Как стать автором
Обновить

Комментарии 25

Я не понимаю почему закон о защите персональных данных прямо не запрещает передачу этих самых данных третим лицам? Есть например Яндекс-драйв, который собирает твои данных для своих нужд, но в соглашении указано 

Яндекс также может передавать Персональную информацию третьим лицам, не входящим в Группу Яндекса, для достижения целей, указанных в разделе 5 настоящей политики

То есть ты подписываешься на то, что твои данные фактически могут оказаться абсолютно у кого угодно. И как этот закон защищает мои данные если одной строкой в соглашении их можно распространить среди неопределенного круга лиц?

Ну вот попали вы в ДТП на Яндекс.драйве. Даже не по вашей вине. Яндекс скорее всего должен будет передать в страховую информацию, кто был за рулём. Не дав такое соглашение, передача данных сильно осложнится.

Проблема не в том, что "может", а в том, что:

1) не определяет четко кому и зачем

2) не дает вам варианта "нет, не хочу"

В этом плане GDPR - шаг в правильном направлении: там сборщик данных (Data Controller) обязан делать и то и другое.

Безусловным лидером нашего рейтинга оказался сервис записи в поликлиники ЕМИАС, который вообще не хранит никаких персональных данных, не требует регистрации и не собирает аналитических сведений.

Вы правы, У ЕМИАС присутствует яндекс аналитика на сайте и мы учли ее в категории "агрессивные cookie" (4 шт). Это один из самых низких показателей, причем самый низкий у Росреестра и Wildberries (по 2 шт.), а самый высокий у яндекс маркета (16 шт.)

Нужно учитывать, что cookie собирают абсолютно все сайты как минимум, чтобы хранить ключ сессии и версию устройства (напр., для отображения мобильной верстки). Но есть т.н. безопасные cookie (типа версии браузера), а есть более агрессивные (типа. Canvas, Audio и пр., которые фиксируют индивидуальные особенности вашего устройства при отображении графики или звука).

Почитать об этом подробнее можно в оригинальной статье The Elephant in the Background: A Quantitative Approach to Empower Users Against Web Browser Fingerprinting, а для непосредственного подсчета числа агрессивных cookie на сайтах мы использовали утилиту fingerprinting-monitor.

Согласитесь, что это не равнозначно "не собирает аналитических сведений". И важен вопрос, кто собирает куки, аналитику и далее по тексту: тот же хост, другой хост но того же администратора, или третья сторона. Так-то зайдя на сайт ЕМИАС мы неизбежно оставляем некоторый объем данных о себе и без всяких кук.

Кстати, я бы посоветовал указывать хосты, про которые пишете, т.к. у того же ЕМИАС (было?) несколько сайтов.

Согласен, не равнозначно. Поэтому мы рассматривали это как 2 отдельных критерия - наличие/отсутствие запрета на сбор аналитических сведений в соглашении и фактическое наличие аналитики на сайте. Сопоставить эти два критерия читатели могут самостоятельно.

Про хосты замечание приняли, мы изучали https://emias.info/

технологию заранее проставленных галочек

Прекрасная формулировка. С юмором ребята.

Галочки, наверное, «отказываюсь от сбора п.д.»?

И мы их по умолчанию сняли, какие мы молодцы

Не могли бы вы добавить в будущих исследованиях параметр "Запрет обработки и удаление персональных данных". Насколько трудно после того, как услуга оказана ограничить компанию в работе с твоими персональными данными? Например: есть кнопка на сайте - нажал и все удалили, письмом по эл. почте, письмом по обычной почте, только личным визитом и "все равно будем обрабатывать мы же банк".

Непонятно как действовать с рекламой, которая приходит вместе с важным сообщением, например, с данными по заказу или чеком об оплате. Вроде согласия не давал, а иди отбейся от этих "подарков от наших партнеров".

С Озоном, по моему опыту ситуация плохая: в приложении можно даже не вводить почту, но при этом они будут слать рассылки и рекламу по адресу эл. почты указанному в момент оплаты для отправки чека. Отписываться от такой рассылки придется каждый раз после очередной покупки.

А вот с чеком явное не целевое использование, пиши в ркн

Скорее в ФАС, РКН скажет, что один адрес электропочты - это еще не персданные.

Мы изначально включили раздел "порядок отзыва согласия на обработку персональных данных" в сравнение, но выяснилось, что там у всех все одинаково плохо. Почти ни у кого нет отдельного отзыва на рекламу, т.е. если вы отзываете согласие, то вместе с этим вы расторгаете договор. Чаще всего вы можете отключить рекламу внутри приложения или на сайте, но это не отменяет ваше формальное согласие на обработку ПД для каких-либо других целей.

Да, мысль понятна. У большинства написано, что можно отозвать согласие, у единиц указано, что можно отозвать его путем отправки письма на почту. Нет смысла это анализировать, кроме как в категории "катастрофа и ужас".

Кстати, в этом плане мне очень нравится инициатива Apple в том, что во всех приложениях должна появиться возможность удаления учетной записи. Посмотрим, как этот момент будут реализовывать все перечисленные вами компании.

У вас есть некоторые неточности по поводу банков.
Вот например прямо сейчас у меня работает приложение тинькова вообще без выданных разрешений. Откуда у вас 8 обязательных?
ВТБ требует только доступ к звонкам.

Вы запускаете под Андроид или iOS? Мы опирались на официальную страницу приложений в Google Play, считали разрешения без отметки "Необязательно", см. скрин ниже - "Действия в приложениях", "История поиска в приложении", а также "Журнал сбоев", "Данные диагностики" и "Другие данные о производительности приложения" и др. идут без отметки "Необязательно" как например под пунктами "Установленные приложения" и "Другие действия".

Скрин перечня разрешений в Google Play

Андроид.
На вашем скрине не про разрешения, а про то какие данные может собирать приложение.
Список разрешений почему-то убрали из маркета.


Вот скрин с телефона

Спасибо за уточнение, надо поменять формулировку.

Мне нравится, как сделано у Ситилинка - "мы не запоминаем номер вашей карты"))

Про авито и отсутствие биометрического сбора — ложь же. Они сейчас активно верифицируют аккаунты посредством сбора фотографий с паспортом, например

При выставлении оценок по этому пункту мы опирались исключительно на положение соглашения, а у них написано "п. 3. Мы не обрабатываем биометрические персональные данные и специальные категории персональных данных.". Проверить соответствие соглашения фактическому положению дел читатели могут самостоятельно (и при желании написать обращение в тех. поддержку).

Автор не преследует целей рекламы или анти-рекламы

В статье явно чего-то не хватает

Стараемся разбавлять хабр некоммерческими статьями :)

Здравствуйте! В приведенном вами примере речь идет о сборе информации из открытых источников. Авито надежно защищает данные пользователей, в частности, недавно мы распространили сервис защиты номера на всех частных продавцов, что делает бессмысленной работу парсинговых программ.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории