Теперь персональные данные должны удалять отовсюду по первому требованию, но есть побочка

    Речь идет о поправках к закону о персональных данных, что вступили в силу в марте. Теперь любые персональные данные обязаны убрать откуда угодно по первому требованию их владельца. Причем владельцу не надо ничего никому доказывать и объяснять.

    Ситуация одновременно и правильная, и проблемная. Причем проблемы появятся (по факту уже появились) у всех владельцев сайтов, интернет-площадок и СМИ, кто так или иначе взаимодействует с пользователями. 

    Что касается нововведений, я попытался разложить все по полочкам. А еще собрал в отдельный список то, что придется поменять и добавить владельцам сайтов.

    С чего началось

    Бесконтрольный сбор персональных данных кем ни попадя, торговля ими, попытки манипулировать людьми, рынками и общественным мнением на основе анализа этих данных, черный пиар, клевета, публичные оскорбления, травля, создание «волн ненависти» и многое другое — все эти вещи заставили задуматься о дополнительных мерах. 

    Поворотным пунктом стало принятие регламента GDPR в Евросоюзе в 2018 году взамен рамочной Директивы о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Однако аналогичные шаги предпринимают много где. В России с 2006 года действует Закон от 27.07.2006 № 152-ФЗ «О персональных данных» с последующими изменениями и дополнениями. Под занавес 2020 года, 30 декабря, президентом был подписан Закон № 519-ФЗ, вносящий в предыдущий документ довольно серьезные изменения. Он вступил в силу с 1 марта 2021 года, то есть эти поправки уже действуют, и все должны им следовать.

    О чем речь

    У нас есть персональные данные (ст. 3 п. 1 Закона №152-ФЗ от 27.07.2006):

    персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    субъект персональных данных (определение не дано, выводится косвенно):

    субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.       

    И оператор персональных данных (ст. 3 п. 2):

    оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.

    К персональным данным относится любая информация, которая позволяет прямо или косвенно идентифицировать конкретного человека. А в понятие операторов включены даже физические лица, то есть лично вы становитесь оператором персональных данных, получив от человека его имя и номер телефона. Так что каждый из нас ежедневно оказывается с обеих сторон баррикад.

    Теперь должны удалять по первому требованию

    Закон № 519-ФЗ создает отдельное регулирование для ситуации, когда персональные данные (ПД) становятся доступны «для неограниченного круга лиц». 

    Что такое неограниченный круг лиц? Это когда увидеть их может любой случайный человек — что на улице, что в интернете. Если для того, чтобы увидеть ПД, нужно ввести имя пользователя и пароль (или пройти другие процедуры идентификации) — это уже не будет считаться неограниченным кругом лиц. Например, закрытые страницы ВКонтакте, которые можно увидеть, только выполнив вход, не должны считаться доступными для неограниченного круга лиц. 

    Итак, новый закон вводит следующее:  

    1. Любое распространение ПД оператором или предоставление доступа к ним для неограниченного круга лиц возможно только с согласия субъекта ПД. Причем это согласие он обязательно должен выразить в активной форме, то есть высказать его, составить письменный документ или произвести какие-либо действия. Согласие «по умолчанию» не допускается. Нельзя сказать: «ну, мы подразумевали, что раз человек произнес свое имя на камеру, то он согласен на его публикацию». Поэтому мы у себя в Leader-ID посчитали, что даже проставленная по умолчанию галочка в поле «я даю согласие на…» — уже, скорее всего, нарушение.

    2. Закон позволяет в самом согласии указать, какие категории ПД можно опубликовать, а какие нельзя. Например, субъект ПД может указать, что фамилию и имя публиковать можно, а мобильный телефон или адрес — нельзя. Это называется «персональные данные, разрешенные субъектом персональных данных для распространения».

    3. Оператор обязан обеспечить возможность субъекту ПД при предоставлении согласия также установить условия или запреты для публичного распространения конкретных категорий ПД.

    4. Оператор обязан довести информацию из согласия (какую именно информацию и как публиковать, что можно или нельзя делать, если субъект ПД указал специфические особенности ее обработки) до сведения пользователей этих ПД (ст. 10.1 п. 11).

    5. Субъект ПД может в любое время отозвать согласие на публикацию своих ПД.В этом случае он направляет требование с указанием фамилии, имени, отчества, контактной информации (телефон, email или почтовый адрес) и перечня данных, которые больше нельзя обрабатывать и публиковать. Оператор (а точнее, в законе сказано «любое лицо», то есть кто угодно, кто их опубликовал) обязан в течение трех дней с момента получения требования или аналогичного по смыслу судебного решения прекратить любое распространение и любой доступ к таким ПД. 

    Причем тут Роскомнадзор

    Закон № 519-ФЗ предусматривает три основных направления работы Роскомнадзора:

    1. Издать ведомственный акт относительно формы согласия на публикацию с указанием обязательных реквизитов документа (данных, которые там должны быть) и описанием примерной формы документа. Проект такого приказа есть, но он не подписан. То есть к моменту вступления закона в силу подзаконный акт не готов.

      UPD: 21 апреля 2021 года Роскомнадзор подписал и зарегистрировал приказ № 63204: «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Приказ вступит в силу с 1 сентября 2021 года и будет действовать шесть лет.

    2. К 1 июля создать систему управления согласиями. Уже есть опубликованный для общественного обсуждения проект. Согласно ему должен быть создан реестр субъектов ПД, который позволяет идентифицировать стороны с помощью ЕСИА (Единой системы идентификации и аутентификации). Помимо идентификации сторон отношений, в ней должен быть реестр согласий с возможностью изменить и отозвать согласие (в этом случае оператору направляется уведомление). Но проект написан таким языком, что сложно понять, как система будет работать и что конкретно в ней будет.

