёсткая" верификация (с помощью телефона, Госуслуг и пр.) нужна только если:
Для доменов .ru, .рф, .su
Сайты с платным Wi-Fi или открытым доступом (сам не знаю, что это такое)
Сайты в реестре ОРИ (Организаторы распространения информации) (я так понял, что это для ресурсов с большим числом посетителей)
Сайты с возможностью осуществления "значимых действий" (совершение сделок, публикация контента)
Если не использовать email при регистрации и прочие персональные данные, то Оператором Персональных Данных не становишься. Анонимное (под вымышленными именами/логинами) комментирование законом не запрещено (пока что).
Так что, если верить гугловскому болвану, я пока "пролетаю" мимо этого ... пирдуха.
А какие сайты может проверять РКН? Какой критерий отбора? По зоне .ru или по расположению сервера?
Если например есть маленький информационный сайт в зоне .org но на российском хостинге, РКН его будет проверять на соответствие законам РФ?
Или, если сайт не в зоне .ru и не на российском хостинге, но владелец сайта - гражданин РФ, это является достаточным основанием для проверки сайта?
Тот же вопрос.
Есть сайт подразделения организации, не в ру и не на российском хостинге, но домен на мне, на сайте есть фото и ФИО сотрудников. У меня нет проблемы собрать с них заявления с подписями о сборе персухи, но удалить всю страничку как-то проще. Или все норм?
А странички в Википедии, интересно, считаются? А что с соцсетями?
По доменной зоне .com тоже присылают предписания. То есть РКН не интересует доменная зона, они смотрят так: если российская компания или гражданин собирают и обрабатывают персданные, то это должно осуществляться по нашим законам. А какая там доменная зона их не интересует.
А как они узнают, что ООО "Хрен и редька" имеет сайт www.blackjack-and-hookers.com? Тот же вопрос для ИП, самозанятого и школьника, который держит форум про рыбок в аквариуме...
Как правило, сайты существуют для продвижения чего-нибудь. Идей, концепций, товаров или услуг. В особенности в двух последних случаях у них обязательно есть какие-то контактные данные, которые почти всегда можно соотнести с определённым юр.лицом или ИП. Хотя, особенно в не-российской зоне, встречаются компании (бренды!), у которых не указано, где они находятся, а для связи с ними есть только форма обратной связи. Обычно это китайцы.
Есть владелец доменного имени, контактные и паспортные данные которые выдаются регистратору. А кстати к концу года для владельцев национальных РУ доменов ещё и верификация через ЕСИА потребуется.
Вот по этим данным через запрос регистратору и прилетает письмо счастья.
По-хорошему владельцем сайта должен быть конечный его бенефициар (если это фирма, то на фирму записано, а не на её учредителя), но если сайтом владеет одно лицо, а сайт хостится в интересах другого лица, то это под ответственность ставит и конечного представителя, и администратора.
(Тогда тем более могут быть вопросеки, на каком основании владелец сайта-ФЛ собирает данные от имени ЮЛ)
пять фотографий сотрудников - удалил, фамилии удалил, мобильные телефоны удалил
Яндекс.Метрика - удалил,
старая Google Analytics - давно удалил
форма обратной связи - удалил еще в прошлое обострение
политика обработки персональных данных - никогда и не было
На сайте только е-мейл и телефон конторы
Так нормально?
А еще ссылка на телеграм-бот помощник. Его наверное тоже надо удалить?
зы. А вот люди на почту пишут - естественно оставляют обратный адрес, фио, должность
Вся эта ботва хранится на сервере Яндекса (потому что Яндекс почта) - кого будут дрючить если что?
В стране за 4 месяца до выборов других проблем нет:) Особенно по ведомству РКН :)
Самое время в очередной раз штрафануть пару миллионов предпринимателей!
Раньше игнорировал выборы, на эти пойду принципиально
Опоздали вы лет на 20 по крайней мере
И если не секрет, то за кого? По мне так, не одна партия из "допущенных" не собирается ничего принципиально менять. Проблема в том, что все эти партии фиктивны: их руководство не сменяемо и легко контролируется. Достаточно двум-трём людям из руководства партии пообещать проблемы, и вся партия голосует как надо за нужный закон. И это не 20 лет назад так стало, а 35, сразу в 91-м (на самом деле ещё раньше, но до развала и немножко после, до 93-го, до разгона Верховного Совета были отдельные "смутьяны". В 93-м их " разогнали", остались только "послушные") Для реальных изменений нужна либо новая партия, либо массовое движение и внутри старых (энтризм), а лучше и то и другое вместе. Для этого массы должны стать намного более активными, чем сейчас. Власть боится и всячески будет завинчивать болты и закручивать винты. Интернет - это всего лишь верхушка этого страха. Они ещё начнут по квартирам ходить, увидите.
Но зачем???
Для полного счастья, могли бы добавить заключение договора услуг, если зашел на сайт. А еще надо заверить у нотариуса.
Кстати, а что же они не напишут бота, который ищет людей, которые эти персональные данные сливают за деньги?
убрал метрику, думаю, наверное легче закрыть публичку, чем думать об этом, ничего не собираю, спасибо, не надо )
Зачем весь этот цирк ? Только чтобы штрафов собрать и сделать жизнь людей хуже, от этих бесконечных галочек и всплывающих никому не нужных ненужных согласиях ?
Если бы РКН хотел помочь во внедрении этой бесполезной ненужной ерунды, то сделали бы бота, который сканировал бы и выдавал рекомендации, и давал для скачивания готовую форму всех документов обработки персданных, на основе найденных счётчиков.
