Комментарии 122
> если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД и обязаны соблюдать требования закона.
Довольно сильное утверждение, хотелось бы увидеть обоснование. Номер телефона в отрыве от ФИО или номера паспорта, или иных идентифицирующих сведений ("+7-905-909-99-99 Миша К.") не является персональными данными, т.к. нет лица, которое он однозначно идентифицирует
Классическое определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных. Номер телефона определенно является персональными данными так как он позволяет уникально идентифицировать человека при наличии доступа к базе данных телефонных номеров.
При этом не так и важно есть у оператора доступ к этой базе данных или нет, важна сама возможность.
То же самое касается и IP адреса. Даже при динамических адресах, зная время и имея доступ к данным интернет провайдера теоретически можно идентифицировать человека.
То же самое касается и IP адреса. Даже при динамических адресах, зная время и имея доступ к данным интернет провайдера теоретически можно идентифицировать человека.
Вряд ли это будет идентификация человека. Максимум компьютер, который был в сети, а вот кто им пользовался останется неизвестным.
Я согласен, что это спорный момент и далеко не всегда компьютер == человек.
Тем не менее, к примеру, GDPR явно относит IP адреса к PII, формулировка в российском ФЗ-152 тоже позволяет отнести их к персональным данным
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Это весьма широкой определение под которое могут попасть много неожиданных данных, даже данные геолокации (местоположение человека в рабочее время и местоположение в ночное часто позволяет практически однозначно определить человека).
Это не я сам придумал - научили на тренингах по PII. И хотя они были ориентированны в основном на западное законодательство GDPR, CCPA, HIPPA и тп, они точно так же широко формулируют персональные данные и общая рекомендация подходить к этому осторожно - даже если явно не сказано, что что-то это PII, относиться к ним так, если есть хоть какой-то способ идентифицировать человека с их помощью. И они могут быть персональными данными не в одном законе, так в другом, не сегодня так завтра.
ip-адреса остаются в логах сервера, значит и без ФИО, всеравно оператор ПД?
Уведомление в Роскомнадзор
Вот с этого пункта и начнутся ваши приключения. Вне зависимости от того, что вы делаете, государство поступает по принципу "коготок увяз - всей птичке конец", у вас будут запрашивать дополнительную информацию, например серийные номер оборудования на котором вы обрабатываете ПД (вы же сами признали, что бы это не значило), оно, разумеется должно быть сертифицировано, и пошло поехало...
А зачем вообще уведомлять Роскомнадзор, если по их же определениям не возможно быть юр лицом и не обрабатывать ПД? Но зачем-то это нужно и если не уведомлять Роскомнадзор, то и спрашивать о сертифицированном оборудовании у вас не будет.
Выглядит так: У вас есть лишние деньги? Нет, ну ладно, пока гуляйте.
А если добавить отпечатки пальцев, показания родственников и т.п. ?
Если есть отпечатки пальцев, то для чего IP?
Чтобы найти клавиатуру, по которой стучали.
Если у Вас есть отпечатки, значит клавиатура уже у Вас. Зачем IP?
Сначала по IP и данным провайдера идентифицируем девайс, потом снимаем с него отпечатки для идентификации пользователя.
Так пользователя Вы будете идентифицировать по отпечаткам, а не по IP. Из чего следует что IP не является персональными данными. Если известно, что правонарушитель уехал на трамвае №4, это же не говорит о том, что номер маршрута трамвая это ПД конкретного человека.
это же не говорит о том, что номер маршрута трамвая это ПД конкретного человека.
Если, как сказано выше, "определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных " - то маршрут трамвая тоже ПД. Да, в действующем законодательстве определение другое.
> Классическое определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных
Нет, в 152-ФЗ (раз мы в его контексте рассуждаем) дано другое определение, подменять его не следует.
А раз определение другое, то и рассуждения про IP тоже сомнительны
И тем не менее Верховный суд в 2020 посчитал IP адрес персональными данными https://www.law.ru/question/163895-otnositsya-li-ip-adres-k-personalnym-dannym
Ведь по вашей ссылке четко сказано, что:
Так, Тринадцатый арбитражный апелляционный суд не признал персональными данными IP-адрес в постановлении от 05.07.2017 № 13АП-5614/2017. Суд посчитал, что такая информация не соответствует принципу точности согласно части 6 статьи 5 Закона о персональных данных. В других регионах суды считают, что IP-адреса компьютеров пользователей — это персональные данные, которые обрабатывает владелец сайта
Любое использование материалов допускается только при наличии гиперссылки
Так что практика неоднозначна.