    3. Проверять соблюдение законодательства о персональных данных — как по заявлениям, так и по собственной инициативе.

    Несанкционированное распространение: верблюдом может стать каждый

    Самая интересная часть нового закона — нормы о несанкционированном распространении ПД в адрес неограниченного круга лиц. Это п. 2 и 3 ст. 10.1 Закона № 519-ФЗ. Переформулируем их для понятности. 

    1. Если специальное согласие не оформлено, то каждый, кто распространил эти ПД (не первый оператор ПД, а вообще все, кто разместил их в открытом доступе!), обязан доказывать законность такого распространения, обработки, предоставления доступа и т.д.

    2. Если эти ПД стали достоянием неограниченного круга лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы (речь, скорее всего, идет о «сливах», то есть взломе компьютерных систем или ином попадании данных в открытый доступ без разрешения), то и в этом случае каждое лицо, разместившее ПД в открытом доступе либо иным образом опубликовавшее их, должно отдельно доказывать законность своих действий. 

    Судя по всему, в обоих случаях публикация или перепубликация персональных данных без разрешения их владельца будет правонарушением. Причем исходя из буквы закона речь может идти даже о таких ситуациях, как перепечатка статьи из СМИ с указанием фамилии и имени (например, размещение у себя на странице в соцсети) или, например, размещение у себя афиши концерта или спектакля с указанием имен выступающих артистов.

    В сопроводительной записке к законопроекту депутаты Госдумы указали, что теперь субъект ПД имеет право обратиться к любому оператору ПД с требованием удалить его данные из общего доступа без необходимости доказывания факта их неправомерной обработки.  

    То есть бремя доказывания перекладывается с лица, требующего удалить данные, на того, кто их публикует (открывает доступ). Это серьезнейшим образом меняет баланс сил в случае спора сторон. 

    Получаем три радикальных новшества

    Во-первых, теперь субъект ПД может напрямую обращаться к любому лицу, опубликовавшему ПД и требовать их убрать. Ему не нужно ничего доказывать, ничего объяснять — самого факта размещения ПД достаточно.

    Во-вторых, законность размещения теперь должен доказывать разместивший, причем изначально он находится в крайне невыгодной ситуации, потому что у него должно быть формальное разрешение на публикацию от самого субъекта.

    В-третьих, обращаться можно напрямую к любому опубликовавшему, то есть не нужно искать источник распространения, разбираться с ним, а потом бороться с репостами. Достаточно самого факта, что это ПД определенного субъекта. Так можно очень быстро заставить убрать любые опубликованные ПД отовсюду или выбрать, где их можно оставить, а откуда убрать (например, если согласие на публикацию дали одному СМИ, то остальных, видимо, можно заставить убрать ПД из перепечаток). Причем даже если согласие на распространение было дано, его легко можно отозвать. 

    Борьба с черным пиаром

    Есть известная схема распространения неподтвержденной негативной информации, которую очень часто применяют для черного пиара: публикуют ПД в любом анонимном источнике, соцсети, телеграм-канале — а дальше начинается их перепубликация со ссылкой на этот источник. Потом первую публикацию (а иногда и учетную запись или вообще сайт целиком) удаляют, и получается, что претензии предъявлять вроде некому, а публикации остаются. И чтобы убрать их, придется в каждом случае доказывать нарушение прав — что долго, сложно и дорого. Теперь субъект ПД может почти мгновенно удалять любые свои персональные данные из интернета, ему не надо доказывать вообще ничего, кроме того, что это его ПД.

    Оговорка для СМИ, или когда вокруг загорелось

    Формально в п. 11 ст. 10.1 содержится исключение: 

    Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

    В теории, наверное, это исключение позволяет размещать информацию, например, о совершенном преступлении, о некачественном оказании услуг и т.д. Но, во-первых, теперь уже разместившему придется доказывать Роскомнадзору или суду, что существует какой-то «общественный или публичный интерес», а во-вторых, вы что-нибудь поняли в формулировках этой статьи? Я, если честно, не очень.

    Также стоит отметить, что закон носит явно выраженный экстерриториальный характер, то есть обращаться можно к любому оператору, и он обязан выполнить требование, если субъект ПД находится в российской юрисдикции. Если же не выполнит, то Роскомнадзор может «начать замедление». 

    Но, как известно, любой закон мертв без возможности к принудительному исполнению. Поэтому рассмотрим штрафы за его несоблюдение.

    Ответственность и штрафы

    Ответственность регламентируется ст. 13.11 КоАП РФ. 24 февраля 2021 года был принят Закон № 19-ФЗ с поправками в КоАП РФ, явно разработанный под новый Закон № 519-ФЗ, который коренным образом изменил положения статьи. Например, в общем случае штрафы за обработку ПД без разрешения или с нарушением закона выглядят так:

    Категория лиц

    Раньше

    После поправок (в скобках — повторный случай)

    Граждане

    3–5 тыс. руб.

    2–6 (4–12) тыс. руб.

    Должностные лица

    10–20 тыс. руб.

    10–20 (20–50) тыс. руб.

    ИП

    *

    (50–100) тыс. руб.

    Юридические лица

    15–75 тыс. руб.

    60–100 (100–300) тыс. руб.

    *ИП в ч. 1 не упомянуты. Как считать первый штраф — непонятно. Зачастую (в том числе в других частях этой статьи) ИП приравниваются к юрлицам, но тогда получается, что первый штраф будет больше повторного, что нелогично. 

    Вот несколько других штрафов, чтобы понять масштаб возможной ответственности.

    Пункт 2: применяется, когда речь идет только о неполучении согласия (в скобках — за повторное нарушение):

    • Граждане — 6–10 (10–20) тыс. руб.