Просто еще один повод для РКН срубить бабла, на равном месте, тот кто занят другими делами и провтыкает, потом заплатит на ровном месте.
Вот есть генератор политик, может кому поможет. Но это бред, максмальный, из-за отсутсвия бумажки, лепить такие суммы штрафов. Остается лишь один вопрос, как они докажут утечку данных? Типа админы сами признаются? А если админы сами не знали что данные угнали?
Ок, интересно. А как быть лендингам? Там нет никаких форм, куки и метрик. Только личная фотка, тг и почта с предупреждением: "Связываясь со мной по email или Telegram, вы подтверждаете, что ознакомлены и согласны с Политикой обработки персональных данных". Политика ведет на документ, что данные не обрабатываем.
Верно ли я понимаю, что следующим шагом будет публичный запрет публикации контактов telegram и почт, которые хостятся на зарубежных серверах?
А вот в таком случае, если у вас на лендинге нет формы обратной связи, а только ваш собственный контакт, то тут вы персданные не собираете и не обрабатываете. Ваше взаимодействие с пользователями соцсети регулируется правилами по персданным самой соцсети. А вот если потом в мессенджере вы запрашиваете у людей какие-то данные, которых изначально в мессенджере не было, то это да, уже сбор и обработка.
По поводу того, являются ли телефон и email персональными данными. Есть решение Верховного Суда РФ (спойлер, нет, сами по себе не являются).
https://www.garant.ru/news/1642921/
Большая разница с европами?
Верим этим ребятам?
Так а в чем выгода рассылателей? Там ведь нет ссылки на конкретного юриста с "помогу избежать штрафов". Сдаётся мне, они столкнулись с народным гневом и решили " дать заднюю", а рассылка настоящая.
Там речь шла вроде как про рассылку «штрафов», где куар-код на оплату вел на оплату этим самым мошенникам.
Так и не понял за годы этой шумихи, регистрация на развлекательном сайте под вымышленным никнеймом - это сбор ПД? Из похожего на ПД там только email, но он же не является персональными данными, если не сопоставлен с реальным ФИО.
А какой-то шаблон для Политики и Согласия можно? И такой вопрос. Как Роскомнадзор определяет принадлежность сайта? По контактным данным? Или по регистрации домена? Вот например сайт в reg.ru на меня, а самозанятая сестра, услуги оказывает она, я сайтом и рекламой занимаюсь. Есть необходимость на нее сайт перерегистрировать?
Что смешно на сайте РКН насчитал около 15 нарушений от отработки персональных данных до биометрических.
100-300 тысяч рублей — за сбор данных без согласия пользователя или за избыточный сбор.
1 000 000 - 15 000 000 рублей — за утечку персональных данных. Сумма зависит от масштаба утечки.
Сканирование всех сетевых подключений, определение наличия VPN, определение установленного программное обеспечения, передача этих данных в открытом виде без шифрования (по сути публикация для всех желающих) - считается избыточным сбором данных и организацией утечки?
А то в последнее время как-то часто попадаются статьи с разбором всяких отечественных приложений, но до анализа на официальном уровне дело не доходит. А ведь нужные люди со штрафов в бюджет могли бы себе яхту купить, или квартиру любовнице в конце-концов.
Так вы не путайте, в действительности всё совсем не так, как на самом деле (с)
Есть очень много случаев, когда государство позволяет своим службам или ассоциированным организациям деятельность, которую оно же называет преступной, если так делает кто-то другой.
Например, "угон автомобиля с целью вымогательства выкупа", и даже разбой, т.е. теже действия, но совершённые открыто и с применением насилия, внезапно перестаёт быть преступлением, если заранее договориться с чиновниками "за дольку малую" и назвать это "эвакуация неправильно припаркованного ТС".
Разумеется, упомянутые вами действия преступны, но кто ж это признает?
Ну вообще-то "бить людей" прерогатива государства и, с большими ограничениями, спортсменов, и лично меня это в целом устраивает. Конечно, хотелось бы иметь возможность корректировать, кого бить, а кого не надо, но увы. Вот так оно устроено. И это гораздо лучше, чем если право бить имеют дефакто все. Сталкивался в 90х, спасибо, не надо больше.
РКН прокомментировал ситуацию для ТАСС — ведомство сообщает, что массовую рассылку писем от их лица ведут мошенники. Выдыхаем.
Окей, ну и чё? Я могу наебать систему, сказав что перс данные не сохраняются. Хуй кто докажет обратное. Так что тогда мне и не надо никакого ни заявления, ни галочек, ни одобрения.
И вообще, закон обратной силы не имеет, как могут доебаться до того что появилось ДО закона? Лютый кринж. Нет никакого смысла в защите данных которые уже слиты.
И вообще, закон обратной силы не имеет
Но это не точно.
сказав что перс данные не сохраняются.
Так Вы закон то прочтите!
Подтянут Не за хранение, так за сбор и обработку.
Прикол в том, чтобы нагреть на штраф, а за неуплату нагреть на штраф за неуплату штрафа. А доказывать будете после расставания с деньгами.
закон обратной силы не имеет
Но хранение данных является продолжительным деянием (так же, как лайк и репост, да), так что и судить будут за хранение после вступления закона в силу.
Если собираешь данные не на территории РФ - прямое нарушение, за что сейчас блокируют нами всеми любимые ресурсы.
Поэтому варианта 2 - либо хранишь у хостера, который официально зарегистрирован в РФ, и который по запросу силовиков отдаёт все данные. (Были прецеденты, когда по запросам органов людям сносили VPS, которые они для продажи КВН использовали)
Либо хостишь данные у себя, тогда есть ст. 164.1 УПК РФ.