Постановление 225-АПУ19-4 в открытом доступе не нашел, но, судя по ссылкам на него, там вообще уголовное дело рассматривается.
Но я видел и другое дело, на которое часто ссылаются относительно ip и куков. Однако, там речь шла о совокупности данных, в число которых входили и куки и ip, и... чуть ли не паспортные данные.
при наличии доступа к базе данных телефонных номеров
То есть, если я сейчас за 5 минут напишу скрипт, который по шаблону +7 495 xxx xx xx генерирует все возможные сочетания цифр (от 000 00 00 до 999 99 99), то это будут персональные данные? Ведь среди них неизбежно окажутся действующие номера москвичей, а при наличии доступа к базе...
Ну вы так же можете нагенерить номера паспортов, имена и так далее.
Персональными данными они считаются только связаны с конкретным пользователем. Например, если вы требуете для регистрации на сайте номер телефона, то должны следовать законодательству о персональных данных.
Здесь важна точность формулировок. Если подразумевать совокупность данных, то вопросов нет - легко можно придумать ситуации, когда ip дополняет идентификацию конкретного физлица. Но сам по себе ip (в отрыве от прочих данных) идентифицирует только узел и в большинстве случаев - промежуточный узел. По ip нельзя даже определить, человек открывает страницу или бот.
Тут зависит от контекста.
Скажем комбинация "Иванов Иван Иванович получает 100 тыщ рублей" сама по себе не является ПД, потому что таких Иванов Ивановичей в стране - пруд пруди.
Но та же комбинация, вывешенная на стенде в организации, где такой Иван Иванович только один - уже позволяет идентифицировать конкретного человека, следовательно - является ПД.
То же самое с IP. Пока это просто GET-запрос с адреса 1.2.3.4 - это ещё не ПД. Но как только мы можем связать этот адрес с логином конкретного пользователя, который заполнил анкету у нас на сайте - IP становится частью ПД.
Ну если уж доводить до абсурда, то тогда можно утверждать, что почти каждый сайт занимается трансграничной передачей данных (а там штрафы уже исчисляются миллионами). Ведь почти каждый сайт использует гугл-шрифты, скрипты и прочее, загружаемое в браузер посетителя с серверов зарубежных компаний. А при загрузке эти сервера фиксируют ip посетителей сайта. На этом фоне (с миллионными штрафами) штрафы за форму выглядят копеечными. Но может быть, просто не надо доводить до абсурда?
Но может быть, просто не надо доводить до абсурда?
Это вы чиновникам из роскомнадзора скажите, которые в какой-то момент могут захотеть легких штрафов нарубить.
Смотрите, ипэшников и юрлиц у нас под десяток миллионов. Сайтов наверно еще значительно больше. Каждый штраф надо оформить, собрать хоть какие то доказательства, зафиксировать и пр. Сколько человек работает там? Сколько они осилят наложить штрафов? Чисто теоретически. Можно посчитать вероятность попадания под этот домоклов меч.
А имя челловека — это персональные данные? Если я выйду на улицу в футболке со своим именем, должен ли каждый грамотный встречный идти платить штраф?
Просто телефон не является ПД. Вот вам номер - +79999999999 - идентифицируйте
Слава богу РКН не вкурсе про биомеханику.
А то - сайт получает события от мыши? Регистрируйся как ПДшник.
Скоро чтоб запустить сайт нужно будет собрать лицензий больше и дороже чем для открытия нефтяной вышки.
Форма реги есть? Делай кучу бумаги и решайся в сотне органов.
Чатик на сайте есть? Ооо. Красава, ставь сорм и регайся как ОРИ, и да, не забудь установить оборудование для сорм на 3+ миллиона.
Малый бизнес убили. Следующими на очереди сайтики на 3 человека. Додавим до визга.
Проблема в том, что определение персональных данных и того, что с ними связано, трактуется государством так, как государству выгодно в конкретный момент.