    • Должностные лица — 20–40 (40–100) тыс. руб.

    • Юридические лица — 30–150 (300–500) тыс. руб.

    Пункт 5: невыполнение требования о коррекции или удалении данных (в скобках — за повторное нарушение):

    • Граждане — 2–4 (20–30) тыс. руб.

    • Должностные лица — 8–20 (30–50) тыс. руб.

    • ИП — 20–40 (50–100) тыс. руб.

    • Юридические лица — 50–90 (300–500) тыс. руб.

    Пункт 8: необеспечение обработки, хранения, записи или систематизации ПД на территории РФ (привет, LinkedIn; в скобках — за повторное нарушение, ИП приравнены к юрлицам):

    • Граждане — 30–50 (50–100) тыс. руб.

    • Должностные лица — 100–200 (500–800) тыс. руб.

    • Юридические лица — 1000–6000 (6000–18 000) тыс. руб.

    В общем, все довольно сурово.

    Что нужно сделать операторам персональных данных

    Как видно, забот владельцам интернет-ресурсов, которые допускают публичное отображение персональных данных, сильно прибавилось. Но нужно помнить — вы подпадаете под требования нового закона только в том случае, если у вас есть возможность публиковать персональные данные. 

    В принципе даже интернет-форумы могут этого избежать: можно исключить отображение личных данных без регистрации (а отображаемое имя пользователя явно обозначить как «интернет-псевдоним») или можно вообще отключить показ страниц с сообщениями без регистрации.

    Последним вы сильно снизите посещаемость, но зато это не будет «распространением для неограниченного круга лиц». 

    Нам эти варианты не подходили, и мы пошли трудным путем. 

    Вот список работ, которые пришлось сделать:

    1. Разработать форму согласия на публикацию персональных данных, в которой учтены требования Роскомнадзора (которые сами по себе еще не устоялись).

    2. Разместить у себя отдельную форму согласия на публикацию и сделать так, чтобы пользователи имели возможность дать свое разрешение. 

    3. Обеспечить возможность управлять условиями и запретами на публикацию конкретных категорий ПД, возможность дальнейшего управления этими разрешениями, например, в личном кабинете.

    4. Проработать процедуры на случай получения требования об отзыве согласия на публикацию ПД.

    Теперь пользователь при регистрации должен проставить отдельную галочку согласия на публикацию ПД. Несовершеннолетние пользователи получают экземпляр согласия в PDF, который им нужно подписать у одного из родителей или опекунов и загрузить на сайт. 

    Галочек с согласием на обработку и распространение ПД стало две, и обе надо поставить самостоятельно. А странная формулировка для второй — лишь попытка следовать определениям из закона
    Галочек с согласием на обработку и распространение ПД стало две, и обе надо поставить самостоятельно. А странная формулировка для второй — лишь попытка следовать определениям из закона

    У старых пользователей появлялось всплывающее окно, предлагающее согласиться на публикацию ПД в рамках нашего сайта.

    Разумеется, у пользователей есть возможность отказаться от публикации любых категорий ПД, в этом случае эти ПД больше нельзя будет показывать на открытой части сайта.

    Впрочем, эти настройки профиля у нас были и раньше
    Впрочем, эти настройки профиля у нас были и раньше

    В большинстве случаев это не страшно, просто профиль будет содержать меньше информации. В некоторых случаях больше нельзя будет воспользоваться какими-то возможностями, а если запретить публикацию ключевых данных, например, фамилии, имени и отчества, то функциональность пострадает довольно сильно.

    Например, без такого согласия не получится указать данные спикера в анонсе конференции или иного мероприятия.

    Ну и нужно контролировать обратную связь на случай, если кто-то будет присылать требование об отзыве согласия. В нашем случае мы оговорили этот момент в тексте согласия, оставив один вариант — письмом на электронную почту. 

    Как мне видится, наибольшая нагрузка ляжет на соцсети — как с точки зрения управления сбором и контролем данных, так и касательно требований об удалении. Пока некоторые из них пошли «путем Яндекса», то есть включили в соглашение об использовании ПД новую норму, что они являются информационным посредником и всего лишь передают дальше те ПД, которые пользователь уже решил через них опубликовать. Причем они даже не проверяют, правильные ли это ПД и ПД ли вообще (например, может быть псевдоним). 

    Сейчас такая стратегия требует меньше всего усилий, но в будущем может принести много проблем. Напомним, Яндекс занял аналогичную позицию в делах о такси — что компания является всего лишь информационным посредником и «сводит» между собой стороны, а уж что между ними происходит дальше, не ее проблема. В последнее время суды все чаще признают Яндекс не посредником, а именно организатором перевозок, несущим ответственность за их результаты — в том числе ущерб от ДТП и ущерб здоровью. Возможно, в аналогичный капкан могут попасть и эти соцсети. 

    Абстрактные плюсы

    Итак, теперь любой человек может потребовать удалить любую его личную информацию, размещенную любым лицом на любом ресурсе сети интернет. Это может быть СМИ, интернет-форум, любая личная страничка в интернете. Причем сама процедура для заявителя очень упростилась: достаточно потребовать убрать ПД и подтвердить свою личность (что в будущем можно будет сделать через сайт Роскомнадзора). И все. Больше не нужны никакие разбирательства, судебные процессы, заявителю не надо что-либо доказывать. 

    Это дает в руки мощный инструмент борьбы с черным пиаром, дискредитацией, клеветническими кампаниями в интернете, травлей, распространением лжи и так далее. Мы на это редко обращаем внимание, но на самом деле попытки оболгать, испортить репутацию, оклеветать специалистов (врачей, юристов, архитекторов) и даже просто обычных людей из личной неприязни происходят постоянно.