А как это будет работать? Добросовестный владелец сайта сначала показывает страницу с согласием. Бот дальше этой страницы не прошел (он же не может дать согласие?) и
- пометил сайт как не соответствующий завяленному? - тогда количество ложноположительных срабатываний стремится к 100%, а сотрудники будут вынуждены все сайты проверять вручную.
- скипнул сайт? - тогда чувствительность такого метода выявления нарушений ботом падает до нуля.
Выглядит, как статья для сбора лидов, с громким и страшным заголовком без единого пруфа.
Этот заголовок растащили паблики и сайты, всех напугали, а РКНу пришлось публиковать опровержение.
М.б. модерации хабра следует обратить на это внимание?
Я про эти предписания еще в том году писал статью на Хабре, сейчас их просто стало больше. А сообщение РКН про то что там кто-то рассылает фейковые «квитанции» на оплату штрафов — это параллельная история, которая к текущей истории с предписаниями отношения не имеет.
Алексей, а вы вот, я вижу, ссылку на форму в статье разместили — а там есть чекбоксы? А политику обработки персональных данных вы опубликовали? А согласие отдельным документом?
А вот телеграм-канальчик ваш закрытый, на который вы аж три ссылки впихнули, — имеется в нем политика обработки ПНд с галочками? Или вы на голубом глазу расскажете, что не обрабатываете данные в телеграме?
А в реестре операторов вы числитесь?
А можно ознакомиться, какие защищенные программно-аппаратные средства вы используете для обработки и защиты ПНд?
Вы же не бесплатно там у себя в телеграмчике консультируете обратившихся, я прав? Насколько я помню, на хабре для продвижения своих услуг был хаб специальный ("Я пиарюсь") — почему статья не там?
Скрытый текст
Вообще-то мне, конечно, глубоко безразличны ответы на вопросы выше, хоть и смешно с надувающего щёки сапожника без сапог.
Просто вокруг и так каждый день происходит слишком много невообразимой дичи, тут еще и вы из каждого угла лезете, инфоцыгане и мамкины юристы, со своими паникёрскими статьями. Паразиты.
Почему куки считаются сбором персональных данных сайтом, если сайт не собирает куки, а их собирает браузер?
по логике ркн, мин-чегототам и всех этих прекрасных ребят, мы ВСЕ сборщики и хранители персданых, потому что нам всем:
на мыло пишут спамеры и принудительно впихивают нам своё мыло, имена и ip (по логике закона — неважно фейковые или реальные). эти данные хранятся в БД почтовиков у вас на компе, а в случае с gmail так и вообще "трансграничный экстремизм/терроризм".
на телефон звонят мошенники и спамеры и у нас в БД истории звонков остаются номера телефонов + у нас на телефонах есть БД со списком контактов с ФИО, фото, ДР, адресом, телефоном, мылом и ещё хз чем (кошмар!)… и нам никто не "подписывал" согласие на хранение.
и скорее всего, это тоже "трансграничный экстремизм/терроризм", т.к. телефон может синхронизировать эти данные с облаками "недружественных" стран.
не важно с помощью чего и каким способом, ты имеешь доступ хоть к чему-то из этого списка: ip, фио, фото, мыло, телефон — всё, ты потенциальный жирный источник пополнения бюджета ))
Я создал сайт с регистрацией как точка входа определения пользователей в своем приложении. Приложение не коммерческое, сайт закрыт предварительным доступом по кредо, но я вынужден хранить email, насколько вообще стоит переживать о том, что необходимо в моем кейсе отправлять уведомления в РКН ? Вроде и нет комерции, и сайт закрыт предварительным доступом и нужен только в рамках своей команды, но все равно читая эти законы и я попадаю под определение - оператор персональных данных - нервозно нарываться на штрафы
вот бы кто умелый написал такой же бот, на котором можно было бы самостоятельно свой сайт проверить…
По большей части в цитатах приведена юридическая казуистика. И нет ни одной ссылки на сайт РКН, где есть какой Никой докУмент, али регламент как сия процедура должна проводиться или проводится. Скорее всего автор практикующий юрист - философ, который задаётся вопросом что есть ПД. Про фото на сайте чушь, это должностное лицо, за надпись на двери в поликлинике или ещё где не требуют же подписанную бумагу субъектом про ФИО часы работы и сам субъект сидит за дверью, его точно можно идентифицировать)). Метрика тоже чушь ибо это девайс и айпи моего соседа чьим ноутом я воспользуюсь для регистрации.
ПД это точная идентификация Васи Пупкина по любым данным в случае утечки или взлома данных. Например, конкретный адрес проживания конкретного человека. Или его личный телефон.
Алексей, если в форме обратной связи запрашивается только е-мэйл и Имя (не ФИО!), это является сбором перс.данных?
Да, считается. Обычно РКН не считает персданными что-то одно, что не позволяет идентифицировать человека — телефон отдельно, имейл отдельно. А если связка имя+имейл, то уже считают. Можно конечно попробовать спорить с тем, что Имя это не ФИО, но это будет жидким доводом, к сожалению.
Яндекс так не считает
Вопрос к авторам статьи. Исходя из того, что появилось опровержение https://tass.ru/obschestvo/27266071
Это были те самые мошенники, о которых говорится в опровержении (были их контактные данные), другие мошенники (были иные контактные данные, но не РКН) или всё же был каким то образом по всем признакам как будто настоящий РКН (с настоящими данными, указанными в статье ТАСС)?