Можно вспомнить случай с одним из сайтов Навального, где была форма обратной связи. Стандартная форма вида "Имя и что вы хотели нам написать". Прокуратура решила, что в форму человек может ввести свои персональные данные (например, паспортные - ведь технически может же), а значит, тут осуществляется их сбор и обработка.
Таким образом, если стоит цель вас закошмарить - вас закошмарят за простую форму из двух полей.
Все sim карты в РФ обязаны быть привязаны к паспортным данным. Так что должны идентифицировать.
Можно ли не ставить галку, а просто написать, "Нажимая кнопку Оправить, вы соглашаетесь..."?
С нас требовали галку, как более явное согласие
скорее нет, чем да. Так как тут могут придраться, что одно действие подменяется другим. Согласие же должно иметь критерии того, что оно дано свободно, однозначно, своей волей и вот это всё. А тут по сути согласие хитро впихнуто в иной процесс отправки формы. А может я отправить то хочу, но соглашаться не хочу. И вот если бы была отдельная галка, я бы опомнился и не стал этого делать. А так я нажал Отправить и не понял, что еще и неявно выразил согласие.
Короче, РКН раскалупает легко такую конструкцию если захочет
если я делаю следующий сайт:
люди регистрируются и покупают на нём какие-то услуги
люди видят части сайта в зависимости от оплаченного
То мне придётся держать
email/телефон - потому что логин/авторизация
список оплаченных услуг
И вот как правильно что мне делать?
Скорее всего, вы будете запрашивать и имя, раз там услуги. Это однозначно требует регистрации, как оператора ПДн. Если память мне не изменяет, то почта с телефоном -- уже совокупность данных, так что туда же.
Мы делали MVP небольшого сервиса и чтобы не сталкиваться с 152-ФЗ оставили из всех данных пользователя строго email. Ни ника, ни имени, ни телефона.
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие.
Так и вижу вместо уже ставшего классическим чекбоксом "Согласен" - поле для загрузки листа ознакомления подписанного КЭЦП. Ну или как минимум кнопку инициации запроса к криптопровайдеру или плагину для подтверждения действия с использованием СКЗИ. Кстати у MetaMask неплохо реализован запрос на подпись контракта криптокошельком, но как-то всё это не для бабушек, которые хотят подписаться на невинный гороскоп или узнать наличие валокордина в ближайшей аптеке.
Очень жаль, что при настолько прогрессирующей уже почти ПД-шизе, мы всё равно регулярно слышим о грандиозных сливах.. И отдельно хотелось возмутиться отсутствием прогрессивной шкалы исчисления размера штрафа. Всё-таки довольно сложно ставить в один ряд многомиллиардный ресурс и местечковый форум или сайт-визитку
Не на прогрессивные, а на оборотные, наверное вы хотели сказать - зависящие от оборота компании.
И отдельно хотелось возмутиться отсутствием прогрессивной шкалы исчисления размера штрафа. Всё-таки довольно сложно ставить в один ряд многомиллиардный ресурс и местечковый форум или сайт-визитку
Так уже... ввели прогрессивную шкалу за утечку, начиная с 1000 единиц утекших данных. Только там есть нюанс - минимальный порог штрафа, который огромен. И если для крупной компании оборотный штраф в несколько процентов не смертелен, то для мелочи этот минимальный порог во многих случаях означает мгновенное закрытие и вероятно банкротство. А 1000 аккаунтов - это например, мелкий интернет магазинчик или форум/блог небольшой.
Да! В том и суть, что ввести-то ввели, только снова малышей придушили.. Вы всё правильно пишете. И согласитесь, разный эффект, когда это 1000 банковских карт и кредитных договоров или 1000 корзин с мини-магазина бижутерии. И то и то - ПД, но как-бы... эх, даа
Оборотный штраф в несколько процентов смертелен именно для крупных компаний - и мотивирует их дробить. Вроде очевидно почему. :-)
А вот нижний порог смертелен для мелочи - ну так и лоббирует такие законы крупный бизнес, задача которого консолидировать рынок. Маркетплейсы, конечно, имеют все необходимые ресурсы, чтобы соблюдать любой набор регуляций. И департаменты юристов на зарплате для судебной работы.