    Реальные минусы

    Новые требования существенно усложняют работу с ПД, увеличивая документооборот, а также создают неопределенность, ведь в будущем согласие может быть отозвано, и придется тратить дополнительные усилия на выполнение этого требования. 

    К тому же складывается впечатление, что закон писался исключительно под интернет и его механизмы (разумеется, с использованием передового зарубежного опыта), и разработчики совершенно не учли особенности других средств коммуникации и СМИ, таких как телевидение или бумажная пресса. Объем бумажек вырастет серьезно, причем в некоторых случаях вообще непонятно, как быть. Например, что делать, если интервью уже опубликовали в бумажном издании, и тут субъект ПД вдруг решил отозвать согласие на публикацию своего имени? Изымать и уничтожать весь тираж?

    Еще может возникнуть очень много проблем в сферах, о которых вообще никто никогда не задумывался. Например, нужно ли получать согласие всех музыкантов, участвующих в концерте, чьи имена перечислены в программке? А если вы выкладываете на YouTube ролик, где написано «монтаж — Иван Иванов», то теперь нужно лично брать согласие у Ивана Иванова? Получается, что реклама исполнителя превращается в довольно бумагозатратное мероприятие. А что делать, если через год вы поругались с Иваном Ивановым, и он из мести отозвал согласие, а у вас на канале выпущено 200 роликов, где вы говорите в произвольном месте: «Спасибо Ване Иванову за монтаж»? 

    А если в холле школы повесили красивый транспарант «Поздравляем Машу Иванову с победой в шахматном конкурсе», но не взяли у папы Маши отдельное письменное согласие на это, хранящееся в личном деле, — то будет штраф? А вывешенный на дверях школы список участников поездки (экзаменационных групп, кружков и т.д.) — как быть с ним? Таких ситуаций возникнет миллион, и следующие несколько лет государство будет переваривать последствия нового закона.

    Наконец, есть еще один непонятный момент — фактически первыми, кто воспользуется этим законом, будут «инфоцыгане», действующие на грани закона мошенники, неквалифицированные специалисты (например, врачи, к работе которых есть нарекания). Закон дает им мощный инструмент борьбы с негативными отзывами и фактически делает их неуязвимыми для сарафанного радио. Причем теперь они могут бомбардировать весь интернет требованиями убрать негативную информацию о них. И лицам, операторам сайтов и соцсетей, уже распространившим информацию о них, придется доказывать, что в деле есть «общественный интерес». Между прочим, кейсов, связанных с негативными отзывами, в том числе на нерадивых врачей, было немало, и теперь они получили в руки средство цензуры.

    Leader-ID
    Компания

    Комментарии 83

      +2

      И что это получается? Если меня достают военкомат/банк/полиция/тетя Дуся, то я могу отозвать свои ПД и не числиться в их базах? Пойду кредитов наберу.

        +5
        Закон № 519-ФЗ создает отдельное регулирование для ситуации, когда персональные данные (ПД) становятся доступны «для неограниченного круга лиц».


        Указанные вами организации и институты не предоставляют доступ неограниченному кругу лиц.
          +1

          Не понятно. А организация "Рога и Копыта" втихаря продала БД с моими ПД другой организации и говорит, что тоже не предоставляет доступ неограниченному кругу лиц.
          Как доказать, что контора распространяет данные? И наоборот — как доказать, что указанные мной организации не распространяют ПД?

            +2
            Неограниченный — это открытый доступ без регистрации, смс и оплат.

            Продажа ПД — совсем другой пункт закона.

            Доказать просто — если оно расположено на сайте, размещено на двери в открытом виде в помещении со свободным доступом или в виде тома в публичной библиотеке «Жизнь и удивительные приключения в сети интернет благородного идальго solarplexus, версия расширенная, без цензуры, издание третье» и другие подобные варианты — тогда есть свободный доступ для неограниченного круга лиц.

            Иначе нет, и работают другие статьи и пункты закона.
          +4
          К базам, к которым имеет доступ ограниченный круг лиц, этот закон отношения не имеет.
          Военкомат и полиция надеюсь ваши персональные данные у себя на сайтах не публикуют.
          Банки вообще отдельная история, их деятельность попадает под действие целого вороха законов и нормативных актов, для выполнения которых они просто не имеют права сразу удалить вас из своих баз. Поэтому рекомендую аккуратно относиться к «набиранию кредитов».
          А вот с «тетей Дусей» можно и пообщаться, если она нарушает ваши права. И если обратившись к ней напрямую решить вопрос не получится, то вам в этом наверняка попытается помочь Роскомнадзор.
            0
            Если меня достают военкомат/банк/полиция/тетя Дуся, то я могу отозвать свои ПД и не числиться в их базах?
            Если данные требуются для исполнения заказа и по закону их обязаны хранить n-лет, то удалить вы их не сможете.
            А вот запретить использовать в рекламных целях — да.
            0

            Военкомат, наверняка, передаст полиции мои ПД для поиска. Это является распространением?

              0
              Мне тоже интересно узнать мнение специалиста, но я почти уверена, что это не публичное распространение. Публичное — это на сайте опубликовать, мол, Васю Иванова найдете на Рябиновой, 8.
                +1

                Вася сейчас напрягся.