Опровержение не является документом к сожалению.
Что Вы имеете ввиду?
Очевидно что. Если вас будут судить за игнор письма РКН, то аргумент "а вот в интернетах писали, что ТАСС писал, что письма РКН поддельные" не будет засчитан.
А, ну тогда удалю сайт пойду. И домен тоже. И всё в порядке :)
Хотя...следы останутся по любому у хостера и регистратора, не говоря уже об вебархиве и живых свидетелях -посетителях сайта. А учитывая правоприменительную практику понятия “длящегося преступления”, получается что все бывшие владельцы сайтов обречены.
А вообще если серьезно почитав камменты считаю оптимальным каждому найти оптимальную для себя “мантру” или ряд эфимерных признаков, которым якобы должен соответствовать сайт, чтобы не было нарушения. Исключительно для самоуспокоения. Ибо границы нарушений размыты чудовищно.
Ну или действительно пока удалить контент весь. Оставив site under construction (на русском конечно написать). И побыстрее продать свой домен.
А на что жить? Как на что -на пенсию родителей и бабушки, средства подруги, жены. А что? Что-то не так?
Это не относится к текущей статье.
Там же фейковые письма рассылали как я понял с предложением «оплатить штраф» на счет мошенников.
А в нашем случае конкретные предписания от конкретных РКН, где на связи их сотрудники, и которые по телефону нам еще объясняют, какие галочки как ставить, и что одна на все документы не годится, ставьте три разных, и так далее.
Плюс они там пишут про фейковые письма от имени Волгоградского РКН, а я рассказываю про конкретные предписания из других регионов — Ульяновск, Воронеж и другие.
Короче, мой пост и этот пост между собой никак не связаны, они про разное. Но по времени интересно совпало, конечно.
А считает РКН перс. данными ФИО самого предпринимателя?
Я отказался от всех перс данных, даже email не запрашиваю, но опубликована оферта, где естественно указано ИП Иванов Иван Иванович... Вроде перс. данные, а вроде и "название организации". Должен я, по их мнению, сам себя обрабатывать (ага, извращение) и сам у себя разрешение спрашивать и отчитываться об этом в РКН?
Имена ИП, как я понимаю, это открытая информация, ее например можно с сайта налоговой скачать.
А вот что касается выполнения всех требованиях ипэшником, типа: назначение ответственного, ведение журнала учета доступа в помещение, где хранятся ПД, назначение комиссии для утилизации ПД и пр., то мне тоже до сих пор не понятно, как документально ипэшник (без работников) должен всё это оформлять.
Про РКН - не знаю. Но, по закону (и Конституционный Суд РФ в постановлении №22-П от 25.05.2021 тоже это указал) - открытая информация из общедоступных источников может использоваться без разрешения.
В части ИП - это ФИО + всё прочее, что он указал (согласно статьи 5 ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" от 08.08.2001 N 129-ФЗ - в общедоступных гос реестрах нет телефонного номера, а адрес электронной почты - только при указании таких сведений в заявлении о государственной регистрации).
А мне прям очень интересна техническая сторона вопроса. Потому что проверка сайтов на таком уровне это прям задача уровня Гугла.
Коллеги-разработчики, какими бы инструментами вы её решали, учитывая, что структура сайтов разная, фронтенд фреймворки, на которых они написаны тоже разные, есть статические и динамические элементы и прочая фигня. Это не парсинг HTML, тут прям реально надо сайт рендерить в каком-нить headless chrome. А это долго и дорого.
Мы пытались в свое время решить задачку нахождения на странице сайта формы отправки резюме на вакансию и сабмит этой формой с данными пользователя. (Автоотклик на вакансии). Мы знали только то, что форма на этой странице есть (Но не знали в каком виде. Это могла быть динамическая всплывашка, например). В итоге на связке Gemini + Playwright сабмит одной формы стоил порядка 6 баксов и занимал кучу времени, пока модель научится.
Я понимаю, что для РКН это не деньги, но учитывая количество сайтов....
Логика подсказывает, что с учетом штрафов, это выгоднее делать вручную проходя по списку тех, кто донес на себя, что имеет дело с персданными, а также по топу сайтов по посещалке.
(А деньги на разработку супер-бота уже освоили, не переживайте)
Коллеги-разработчики, какими бы инструментами вы её решали, учитывая, что структура сайтов разная, фронтенд фреймворки, на которых они написаны тоже разные, есть статические и динамические элементы и прочая фигня.
Однозначно - путем радикального уменьшения входящей выборки до приемлемых цифр, например до десятков ли сотен тысяч. Да и в этом случае вести дела вручную так или иначе придется по всем, т.к. нарушения найти можно у всех (при таких резиновых трактовках). Т.е. тоже нереально. И очевидно, что проблема организационная, проблема в трактовках. Поэтому вариантов кроме выборочных показательных проверок я не вижу.
выгоднее делать вручную
И тут вспоминаем, что МинЦифре зачем-то срочно понадобились тысячи высококвалифицированных программистов из Индии
Мне вот интересно, когда РКН займётся Максом? У него ведь нет "Согласия на обработку персональных данных "
Или "Это другое!"
ООО «К» включено в реестр Роскомнадзора как оператор, осуществляющий обработку персональных данных. Регистрационный номер в реестре — 26-22-009xxx. Дата начала обработки персональных данных — 31 августа 2022 года
(c) Алиса
https://pd.rkn.gov.ru/operators-registry/
Итак, я прихожу к выводам, что чтобы ты ни делал - нарушение можно вегда найти при таких широких трактовках.