Значит мелким компаниям не нужны персональные данные! А то каждый захудалый магазинчик норовит выманить телефон, чтоб самим спам рассылать, и перепродавать другим.
Не нужны ни телефоны ни ФИО для коммерции, email и договора с платёжным шлюзом достаточно.
Нету денег на ИТ безопасность, значит ПД вам не нужны!
Телефон и адрес объективно нужны для доставки товара. Иначе как товар доставить?
Ну, и расширенная нечеткая трактовка персональных данных, не позволяет однозначно определить, что относится к ПД, а что не относится. Например, относится ли email/телефон/ip/cookie/логин к ПД, сами по себе или в совокупности с чем-то? Всё это, как я понимаю, отдается на откуп проверяющим.
Да и выходят законы, обязывающие идентифицировать личность при аутентификации (но здесь я не уверен в деталях).
What is "КЭЦП"?
Мой Чатлано-Пацакский словарь вероятно не полон:
З. Ы. С 2011 года термин звучит как "Электронная Подпись". Поэтому
ПЭП, КЭП, НЭП, УНЭП, УКЭП
З. З. Ы. "Ц" в терминологии до 2010 года появилась наверное из-за того, что импортный лектор, который читал лекции авторам термина Элетронно-цифровая Подпись несколько заикался, и в конспект слушателей попало что-то вроде
"Ди-Дитжитал Сайгн" / "Дидж-Дидж Сайгс"
Ну а при переводе этих конспектов пришлось выкручиваться и плодить "масляное масло".
What is "КЭЦП"?
Квалифицированная Электронная Цифровая Подпись, же)
Просто к "Электронным Подписям" относят и персональные/личные подписи работающие например через СМС или через УЗ на порталах, но такие подписи имеют свои ограничения и не для всего подходят. КЭЦП была приведена в качестве гиперболизации образа.
Не надо гиперболизировать так...
Вот ссылка на закон. Первая редакция вышла в 2011 году
https://www.consultant.ru/document/cons_doc_LAW_112701/
Да. До 2010 года в русском была неопределенность как называть Электронные подписи. Но с тех пор прошло 15 лет.
Если хотите выделиться, и использовать не меньше ТРëХ букв для обозначения электронных подписей, то можете взять сочетание computer generated signature (CGS). Оно Имхо тоже устарело, но хотя бы не содержит тафтологию
Не уверен, что email, номер телефона, ip или логин являются пд.
Форма на сайте еще не означает, что данные как-то обрабатываются или хранятся в отрытом виде. Или в законе есть прямое указание на обратное?
если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД
Судебная практика говорит, что это не так - есть позиции ВС и КС, по которым одно имя или телефон - не ПД.
Я с трудом представляю себе форму с одним лишь email (или телефоном). Равно как и ценность таких такого объекта данных для бизнеса.
Ну в плане, ок, но это очень нишевое применение. В голову приходит например какой-то бесполезный калькулятор подсчёта символов в строке - вообще без сохранения куда либо. А из более подходящего для бизнеса - единственное что приходит на ум: подписка на спам от компании. Причём максимально бесполезный, т.к. нельзя его обогатить другими уточняющими данными не переведя данные в статус ПД. Т.е. если юзер ввел свой мэйл - нужно просто добавить его в лист рассылки. При этом нельзя собрать данные с какой страницы он подписался, предположить на основе данных сайта какая информация ему более интересна, использовать пиксель или сервисы сквозной аналитики для получения uid юзера, его интересов, откуда пришёл, реквест, айпи или фингерпринт и пр.. Даже нельзя запомнить такого юзера и состояние поля ввода на форме, потому что если мы привяжем его мэйл хотябы к сессии - это уже ПД. В общем это как-то очень сомнительный кейс, а главное - бесполезный для бизнеса. Проще уж всё сделать по правилам и иметь полный карт-бланш.
И кстати, а что делать с .log? Если сервис логирует всё достаточно подробно, то хранение логов - также хранение ПД, ведь там и реферрер, и айпи и точное время запроса и данные браузера могут быть. А в некоторых плохо спроектированных системах там даже чувствительные данные гуляют порой (и повезёт если не пароли).
В общем всё это на словах хорошо, но по факту любое использование сервиса сложнее голого html - почти гарантированно генерирует ПД.