                +2
                Использование персональных данных полицией урегулировано Федеральным законом от 07.02.2011 № 3-ФЗ «О полиции».
                  –1
                  Если вам интересно, просто возьмите и прочитайте самостоятельно для начала сам 152фз несколько раз. Ничего сложного в этом нет, да и полезно знать о своих правах. Хотя бы поверхностно. Может после этого появитьяс интерес к чтению соглашений о конфиденциальности и прочих пользовательских, где вам открытым текстом говорят кому и что передадут без вашего ведома, но с вашего согласия.
                  +1
                  Когда я пишу вот прямо в этом комментарии «Василий Пупкин — жулик и вор» («Иван Сидоров — иностранный агент») — я распространяю персональные данные указанных лиц?
                    +5
                    Если обратиться к терминологии, то я не могу по вашим фразам однозначно определить кто такой Василий Пупкин и Иван Сидоров. Получается это не персональные данные.
                      +1
                      А если написать в другой формулировке:
                      «*** ***— жулик и вор» («*** ***— иностранный агент»)?
                        0

                        Кстати, интересный момент (про терминологию). Предположим, я (со своего аккаунта) на каком-то форуме публикую пост, в котором оставляю свои ПД (предположим, данные профиля закрыты без регистрации). При этом согласия на публикацию ПД ("в явной активной форме") я как бы не давал. Получается, форум теперь является распространителем, не получившим согласие?

                          0

                          Как минимум форуму стоит озаботиться этим вопросом и проверить пользовательское соглашение

                            0

                            То-есть технически форум может написать что-то вроде "администрация не несёт ответственности за ПД, добровольно оставленные пользователем в не предназначенных для этого местах"? Или юридически это не имеет значения?

                              0
                              Если для целей форума нет необходимости в идентификации пользователя, то стоит максимально дистанцироваться от причастности к законодательству о персональных данных. Думаю, что на форуме все равно есть пользовательское соглашение, в котором уже проработаны вопросы персональных данных. Предложил бы применить бенчмаркинг и посмотреть на другие похожие форумы, которые действуют преимущественно на российскую аудиторию и исторически качественно выполняют требования законодательства о персональных данных. А если вы являетесь таким форумом, на который все равняются, то придется прорабатывать этот вопрос с консультантами.
                            0
                            Сейчас благодаря новейшим веяниям в законодательстве не то что форумы повыпиливали все кто мог, но уже и комментарии на сайтах поубирали. А те кто не убрал — соответственно обязался хранить IP адреса и прочую телеметрию и предоставлять эти данные силовикам по первому письму.
                            Так что я думаю за распространение ПД будет отвечать комментатор. Ну а форум скорее всего снесет этот коммент по первому письму от любого кто представился носителем упомянутых ПД.
                              0
                              обязался хранить IP адреса

                              IP адрес сообщения хранит наверное любой форумный движок.
                                +1
                                Ну сам себе форум это вещь в себе, они почти везде были интегрированы с сайтами, где использовалась авторизация сайта. А вот сделана ли фиксация в логах ip адреса с которого регистрировались, да фиксация емейла на момент регистрации (а его потом можно поменять не раз) — большой вопрос.
                                Даже в битриксе, где форум свой родной ip адреса регистрации в лог не валятся и многое еще чего не прологгировано чего хотелось бы силовикам.
                                Да в конце концов и владельцам сайтов городить этот недоСОРМ у себя и давать онлайн доступ к нему каким-то погонам — желания в общем нет никакого, проще оказалось закрыть лавочку с комментированием и форумами чем бодаться с силовиками и РКН, по крайней мере на двух крупных местных порталах так и произошло.
                        0

                        Что такое "неограниченный круг лиц"? Если на сайте ввести действие "залогиниться" (неважно как, например, просто нажать пустую кнопку Sign In), то, по-сути, такие пользоватеди не будут относиться к неограниченному кругу лиц, а значит, на таком сайте можно оглашать имущество чиновников с фамилиями известными всем?

                          0
                          В вашем примере вам как оператору по новому закону придется доказывать, что вы предоставляли доступ к ПДн ограниченному кругу лиц и что у вас есть согласие на обработку этих персональных данных + согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, если вдруг вы не сможете доказать, что ограничили круг лиц.
                            0
                            что у вас есть согласие на обработку этих персональных данных
                            Т.е. я верно понимаю, что можно вынудить перестать обрабатывать ПД таким сайтам как vk.watch, хранящим историю данных пользователя за длительные промежуток времени (человек мог передумать размещать часть информации)? Идентифицировать человека можно по ФИО + Карьера + Школа, к примеру. Эта информация публикуется до какой-либо регистрации или оплаты.

                            UPD: изменил адрес ссылки на просмотр страницы Медведева, т.к. на странице Дурова браузер может подвисать. На странице Дурова раздел «Карьера» не замазан.
                              0
                              Я думаю, что такие сайты работают не в рамках законодательства РФ. Подозреваю, что в реестре операторов Quanta AS («Quanta»), упоминаемая в «Условиях обслуживания» отсутствует. В любом случае, можно обратиться в сторону этого юрлица, а после этого в Роскомнадзор, если напрямую не договорятся. Или сразу в Роскомнадзор. А дальше смотреть как это работает.
                          +6
                          Ох как сразу народ перевозбудился.
                          В первую очередь каждый должен понимать, что красивые сказки про равенство — это сказки. В жизни это не работает. В жизни «действующие законы» для всех разные. Причём это касается любых законов. В итоге одних, на требование удалить ПД, пошлют даже после вступления законов в силу, а за попытку внести в базу ПД других «вносильщика» по весне найдут в посадке.
                          100% работает только один закон — кто сильнее тот и прав.
                            +3
                            Если требование удалить ПД оформлено по закону и оператор ПД «посылает» незаконно, то пишется заявление в РКН, где в течении месяца РКН сажает на бутылку оператора, если РКН лажает, то прокуратура, администрация президента.
                              0
                              В сказочном мире с единорогами, феями и 100% работающими законами, безусловно так и будет.
                              А самая увлекательная черта Вашего сказочного мира состоит в том, что РКН может налажать, а вот прокуратура и администрация президента не могут :-)
                                +2
                                Тут скорее речь о настойчивости, а не о вере в единорогов. Слило одно ведомство, пишем в другое, слило другое, пишем в третье. Вопрос в желании и силах идти по этому медленному бумажному пути.
                                  –1
                                  Наверное именно поэтому существуют горы выигранных в суде дел, по которым никто не то что не спешит, а вообще не собирается исполнять решение суда.
                                  Я не спорю, в некоторых случаях достаточно настойчивости, а в некоторых достаточно просто сказать «я хочу». Но это никак не избавляет от тех случаев, когда для исполнения «законных требований» нужно иметь хороших юристов и кучу денег. А в некоторых случаях так вообще хрен чего добьёшься, если не имеешь возможности приставить ствол к башке того, кто отвечает за исполнение.
                              0
                              Это так не работает. В ЕСИА, например, уже начали вносить новый функционал… Там можно отозвать согласия у Минцифры.