Например, даже фиксация согласия/несогласия с куками не может быть обработано без нарушений. Технически невозможно обработать согласие/несогласие без IP, кук или иных идентификаторов посетителя.
Выводов два:
1) Само по себе взятие и фиксация согласия/несогласия можно трактовать как нарушение, ибо обработка началась ДО согласия/несогласия.
2) Что-то не так с трактовками ПД. Особенно трактовка самих по себе кук как персональных данных. С технической точки зрения - это нонсенс. Куку (номер в куке) генерирует сайт, а не пользователь. Объективно этот идентификатор в куке можно трактовать как ПД только в случае привязки этого номера к реальным ПД.
Помните мультик "Козлик, который всех сосчитал"? Вы реально считаете, что этот козлик собирал персональные данные? А ведь он по сути использовал метрику.
Сотрудник РКН вручную перепроверяет уведомление. Теперь проверяют не просто «есть или нет», а его содержание и реальное соответствие сайту — категории данных, субъекты, сроки, и так далее.
Ключевое слово "вручную"... Сколько миллионов юрлиц, ИП, физлиц? Сколько миллионов сайтов? Даже автоматически все просканировать и проанализировать - это сложная техническая задача при таких объемах. А чтобы еще и вручную всё детально проверить... по-моему нужны миллионы работников...
скорее всего проверяются сайты, где известен ответчик. Сайты, где сложно установить владельца, проверять не имеет смысла. Так что, миллионы работников не нужны.
скорее всего проверяются сайты, где известен ответчик.
Этот факт ведь тоже надо установить. Т.е. чтобы классифицировать, надо предварительно обработать все сайты. Да, это не вручную, но даже автоматически это сделать - нетривиальная задача (ввиду объема).
Да не надо всё. Берём базу налоговой и смотрим, у каких ИП есть сайт. Проверяем на несоответствие формальным требованиям и нахлобучиваем.
Сейчас же новинка появилась - домены в зоне ру должны быть с верифицированным владельцем. И вот у нас есть список доменов и владельцев. Далее запускаем какую-нибудь нейросеть, которая смотрит на рендер страницы и решает, есть ли тут что-то похожее на личный кабинет или на форму ввода. И ещё пусть ходит по ссылкам - ищет политику по данным и оферты.
И обрабатывать надо не все. Нужен не список сайтов-нарушителей, а генератор, который yield-ит сайты и фигачит автоштрафы. Ну и похер, что половина некорректная. Как тут уже писали, сначала заплати, потом разбирайся.
Сейчас же новинка появилась - домены в зоне ру должны быть с верифицированным владельцем. И вот у нас есть список доменов и владельцев.
Не поможет. Домены в компаниях зарегестрированы на кого ни попадя. По большей части на физлиц.
Далее запускаем какую-нибудь нейросеть, которая смотрит на рендер страницы и решает, есть ли тут что-то похожее на личный кабинет или на форму ввода.
Работа с десятками-сотнями миллионов нестандартизированных разношерстных документов - нетривиальная задача. В лоб ее не решить. То, что хорошо работает на тысячах документов, совершенно не будет работать на десятках миллионов. Готовые решения не подойдут, нужно разрабатывать весьма хитро работающие свои решения. Да и просто обойти все сайты рунета - уже непростая задача. В общем, с кондачка такие вопросы не решаются. Разве что показухи ради можно замутить...
А рендер сайта уже сейчас можно скармливать нейросети и спрашивать - есть ли там личный кабинет, куда нажать, чтобы в него войти.
Этих физлиц и штрафовать, всё так.
в компаниях зарегестрированы на кого ни попадя. По большей части на физлиц.
Тоже неплохо.
А договор о возмездной аренде сайта есть? Нету? Ну тогда другая статья - уклонение от налогов.
> генератор, который yield-ит сайты и фигачит автоштрафы .... сначала заплати, потом разбирайся.
В США почти так и случилось. Какой-то принципиальный рыцарь заметил, что из-за тупых ошибок JS-макак в БД ихнего ГАИ что-то около 5% штрафом с номерами "null"
Поскольку на его письма про явную ошибку все положили прямой полицейский болт - он решил довести до абсурда, и поставил себе на машину номерной знак null. Теперь платит за всю Америку, в том числе за штаты, в которых никогда не был, и за модели автобусов и грузовиков, которые отродясь не водил. Как сказал судья, "у нас нет причин не доверять полицейским программистам"
Цель обработки персональных данных
поиска и отбора кандидатов на вакантные должности, рассмотрение вопроса о приеме на работу и возможного трудоустройства,соблюдение Трудового законодательства РФ и иных нормативно-правовых актов,оформления на работу,оформления командировок,начисления заработной платы и листков временной нетрудоспособности,исчисления и уплаты предусмотреннных законодательством РФ налогов и взносов на обязательное социальное и пенсионное трахование,представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений Персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС РФ, сведений в ФСС РФ, предоставления сведений в банк для оформления банковской карты и перечисления заработной платы на карты, третьям лицам для оформления полюса ДМС,исчисление и уплату предусмотреннных законодательством РФ налогов и сборов
То есть это вообще к сайту отношения не имеет, это о приему людей на работу.
Ответ бухгалтера
не очень поняла, что вас возмущает.... все организации должны были быть зарегистрированы в этом реестре иначе штраф, ответственный естественно директор. Это мы делали уже давно, как только появился этот закон о персональных даннных
А разве "Уведомление в РКН" вообще все должны делать? В свое время я читал, там было про то что это актуально для трансграничной ответственности или что то типа того
Интересно, будут ли штрафовать госсайты, на которых персоналка торчит в сети? Пример - данные паспорта, места проживания, телефон конкретных лиц?