Я с трудом представляю себе форму с одним лишь email (или телефоном). Равно как и ценность таких такого объекта данных для бизнеса.
Это уже вопрос к автору, который утверждает, что сбор одного лишь номера телефона или одного лишь имени (даже не ФИО) - это обработка ПД.
форму с одним лишь email (или телефоном)
Стандартная современная формочка для логина (после ввода появляется другая форма для ввода кода, пришедшего на почту или в SMS).
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением.
Вроде бы разрешено обрабатывать данные, необходимые для оказания услуги, безо всяких согласий. Вы, например, можете отозвать согласие у банка, но продолжать оставаться его клиентом. Все эти согласия давно стали фарсом.
Эти требования касаются не только крупных компаний, но и малого бизнеса, ИП и даже самозанятых и физлиц. Чем больше вы собираете данных — тем больше ответственности.
Каждый хранит в своем телефоне ФИО и телефоны, знакомых, родственников, контрагентов, каждый получается оператор ПД.
С юридической точки зрения нет, ибо эти данные вы используете в личных целях. Однако, мы уже сталкиваемся с законодательной практикой, когда всевозможных исследователей, осинтеров и "пробивщиков" на вольных хлебах, обкладывают ограничениями и ответственностью, за использование таких данных.
Нет, закон самоустранился от регулирования в этой плоскости нормой в статье 1:
2 Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
Отправка уведомления в Роскомнадзор после начала обработки Это будет нарушением с 30 мая.
А если до 30 мая успеть уведомить, что давно обрабатываешь, то не будет нарушением? )
Считаю РКН выдающейся в своей бесполезности шайкой паразитов. Это не эмоционально, это фактически.
В далёком году приезжали паразиты на завод и задали "коронный" вопрос. Получаем разрешение на обработку персданных, используем их, они уходят в архив, субъект отзывает разрешение. Наши действия с ПДн отозвавшего в архивах?
Уничтожить, согласно вашей политике работы с ПДн.
Уничтожить или обезличить, если законодательством явно не установлена невозможность этого действия.
Скажем, кадровое законодательство требует от работодателя хранить данные работника, даже уволившегося, в течение 75 лет, поэтому тут хоть сотню отзывов напиши.
полностью поддерживаю. Но по факту, это всего лишь очередная попытка покошмарить народ. У озвученной инстанции нет нормальных алгоритмов и процессов для того чтобы отслеживать работу сайтов в части ПД. И расчет как раз на тех кто подаст это самое уведомление и засветится в РКН)))
Не знаю как тут будет, но с блокировкой незаконного контента было нормально, у меня была доска объявлений, регнулся в РКН, они присылали требования удалить нарушающий закон контент, давали несколько дней. Удалил, ответил на письмо, получил ответ с подтверждением того, что претензии сняты. В принципе - нормальная работа по чистке рунета. В законе о ПД штрафы жуткие, действительно, и это для большинства мелких фирм будет не подъемно
В далёком году приезжали паразиты на завод и задали "коронный" вопрос. Получаем разрешение на обработку персданных, используем их, они уходят в архив, субъект отзывает разрешение. Наши действия с ПДн отозвавшего в архивах?
Какой нетривиальный вопрос, ведь 152-ФЗ не распространяет своё действие на "отношения, возникающие при [...] организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации" (ч. 2 ст. 1)
Что Вы им ответили, какой ответ они хотели услышать? Предоставить письменный отказ в отзыве персональных данных?
Вроде бы очень простой вопрос. Ответ - данные субъекта ПДн организацией не обрабатываются, хранятся в соответствии с требованием закона об архивном хранении. Никакие действия не требуются, кроме ответа субъекту ПДн о статусе его данных.
А вот и нарисовалась одна из граней цифрового концлагеря.
Если это форум, где 4 поля: логин, мыло и пароль 2 раза, то нужно ли все это?
Обязательно нужно, ещё кучу всего нужно, и ещё нужно нужно сделать иначе штраф!!!!!!