                              Та же биометрия. Что в Сбер, что в Ростелекоме. Отзыв вполне работает. И они обязаны уничтожить эти ПД.

                              И самое главное: электронный письмооборот через Почта России… По ИНН.
                                0
                                Только и функционалом после этого пользоваться тоже нельзя. Так как другие методы обработки исключаются из производста. Пример: Минпромторг не принимает больше письменные заявки на лицензии, давайте в цифре… отозвал = остался без лицензии.

                                Получается свобода выбора номинальная?
                              +3
                              «мощный инструмент борьбы с черным пиаром, дискредитацией, клеветническими кампаниями в интернете, травлей, распространением лжи»

                              Способы борьбы с клеветой и оскорблениями существуют и так. А «право удалить свои персональные данные» для каких-то других целей всегда называлось коротко и ясно: «цензура». Ну и учитывая предельно низкий уровень юридической техники, продемонстрированный авторами законопрожэкта (думаю, сам Горелкин там наворотил разного) ничего хорошего во всем этом не вижу.
                                +3
                                Никто вроде и не заставляет.) Автор рассмотрел тему со всех сторон, и если вы дочитали до конца, то и слово цензура видели. Мало кто разобрался в вопросе, спасибо автору, что вник и готов разбираться дальше.
                                0
                                Суровость наших законов, как обычно, будет компенсироваться необязательностью их исполнения.
                                Не совсем понятен кейс с соцсетями. Если сделать обзор профиля доступным только под аутентификацией, получается нарушения нет?
                                  +1
                                  Получается, что доступ к персональным данным, содержащимся в профиле, ограничен пользователями этой соцсети, пусть их и 20 миллионов.
                                    +1
                                    А если через поисковик находится по фио?
                                    Я подумал, что можно попробовать заставить вк удалить мою учетку, которую я еще в школе создал и потерял давно доступ.
                                      +1
                                      Если честно, я сам хотел попробовать реализовать такой кейс, только с другой соцсетью. Попробуйте, потом расскажите, пожалуйста, что получилось.
                                        +1
                                        Подписываюсь под схожим вопросом — я давно удалил там учётку, но они не удаляют персональные данные, удаляя учетку! Хотелось бы понять, возможно ли теперь заставить их это сделать.
                                          +1
                                          Напишите им письмо бумажное, наверняка получите ответ через 30 дней.
                                            0
                                            pikabu.ru/story/kak_udalitsya_iz_vk_vot_pryamo_chtob_sovsem_promezhutochnyiy_rezultat_6550609 вот была долгая история на эту тему, которая в итоге ничем не закончилась.

                                            Очень краткая версия: все последующие письма в ВК были проигнорированы, ни одного бумажного и\или юридически значимого ответа не поступило.
                                  +1
                                  «Ну и нужно контролировать обратную связь на случай, если кто-то будет присылать требование об отзыве согласия. В нашем случае мы оговорили этот момент в тексте согласия, оставив один вариант — письмом на электронную почту. „

                                  А не нарушает ли это (ограничение только эл.почтой) тот же закон?
                                    +1
                                    Никто не отменяет возможность отозвать согласие письмом по юридическому адресу оператора, но почему бы не дать пользователю более удобный вариант, что мы и сделали.
                                      +2
                                      А, ну если так. Я просто прочитал: «оставив один вариант». Я неверно понял, что только так, остальное оставите без внимания.
                                    +1
                                    А так хотелось удалить реальное имя из профиля Blizzard без предоставления паспорта.
                                      0
                                      Ой, какой бардак у автора в голове…

                                      Даже определение персональных данных автор в статье переврал, что уж говорить о более сложных вещах…

                                      А уж две галки согласия на собственном сайте автора — это вообще за гранью добра и зла:). Я у него на сайте не регистрировался, но есть подозрение, что закон нарушается… Например, по закону я имею право как дать согласие, так и не дать, но получить абсолютно тоже самое, что и и те, кто дали согласие. Брать согласие на публичное распространение — это очень специфический случай… Соцсети, например, этим точно заниматься не будут по причине того, что им это не выгодно. Они имеют право показывать любые данные, которые захотел показать пользователь, но с 1 марта больше НИКТО не имеет права парсить эти соцсети и собирать базы.

                                      Если же пользователю сайтом предлагается какая то услуга, требующая ввода ПДн (например, помощь в поиске работы, путем размещения его резюме на сайте), то такому пользователю просто предлагается оферта, в которой прописываются права и обязанности сторон. И все, никакого согласия брать не требуется, если ПДн пользователя используются исключительно в рамках исполнения договора (оферты). А если точнее, то по закону НЕЛЬЗЯ брать согласие (конкретные аргументы почитайте в прошлогоднем переводе на хабре комментариев к GDPR, к российскому закону эти аргументы полностью применимы).