У меня еще вопрос возник по регистрации цветных принтеров и копиров.
Читаю старое постановление от 1994-го года: https://docs.cntd.ru/document/9009239/titles/65A0IQ
ПРАВИЛА
учета, хранения и использования в Российской Федерации средств цветного копирования (оперативной полиграфии, копировально-множительной техники, капельно-струйных принтеров)*(с изменениями на 24 февраля 2009 года)
...
Граждане и руководители (представители) предприятий обязаны в течение месяца со дня приобретения средств цветного копирования представить в орган внутренних дел соответственно по месту жительства или по месту нахождения предприятия либо по месту использования средств цветного копирования паспорт либо иной документ, удостоверяющий их личность или служебное положение (полномочия), а также письменное заявление произвольной формы о регистрации указанных средств*.
__________________
* На средства цветного копирования, приобретенные до утверждения настоящих Правил, заявление представляется в течение месяца со дня их опубликования.
К заявлению прилагаются:
копии документов, содержащих необходимые сведения о средствах цветного копирования (наименование, фирма-изготовитель, модель и номер);
акт органа государственного санитарно-эпидемиологического надзора о соответствии эксплуатируемых средств цветного копирования санитарным правилам;
сертификат соответствия средств цветного копирования установленным требованиям;
копия приказа (распоряжения) руководителя предприятия о назначении лица, ответственного за учет, хранение и использование средств цветного копирования на предприятии.
Заявление о регистрации средств цветного копирования остается без рассмотрения, если гражданин или руководитель (представитель) предприятия не представил документы, предусмотренные настоящим пунктом.
Гражданин или руководитель (представитель) предприятия обязан в течение 10 дней устранить указанные недостатки и представить в органы внутренних дел документы, необходимые для регистрации средств цветного копирования.
Все говорят, что это постановление отменено Верховным судом. Но вот я читаю, что отменен лишь п.3 и только в отношении граждан:
Пункт 3 настоящих Правил не действует и не подлежит применению со дня вступления решения в законную силу в части, обязывающей граждан в течение месяца со дня приобретения средств цветного копирования представить в орган внутренних дел соответственно по месту жительства или по месту нахождения предприятия либо по месту использования средств цветного копирования паспорт либо иной документ, удостоверяющий их личность или служебное положение (полномочия), а также письменное заявление произвольной формы о регистрации указанных средств, предоставлять акт органа государственного санитарно-эпидемиологического надзора о соответствии эксплуатируемых средств цветного копирования санитарным правилам и сертификат соответствия средств цветного копирования установленным требованиям, - см. решение Верховного Суда Российской Федерации от 24 февраля 2009 года N ГКПИ08-2266.
Подскажите, правильно ли я понимаю, что в отношении организаций эти правила продолжают действовать? Если да, то в какой части?
С адресами email и логинами вообще полный бред.
Email как я понимаю является ПД, т.к. с его помощью можно идентифицировать человека.
Я специально переделал свой сайт, чтобы вместо email использовать простой обезличенный логин. И вроде все хорошо, ни чего не обрабатываю, но. Принимая через эквайринг деньги от клиента, я должен отправить ему чек. В чеке должен указать свой email (это уже ПД?).
А если при регистрации человек сделает логин вида "Ivanov_Ivan_Ivanovich", опять обработка ПД получается?
Плюс налоговая требует ( https://www.nalog.gov.ru/rn25/ifns/r25_03/info/16551508/ ) указать в чеке email или телефон покупателя. 🤬 Передача email в чеке - обработка ПД?
Всё вышенаписанное получается касается любого, кто принимает оплату в любом виде. Даже какого-нибудь продавца овощей в палатке. Чеки выбивать обязан? Обязан. Покупатель электронный чек попросить может? Может. Отказать нельзя. И в этот самый момент начинается обработка ПД.
(Дальше писал матом про РКН, потом стер...)
А если при регистрации человек сделает логин вида "Ivanov_Ivan_Ivanovich", опять обработка ПД получается?
Требовать логины исключительно латинницей, тогда можно будет сказать, что ПДн в виде Ф.И.О. - это русскими буквами, а тут - только латинница, и логин не может быть ПДн по определению.
Видел разъяснения про email адреса, что если вида qwerty@mail.ru -не ПД. А если IvanovIvan@mail.ru это уже ПД. ( https://spmag.ru/dontknows/yavlyaetsya-li-elektronnaya-pochta-personalnymi-dannymi )
Ну то есть если хакер Вася Пупкин зарегистрирует себе адрес putin_vladimir_vladimirovich@mail.ru...
Или наоборот. Можно вспомнить недолгое, но яркое поветрие давать детям совершенно нечеловеческие имена. Bobby Tables и всё такое. Любой чёртов хэш может однажды оказаться чьим-нибудь именем, причём очень персонализованным, до абсолютной уникальности
Можно вспомнить недолгое, но яркое поветрие давать детям совершенно нечеловеческие имена.
БОЧ рВФ 260602 на Вас нет!
как бы смешно не звучало, но логин - это как бы больше пд в инете, чем что либо еще. )) Но не для юристов )
Покупатель попросить может, но свои данные сообщать не обязан. Как не отказать покупателю? Может выдать ему ссылку на скачивание чека?
Тратить деньги налогоплательщиков на то, чтобы у этих налогоплательщиков забирать ещё больше денег под предлогом защиты от злодеев. Гениально.