Ну так только кажется, что их всего 4. А внутри дальше нет полей для кастомизации? Ник, аватарка, город, год рождения и пр.? Это помимо того, что каждому юзеру присваивается уникальный айдишник, по которому можно найти все его посты (которые могут содержать также персональную информацию), историю сессий/входов, данные о лайках, просмотренных страницах, иногда даже об устройствах с которых происходил доступ, данные операционных систем и браузеров. Так что тут даже сомнений нет в том, что форум - рассадник ПД
Чтобы понять всю глубину проблемы, нужно почитать, как внедрение GDPR происходило в Европе. В Германии, скажем, за малейшее несоблюдение правил (например, сайт пропускает какие-то кукисы без согласия пользователя) может прилететь такой штраф, что мама не горюй. Прецеденты были с миллионными штрафами, можно найти в интернете, началось ещё в доковидные времена.
Маленькие фирмы и частные сайты мало кого интересуют, а вот сайты и шопы весомых компаний проверяли под микроскопом. Специально для этих целей создавались фирмы-"паразиты" - шакалы, подобно "адвокатским" фирмам, нацеленным на поиски контента, который можно было подвести под нарушение авторского права.
То, что будет что-то подобное и в РФ, можно было и не сомневаться. Но это не выдумка РКН.
А вот в Америке, кстати говоря, не знаю, как сейчас, но раньше всеобщего такого закона не было, был вроде в некоторых штатах только, и первый вроде как в Калифорнии больше всего был похож на GDPR, и как-то я не слышал, чтобы там как-то сильно кошмарили за несоблюдение. Как раз где-то в 20 или 21 году мне товарищ что в теме рассказывал, что после принятия закона был дан один год на приведение своих ресурсов в соответствие.
А как они проверят, что на сайте не было аналитики и форм? Сайт же развивается, не было и появилось. Появилось - подал заявку. Или через вебархив проверяют?
7 самых частых ошибок на сайте
...5. Использование cookies без уведомления. Установите pop-up с запросом согласия на использование файлов.
Разве в РФ требуется уведомлять о куках?
Телефонные мошенники, которые мне звонят, знают мои персональные данные - телефон, фио, прописку. Какой смысл в этом законе тогда? Кого и от кого он защищает?
Вот как раз для противодействия таким случаям. Сейчас вообще практически полная безнаказанность и бесконтроль в этом вопросе - если посмотреть профильные рассылки, то чуть ли не каждый день "утекла база страховой компании", "утекла база сети магазинов", "пароли хранились в открытом виде" и так далее.
Организации, начиная с директора, должны чувствовать свою ответственность за хранение ПД. Нанимать адекватных разработчиков, проводить независимые аудиты, вести контроль доступа. Иначе наши данные так и будут ежедневно утекать к мошенникам.
Вот как раз для противодействия таким случаям.
А так же создают ошибочное мнение, что "раз кто-то этими данными оперирует - значит он законно их получил и является представителем государства/компании, которой я их сообщал" итд.
Для сильно части этих данных полезней было бы вот прямо заявить "защитить невозможно и поэтому все их знают. Вот у нас даже сайт сделан, где можно посмотреть. Поэтому по ФИО и номеру телефона к вам может обращаться кто угодно:"
Всё это обеспечить практически невозможно. Например, код моего домофона я взял из утёкшей базы Яндекс.Еда - у яндекса нет ни денег ни разработчиков? Небольшие компании нанять или заплатить не могут - денег нет, компетенции понять кто аадекватный нет, сопровождать систему некому. Разработчика адекватного найти сложно даже если есть деньги - вот Яндекс не смог, как и все остальные крупные компании с утечками (то есть все). Так какое практическое значение имеет этот закон? Прослушка через телефоны и всё что возможно сообщает яндексу.
Я не интересовался, какое яндекс понёс наказание за этот случай. Насколько я помню, в те времена штрафы были фиксированные и довольно гуманные, что-то в районе нескольких десятков тысяч рублей.
Сейчас штраф будет составлять уже многие миллионы и зависеть от оборота. Соответственно, меняются и риски и для организаций будет повод регулярно проводить, например, аудиты инфраструктуры и заранее закладывать механизмы защиты - скажем, автоматическое уведомление СБ, если пользователь делает выборку по пользователям.
В телеграм-каналах регулярно появляются утечки, часто из госорганов. Кого там штрафовать на миллионы?
Если мои пд утекли, значит нарушены мои права. Каков механизм получения компенсации? А если нету его то зачем это всё? Напомню, пд всего взрослого населения уже слиты.