                                      А уж на счет мыслей автора, что субъект ПДн разместил ПДн для публичного распространения, и эти данные перепечатали куча д'Артаньянов… Если раньше они реально были д'Артаньянами, а субъект — дурень лыковый, то сейчас он тупо отзывает согласие там, где разместил, а куча д'Артаньянов должна сама отслеживать, что согласие отозвано. А если они не отследили, то телега в РКН и все кто не удалил сразу влетают в незаконную обработку ПДн.

                                      В общем, пользоваться текстом статьи, как руководством к действию категорически не рекомендую. Очень многое законодательству не соответствует. Ну а автору посоветую прежде чем публиковать проконсультироваться с теми, кто понимает, что написано в законе. Ну и заодно привести собственный сайт в соответствие с действующим законодательством по этому вопросу:).
                                        +2
                                        Они имеют право показывать любые данные, которые захотел показать пользователь, но с 1 марта больше НИКТО не имеет права парсить эти соцсети и собирать базы.

                                        И что, vk теперь гуглом парситься не будет? Поисковик это вполне себе не маленькая база.
                                        Интересно кстати, я могу теперь от ВК требовать убрать мои фото, или к разместившему должен обращаться. (крайний случай — мой аккаунт, от которого нет пароля)

                                          0
                                          Ну, насколько я знаю, ВК и раньше без вопросов удалял фото по части законодательства, относящемуся к авторскому праву. Надо только представить доказательство, что это реально ты на этом фото. По поводу ака, от которого нет пароля, но можно доказать, что он твой, то ВК без проблем его удалял и 5 лет назад. Сейчас ничего не изменилось.
                                            0
                                            ВК без проблем его удалял и 5 лет назад

                                            Они требуют фотографию с паспортом в руках + фотографию с владельцем на аватаре в акке. На ава может и не быть твоей фотки, тогда все. Не восстановишь.
                                              +1
                                              «Удаление аккаунта» в ВК это удаление вашего доступа к этому аккаунту.
                                              Хорошо тем, кто об этом знал — они заранее зачистили все данные.
                                              Но те, кто не знал — просто теряют доступ к своему аккаунту, однако их имя, учетка, все фото по прямым ссылкам, комментарии и т.д. остаются доступны в сети. И ВК отказывается их удалять.
                                          0
                                          Список участников школьной поездки — это же не персональные данные. Если только не считать таковыми информацию о том, что некто «Петя Иванов» из 3«Б» едет в планетарий на вот этом вот автобусе.
                                          Если же школа вывешивает такой список, в виде «ФИО — телефон», то проблема явно не в законе, а в головах
                                            +1
                                            Я помню, что раньше накануне 1 сентября можно было подойти к дверям школы и увидеть пофамильный список всех классов школы на будущий год. Очень надеюсь, что сейчас там не так.
                                              +2
                                              Раньше с этим как-то проще было и никто особо не волновался. Кроме списков классов были же списки прошедших по конкурсу абитуриентов в вузах.
                                              Сейчас вывешивают всякие списки пострадавших в случае стихийного бедствия / теракта (символично, да) / катастрофы.
                                              По идее, тогда можно и титры в конце фильма считать персональными данными )))
                                                0
                                                Этим летом я смотрел списки поступивших в Бауманку у них на сайте, но думаю они все таки при сборе документов поступающих это учли.
                                                0
                                                так сам же выше писал:
                                                Если обратиться к терминологии, то я не могу по вашим фразам однозначно определить кто такой Василий Пупкин и Иван Сидоров. Получается это не персональные данные.
                                                в чем разница между там и здесь?
                                                  0

                                                  Разница в том, что добавляется школа и класс с литерой.

                                                    0
                                                    хммм… тогда мне сразу же вспоминаются юридические критерии «персонализации данных», которые постоянно обсуждаются (взять те же программы/интервью с Артуром Хачуяном)…
                                                    а вот Вася Пупкин, владелец Айфон 6… Петя Васин, установивший Вотсап… Ваня Петин, читатель сайта Хабр… это же не персональные данные по сути…

                                                    ну и в контексте данной статьи — к списку учеников (в здании школы по крайней мере) доступ лиц все же органичен… не так то просто сейчас просто так в школу попасть «стороннему» человеку…
                                                      0

                                                      Об этом вся статья. Куча нюансов. Много спорных моментов.

                                              0

                                              а) Гугл продолжит всë помнить?


                                              б) При виде сокращения "ПД" постоянно хочется сообщить, что из "ПДД" одну букву украле!

                                                +2
                                                а) время покажет;
                                                б) беременные скажут, что из «ПДР» украле!
                                                0
                                                Это все совершенно неважно, сбором персональных данных, при острой нужде, признают даже использование гугл-аналитики
                                                habr.com/ru/post/433714
                                                Представитель истца отмечает и то, что ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных, в Политике конфиденциальности интернет-ресурса 2019.vote об использовании сервисов при обработке персональных данных, сведений не содержится, что также является нарушением ФЗ № 152.

                                                Не стоит думать, что в остальных аспектах вокруг ПД будет как-то иначе.
                                                  +1
                                                  Пока нет правоприменительной базы. Наберем попкорна и наблюдаем.
                                                    +1
                                                    > при острой нужде, признают даже использование гугл-аналитики

                                                    Я, например, против того, чтобы обо мне что-то собирали гугл или яндекс, и если можно будет это запретить, то буду только рад.
                                                    А пока приходится резать их счётчики и т.п.
                                                    +1
                                                    Теперь субъект ПД может почти мгновенно удалять любые свои персональные данные из интернета, ему не надо доказывать вообще ничего, кроме того, что это его ПД.