А если сайт частный (не предприниматель), на сайте есть форма для комментариев (спрашивают только имя, причем имя можно написать любое, даже вымышленное, и электронную почту), и при этом эта форма не работает (ничего не отправляет) - это считается обработкой персданных?
А какая проблема хранить все данные пользователя на стороне пользователя. Для сервера достаточно ID и меню "введите номер" без указания что и для чего. Возвращается время когда браузер будет offline app, открывать локальные html-льки. Serverless сервисы. Пользователь только загружает данные а на сервер идёт ноунейм запрос. То есть каждая компания предоставляет для анонимной работы просто веб-приложение а сервер размещается локально, тогда никакие персональные данные не уходят за пределы юзерспейс.
Ну вот возьмём какой-нибудь интернет-магазин. Алишечку, озончик, тысячи их.
Как вы понимаете, если в магазине не будет вашего адреса и списка покупок - то вы их никогда не получите. Во-первых, потому что магазин просто не узнает, что ему брать со склада и куда везти. Во-вторых же, потому что магазин просто не будет доверять данным, которые вы на вашем компьютере неизвестно как от балды нарисовали 5 минут назад.
Про всякие там чаты-форумы-игры тоже лучше забыть. Теоретически безсерверный p2p-клон ютюба существует. Но практически боюсь даже представить как долго там будет что-то банальное типа "поставить лайк" происходить.
Так канал зашифрован хендшейком. Адрес магазин забирает с локальной машины который предоставил пользователь локальным логином паролем - это его территория ответственности, далее этот адрес минуя базу данных магазина летит в службу доставки - там уже пускай паспорт проверяют (личные данные), в магазине только ID посылки. Мало того доставщику вовсе не обязательно иметь электронный тикет - всё сразу печатается и стирается. На коробке штрих-код с бумажной наклейкой, на нём и адрес доставки. По сути магазин вообще может работать только с идентификаторами а юзер может регистрироваться отдельно на сайте электронной сервисной курьерской службы которая является посредником. Вообщем этот костыль обыграют через юрлица которые будут применять ID и отстёгивать за них скажем процент, который они будут платить уже агрегаторам с персональными данными, в любом случае это всё уйдёт в рост цен, не в первой. То есть в принципе удобная позиция - если не хочешь возиться с нативными данными - заплати тому у кого они будут храниться Вася В ID iddqd, в поле ввода "адрес" будет "идентификатор адреса" этот iddqd может даже одноразовый для каждой сессии. Вроде как идентификаторы и случайные числа (пока что) не попадают под ограничения. А сам агрегатор будет иметь лицензию и просто стричь купоны. Это как сборы за переводы на карту и всякие комиссии - легко и просто это войдёт в стоимость товара.
далее этот адрес минуя базу данных магазина летит в службу доставки - там уже пускай паспорт проверяют (личные данные)
Но во первых "Алишечку, озончик, тысячи их" - это тоже служба доставки. Та самая, которая по вашему не должна хранить никаких адресов и прочих ПД. Вообще, пока маркетплейсы не вытоптали поляну - большинство интернет-магазинов были и службами доставки тоже.
хранить все данные пользователя на стороне пользователя
То есть служба доставки ТОЖЕ не имее тправа хранить мой адрес где-то кроме моего компьютера.
> Мало того доставщику вовсе не обязательно иметь электронный тикет - всё сразу печатается и стирается. На коробке штрих-код с бумажной наклейкой, на нём и адрес доставки
...и отсутствие возможности сверить данные и найти ошибку или мошенничество. Вы что-то дорогое покупаете, дешевый гастер-комплектовщик на складе на этикетку вместо вашего адреса впечатывает свой - и всё. Ваш товар уехал его маме. А вы уже ничего не докажете, потому что этикета (с поддельным адресом) осталась единственным источником информации.
обыграют через юрлица которые будут применять ID и отстёгивать за них скажем процент
Ну то есть по факту вы УЖЕ отказались от вашей идеи "Serverless сервисы" в пользу "серверов мало - но они есть, у олигархов"
И заметьте, я даже не начинал говорить о другой врождённое проблеме e2e (тоже по сути виртуальный serverless) - невозможности нормального доступа даже одному пользователю с нескольких устройств. Даже банальные текстовые чаты работают с большими неудобными ограничениями. А уж чего-то мало-мальски сложэное вообщзе не будет.
Условно, пришли вы к друзьям, увидели цацку, загорелись, с их компьютера вошли в Али-ЗОН, заказали-оплатили. Через неделю дома пытаетесь посмотреть - а атм заказа нету, снова собирайтесь и в гости идите. А там окажется, что у друзей ваших вирус случился или бросок электричества "Windows переставили" - и всё, и у вас вообще нет никакой информации о бывшей вашей покупке. Домашний компьютер, рабочий компьютер, телефон - на каждом из них будет отдельный независимый список покупок, который будет безвозвратно потерян при любой технической проблеме. Зато serverless.
Бот - это хорошо. Ботов надо сразу блокировать - их сейчас шастает 9 из 10 посетителей (и это без учёта ботов ПС).
А нужно ли нам, как пользователям, всё это — чтобы на сайтах были все эти галочки и т.д.?
Это не относится к текущей статье. Они пишут про какой-то Волгоград, у меня первый скрин из Ульяновска, про Волгоград вообще речи нет.
Там же фейковые письма рассылали как я понял с предложением «оплатить штраф» на счет мошенников.