Не путайте штрафы и компенсации.
Штраф - это наказание и он взимается в пользу государства. А на компенсацию Вы можете подать иск.
Что касается госорганов - там своя специфика, но штрафы и к ним очень даже применяются, пусть это и выглядит как перекладывание денег из одного кармана в другой.
Если государство действует в моих интересах, поддерживая этот закон, то оно является прокси между мной и организацией, выложившей мои данные. То есть иск я должен государству заявить? Или к организации, с которой, возможно, у меня вообще нет отношений?
Не очень понял логику насчёт прокси. Если государство разрабатывает правила дорожного движения - то, по Вашей логике, если кто-то въехал Вам в зад на дороге, то иск Вы тоже будете предъявлять государству?
Нет, государство является не прокси, а регулятором, устанавливающим правила игры. Если некто эти правила нарушает - он уплачивает штраф, причём неважно, чьи именно интересы нарушены: штраф налагается не за нарушение интересов, а за невыполнение требований законодательства.
Если же Вы полагаете, что некое физическое или юридическое лицо нарушило Ваши права - Вы вправе обратиться в суд и потребовать взыскать с этого лица компенсацию. Для этого Вам не нужно иметь никаких отношений (ну примерно как если некто украл у Вас сто рублей, то Вы вправе требовать, чтобы он их вернул, даже если Вы этого человека и в глаза никогда не видели).
Аа, вот почему на каждом втором сайте начали спрашивать согласие на куки.
Причем самое забавное: когда почти никто никакого согласия не спрашивал - меня эти куки не беспокоили. Серфишь себе, чистишь изредка кеш, тихо материшь прогресс последних лет, из-за которого старые девайсы на современном интернете становятся тормознутыми.
А как начали спрашивать - первая эмоциональная реакция - "Ааа, они своих куков на мой телефон запустить хотят! Не дам! У меня и так памяти мало!"
Вместо спонтанного начала общения со средой - предоставление разрешения на манипуляцию. Желание заходить на сайт сразу куда-то девается.
А знаете, что самое весёлое?
если сайт вместо кук положит токены (и что ему ещё надо) в local_storage браузера, то никакого вопроса пользователю задавать не будет требоваться.
Такие дела
Аа, вот почему на каждом втором сайте начали спрашивать согласие на куки.
С пробуждением, это активно началось с GDRP, и там так же, могут посчитать что вашим ресурсам пользуются граждане ЕС, а значит вы должны всё соблюдать.
Ну с другой стороны - допустим мне как владельцу сайта - плевать на граждан ЕС (и визу в ЕС я получать не планирую и нахожусь в России)(ну или наоборот - на граждан России и визу России получать не планирую и нахожусь в ЕС).
Что они мне сделают?
Будут гневно осуждать и ругаться (возможно матом).
Они пойдут в свой суд. Там вынесут решение. Вам придёт уведомление на адрес, который они смогут найти или на мыло.
Т.е. в EU странах формально отработают, насколько это возможно.
Усиленно искать, конечно, никто не будет.
Но вот проблемы у персонажей с тем ФИО, которое там, в стране EU, посчитают виновным, могут возникнуть, например, при прохождении пограничного контроля в любой стране EU.
P.S.: Такие кейсы имели место быть с сайтами то ли в US, то ли в Канаде. Некоторые владельцы сайтов в Северной Америке даже пытались банить диапазоны IP EU стран, чтобы не иметь с персонажами оттуда проблем.
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие.
Ну "письменное согласие" тут может смутить. На самом деле можно получить согласие и электронным способом. Важно учитывать другое. У нас в РФ до сих пор нет внятного и утвержденного перечня доказательств для согласий собранных электронным способом. То есть нужно самому решать, что вы собираете и как будете доказывать, что согласие получили, а не выдумали. Это могут быть лог-файлы, проверочные коды и т.д.
Так все же, если на сайте висит форма запроса на услуги и данные отправляются мне на email (имя, компания, email, телефон - опционально) - это подходит под сбор ПД? Чем это отличается от того, если пользователь пишет запрос напрямую на email ?