                                                    Причем сама процедура для заявителя очень упростилась: достаточно потребовать убрать ПД и подтвердить свою личность (что в будущем можно будет сделать через сайт Роскомнадзора)

                                                    При всей печальной известности РКН, идея с «государственным прокси» не так уж и плоха. А то получается картина «чтобы удалить ваши ПД нам нужно еще больше ваших ПД», как в случае с ВК и массой других сайтов.
                                                      0
                                                      Я не юрист, по сему никак не могу понять.
                                                      Персональные данные, это чья собственность?

                                                      Если персоны, то схрена ли государство лезет распоряжаться чужой собственностью?
                                                      Если государственные, то какое отношение имеют разрешения и иски от оной персоны?
                                                        +2

                                                        Персоны.
                                                        Государство в данном случае просто помогает персоне ими распоряжаться.
                                                        Деньги твои, но когда ты их отдаешь в банк, государство за банком приглядывает. ПД твои, но за теми, кому ты их дал попользоваться государство приглядывает.

                                                        0
                                                        лучше бы для начала ввели способ энфорсить запрет на холодные звонки. А то штраф теоретически есть, а вот заставить компанию его заплатить невозможно.
                                                          0
                                                          На хабре даже статья есть, как с помощью одного письма в фас (с образцом письма) сделать этот штраф реальным.
                                                            0
                                                            Ссылочку не подскажите?
                                                              0
                                                              Вроде бы того же автора, который вчера или позавчера написал статью, как он наехал с помощью РКН на ДИТ и у него все получилось. Насколько помню, ту статью тоже он писал, стиль очень похож.
                                                        +2

                                                        Очереной высер власти. Я менял прописку, на следующий день после постановки штампика в паспортом столе мне позвонили 3 (три) конторы с рассказами, что у меня деньги с карты снимают. Мое мнение — слили меня именно из паспортного стола причем с моей новой пропиской. Теперь власть подумала и решила, что подобные сливы надо поекратить. И она не пошла разбираться, на каком основании госорганы сливают данные граждан, она пошла придумывать закон, чтобы усложнить жизнь гражданам. В итоге базы данных из госслужб как сливались, так и будут сливаться, а если я потеряю телефон и его найдет кто-то другой, то все в телефонном списке могут с меня взять штраф за оставление их данных в открытом доступе.

                                                          0
                                                          По моим ощущениям все эти прозвоны это следствие утечек СМС, толи от операторов, толи от силовиков, толи от смс-провайдеров.
                                                          +1

                                                          Это как минимум неудобно, но вообще весьма опасно, когда законодательство противоречит природе вещей.
                                                          Об "забыть Герострата" ещё древние греки спотыкались.

                                                            +1

                                                            в России существует целый рынок заказных СМИ, которые шантажируют, публикуя порочащие статьи, и требуют от 1млн за прекращение травли. причём это не связано с политикой, чисто делают на этом деньги. если бы не столкнулся с этим сам, ни за что бы не поверил

                                                              0

                                                              Теперь я могу отозвать согласие на автоматическую обработку моих фотографий в вк (которое не давал). Ура, товарищи!

                                                                0
                                                                Что-то меняет пользовательское соглашение или лицензия с указанием на согласие обработки и публикации без возможности передумать, например?
                                                                  0
                                                                  Субъект ПД может в любое время отозвать согласие на публикацию своих ПД.В этом случае он направляет требование с указанием фамилии, имени, отчества, контактной информации (телефон, email или почтовый адрес) и перечня данных, которые больше нельзя обрабатывать и публиковать. Оператор (а точнее, в законе сказано «любое лицо», то есть кто угодно, кто их опубликовал) обязан в течение трех дней с момента получения требования или аналогичного по смыслу судебного решения прекратить любое распространение и любой доступ к таким ПД.
                                                                  Если честно — алилуя. Задрали мелкие конторы, у которых прописали «а отзывать пишите письма мелким почерком по адресу, а иначе обрабатывать будем как хотим и сколько хотим».
                                                                  Сейчас хоть с ходу можно подавать жалобу на то, что нарушают закон, а до этого надо было заяву писать с требованием проверить, почему контора требования прописывает, как будто по максимальной форме с ПД работает, а по факту это какой-то убогий интренет магазинчик, и тот росконадзор потом проверял…
                                                                    0

                                                                    Интересно, а как эти регуляторные имбицилы будут регулировать визитки. Я напечатал визиток и их раздаю — это нормально. А вот если кто мою визитку дал другому человеку — это распространение персональных данных.

                                                                      0
                                                                      Учитывая повсеместный выход из обихода этих маленьких бумажечек, сомневаюсь, что мы когда-нибудь увидим ФЗ «О визитках».
                                                                      0
                                                                      > Судя по всему, в обоих случаях публикация или перепубликация персональных данных без разрешения их владельца будет правонарушением. Причем исходя из буквы закона речь может идти даже о таких ситуациях, как перепечатка статьи из СМИ с указанием фамилии и имени

                                                                      И это правльно, иначе можно создать левый сайт для слива инфы, а все остальные будут на него ссылаться, говоря «это не мы первые показали, мы только скопировали», как сейчас делают многие СМИ для распространения фейков.
                                                                        +1
                                                                        Не понимаю, чинуши и так делают что хотят, зачем им еще какие то законы новые. Я так понял это всё для того что бы никто не имел права написать новости о том что какой-то депутат опять кого то сбил?
                                                                          0
                                                                          Как видно, забот владельцам интернет-ресурсов, которые допускают публичное отображение персональных данных, сильно прибавилось. Но нужно помнить — вы подпадаете под требования нового закона только в том случае, если у вас есть возможность публиковать персональные данные.

                                                                          А может, просто перестать при регистрации требовать номер телефона, ФИО, паспорт, СНИЛС, все банковские счета и девичью фамилию прабабушки? Хотя о чем это я…

                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                          Самое читаемое