А в нашем случае конкретные предписания от конкретных РКН, где на связи их сотрудники, и которые по телефону нам еще объясняют, какие галочки как ставить, и что одна на все документы не годится, ставьте три разных, и так далее.
Короче, мой пост и этот пост между собой никак не связаны, они про разное. Но по времени интересно совпало, конечно.
И вообще, честно говоря, тут Розеткед пишут ахинею. Они поставили ссылку на эту публикацию, хотя в публикации РКН в ТАСС не было ссылки ни на меня, ни на те предписания, которые я привел. Сейчас напишу им, чтобы удалили.
ответили? в итоге статья и ссылка в ней остались. так письма фейк или нет? с какой почты письма которые вы описываете приходили “name@rkn.gov.ru”?
а статью они там редактируют.
раньше было написано: "Информация о массовых штрафах компаниям за нарушение закона о персональных данных появилась днём 29 апреля. Источником стал один из пользователей портала Habr. Он заявил, что ведомство запустило автоматического бота для проверки всех сайтов российской доменной группы (.RU, .РФ и .SU) на соблюдение закона о защите персональных данных.
В частности, бот, по данным пользователя, проверяет все формы обратной связи на наличие чекбоксов о согласии с передачей персональной информации. Нарушителям якобы приходит предписание, где даётся 10 дней на устранение проблем."
сейчас поменяли на “Днём ранее, 29 апреля, на площадке Habr появился пост, где пользователь рассказал о запуске Роскомнадзором автоматического бота для проверки сайтов российской доменной группы (.RU, .РФ и .SU) на соблюдение закона о защите персональных данных. По его словам, ведомство начало массово рассылать компаниям штрафы за нарушение законодательства, ссылаясь на письмо от Управления Роскомнадзора по Ульяновской области.”
то есть их выдумка про рассылку штрафов ссылается на ваш пост, где про отправку штрафов не сказано (хотя штрафами в каждом абзаце пугаете). очень странная история…
Про согласие сотрудников на размещение фотографий несколько странно. Да, согласие должно быть письменным. Но с какого такого закона оно должно быть опубликовано на сайте? Пусть спокойно лежит в личном деле сотрудника.
И про отсутствие запрета другим использовать материалы сайта. В какой форме эти фотографии должны быть упомянуты в этом запрете?
Что за бот? Где он нем информация?
Откуда вы о нем узнали, как вычислили? Откуда знаете что он проверяет и как?
Какие предприниматели начали массово жаловаться на работу бота которая ведёт к штрафам?
Где почитать их массовые жалобы?
Пруфы будут?
Денег нужно в бюджет занести... дефицит вон какой. Вот и взялись искать кого насколько можно оштрафовать... Хотя я плюс минус согласен с такими требования. Только вот не для всех они увы... не для всех.
Интересно, а есть сайты, которые этим требованиям соответствуют? WB, Ozon, Yandex, VK, Почта России - даже не рядом. Есть пример относительно крупного сайта, где все правильно?
Штрафы за утечки неплохо бы еще в тысячу раз поднять, или оборотными сделать. А уж как бы хотелось, чтобы у них еще и обратная сила была... В осинт базах полно перс данных из утечек компаний, которые хранили явно избыточные данные, да и услуги в свое время были навязаны людям (например, утечки лабараторий, что ковид-тесты в аэропортах проводили).
Интересно, реально ли дневник.ру оштрафовать за явно исбыточный сбор персданных? Хранение всех данных из госуслуг школьников полагаю крайне избыточным. Если ркн поднимет штрафы в 1000 раз и оштрафует эту шарашкину конторку- можно простить им все блокировки))
У меня другой вопрос, а если я заключил договор между двумя физ лицами и в договоре фигурируют его данные, это тоже обработка ПД? И мы с ним теперь обрабатываем ПЛ?
Красивая картинка, драматичная, но избыточно мрачная. Во-первых, штрафы до 15.000.000 рублей не имеют никакого отношения к содержанию сайтов. Чтобы влететь на такие деньги, надо допустить массовую утечку персухи - и то не факт, что оштрафуют. Пока что самый "дорогой" штраф по утечкам - 400.000. А самый большой штраф вообще получил WA за нарушение требований о локализации - 17 лямов. Рядовым владельцам сайтов такие цифры не грозят в принципе. Любой косяк на сайте - это ч. 1 ст. 13.11, максимум 300 тысяч для юр.лица, 15 тысяч для физика. А могут и снизить. Суд может предупреждение назначить вместо штрафа, в 2025 г в 60% дел были предупреждения. Во-вторых, с ботом или нет, а РКН сайты проверял всегда. Соответственно, и предписания/запросы по результатам такого контроля РКН направляет регулярно. Что касается их "массовости" - она вызывает большие сомнения. Сайты можно проверить ботиком, но запрос ботик не оформит, для этого нужен инспектор. Этих инспекторов мало, с учетом того, что они и жалобы граждан рассматривают, у них ресурсов не хватит, чтобы нагенерить какое-то значимое количество запросов. Наконец, судебная практика за 2025 г показывает, что сайтовладельцы в основном игнорируют эти запросы. Ничего не отвечают. И РКН идет и штрафует по ст 19.7, за непредоставление ответа. Это 300 рублей для физика и 5000 рублей для юр.лица. До штрафов по ч. 1 ст. 13.11 КоАП РФ дело доходит крайне редко. И в значительной части случаев инициатор штрафа - не РКН с ботом, а прокуратура без всякого бота. Потому что может и хочет.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Началось: РКН запустил автоматический бот по сайтам — проверки ужесточили, предпринимателям массово шлют предписания