на сайте висит форма запроса на услуги и данные отправляются мне на email
По описанию - у вас всё-таки сайт, а не почтовый клиент. Т.е. пользователь именно что передаёт свои ПД на обработку сайту/сервису, который уже в свою очередь инициирует отправку письма на почту. Пользователь не может быть уверен в том, что вводимые им данные нигде не оседают в системе или не используются ещё каким-либо образом, да и мне в это верится с трудом, если честно. В конце-концов опять же - логи.
Чем это отличается от того, если пользователь пишет запрос напрямую на email
Тем, что принимая пользовательские ПД на вашем сайте - именно вы отвечаете за хранение и обработку ПД, а если пользователь делает это через сайт почты - за ПД отвечает почтовик. Логично же.
На самом деле я прекрасно понимаю природу вашего вопроса. Это сложная палитра различных чувств с нотками негодования и надежды на то, что хоть какие-то исключения из этого существуют. Огорчу - может они и имеются, но готовиться всегда стоит по полной.
Ничем. Если Вы собираете эти запросы по email - Вы тоже являетесь оператором персональных данных и тоже должны уведомить РКН.
IP, куки, ФИО, № телефона.....
Какой толк это обсуждать - если нигде не определено конкретно с какого возраста субъект может подписывать лично согласие на обработку ПДн! А это очень принципиальный момент. Обрабатывать "биометрию" (а это просто фото на пропуске и в СКУДе) можно только с личного согласия субъекта. А если подписали согласие представители субъекта (за детей чаще всего) - всё! Пропуск без фото и в СКУДе белый экран!
Б - безопасность!
Следующим шагом будет сбор денег с операторов пд за хранение пд россиян
Замечательная статья, основанная на желании сделать что-то хорошо и привлечь внимание.
Однако, к сожалению, она оторвана от реальной судебной практики и актуальных прецедентов.
mrMazai, рекомендую ознакомиться с доступными прецедентами по делам о нарушениях в сфере персональных данных, чтобы не вводить читателей в заблуждение и опираться на проверенные факты.
я, действительно не юрист, а разработчик, просто тема на Хабре, в явном виде не поднималась (под другим углом были публикации). Как обычно на Хабре, ценность не в статье, а в комментариях. Если у вас есть правки, я с удовольствием внесу их в текст, если есть альтернативная статья, дам на нее ссылку. Т.к. сам до конца не понимаю, что правильно в данной ситуации, а что нет =(
А как, интересно, будет рассматриваться ситуация с регистрацией через oauth гугла, например? Чисто технически на твоём сайте никаких форм нет, только редирект. Но при этом в последствии ты получаешь все необходимые персональные данные.
Создал для себя свадебный сайт, куда гости будут вписывать свои имя/фамилию, присутствие и предпочтения по напиткам - мне теперь об этом ещё РКН уведомлять?)
3. Согласия на обработку данных
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением"
С чего бы это вдруг? Согласие в подавляющем большинстве случаев вообще не требуется. Условия обработки персональных данных определены Статьей 6 ФЗ-152. И если, например, персональные данные обрабатываются при исполнении или заключении договора (пункт 5 части первой статьи 6), то никакое согласие не нужно. Согласие всегда можно отозвать, а если исполняется договор, то как отзывать? Я пришел в салон, заключил договор, купил автомобиль. Вышел из салона, написал отзыв и салон должен по вашей логике удалить мои данные из договора и акта передачи автомобиля? Не надо впадать в крайности. Или если законодательство требует от оператора обработки ПДн (пункт 2 части первой статьи 6), то согласие также не требуется - пример с военным билетом, работодатель обязан вести учет военнообязанных, это требование к нему со стороны государства, никакое согласия не нужны.
Письменное согласие необходимо в обязательном порядке для обработки биометрических ПДн или ПДн спрециальной категории (в отношении расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), для прочих ПДн такого требования нет - согласие можно получить любым удобным способом, позволяющим доказать получение согласия (усное согласие, согласие при свидетелях, пустой чек-бокс на сайте с логом времени и IP и прочее)
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением
Как это вообще возможно? Ни один сайт соискателей вакансий, письменно, не собирает согласия ? У меня мысль была сделать аналог hh, но офигел от требований по защите ПД. Получается просто вся страна положила болт и рисует на страх и риск галочки с согласиями?
Форма на сайте = штраф от 100 тысяч. Многие даже не догадываются