Как стать автором
Обновить

Теперь персональные данные должны удалять отовсюду по первому требованию, но есть побочка

Блог компании Leader-ID Информационная безопасность *IT-стандарты *Законодательство в IT Социальные сети и сообщества
Всего голосов 58: ↑57 и ↓1 +56
Просмотры 35K
Комментарии 85

Комментарии 85

И что это получается? Если меня достают военкомат/банк/полиция/тетя Дуся, то я могу отозвать свои ПД и не числиться в их базах? Пойду кредитов наберу.

НЛО прилетело и опубликовало эту надпись здесь

Не понятно. А организация "Рога и Копыта" втихаря продала БД с моими ПД другой организации и говорит, что тоже не предоставляет доступ неограниченному кругу лиц.
Как доказать, что контора распространяет данные? И наоборот — как доказать, что указанные мной организации не распространяют ПД?

НЛО прилетело и опубликовало эту надпись здесь
К базам, к которым имеет доступ ограниченный круг лиц, этот закон отношения не имеет.
Военкомат и полиция надеюсь ваши персональные данные у себя на сайтах не публикуют.
Банки вообще отдельная история, их деятельность попадает под действие целого вороха законов и нормативных актов, для выполнения которых они просто не имеют права сразу удалить вас из своих баз. Поэтому рекомендую аккуратно относиться к «набиранию кредитов».
А вот с «тетей Дусей» можно и пообщаться, если она нарушает ваши права. И если обратившись к ней напрямую решить вопрос не получится, то вам в этом наверняка попытается помочь Роскомнадзор.
Если меня достают военкомат/банк/полиция/тетя Дуся, то я могу отозвать свои ПД и не числиться в их базах?
Если данные требуются для исполнения заказа и по закону их обязаны хранить n-лет, то удалить вы их не сможете.
А вот запретить использовать в рекламных целях — да.

Военкомат, наверняка, передаст полиции мои ПД для поиска. Это является распространением?

Мне тоже интересно узнать мнение специалиста, но я почти уверена, что это не публичное распространение. Публичное — это на сайте опубликовать, мол, Васю Иванова найдете на Рябиновой, 8.

Вася сейчас напрягся.

Использование персональных данных полицией урегулировано Федеральным законом от 07.02.2011 № 3-ФЗ «О полиции».
Если вам интересно, просто возьмите и прочитайте самостоятельно для начала сам 152фз несколько раз. Ничего сложного в этом нет, да и полезно знать о своих правах. Хотя бы поверхностно. Может после этого появитьяс интерес к чтению соглашений о конфиденциальности и прочих пользовательских, где вам открытым текстом говорят кому и что передадут без вашего ведома, но с вашего согласия.
Когда я пишу вот прямо в этом комментарии «Василий Пупкин — жулик и вор» («Иван Сидоров — иностранный агент») — я распространяю персональные данные указанных лиц?
Если обратиться к терминологии, то я не могу по вашим фразам однозначно определить кто такой Василий Пупкин и Иван Сидоров. Получается это не персональные данные.
А если написать в другой формулировке:
«*** ***— жулик и вор» («*** ***— иностранный агент»)?

Кстати, интересный момент (про терминологию). Предположим, я (со своего аккаунта) на каком-то форуме публикую пост, в котором оставляю свои ПД (предположим, данные профиля закрыты без регистрации). При этом согласия на публикацию ПД ("в явной активной форме") я как бы не давал. Получается, форум теперь является распространителем, не получившим согласие?

Как минимум форуму стоит озаботиться этим вопросом и проверить пользовательское соглашение

То-есть технически форум может написать что-то вроде "администрация не несёт ответственности за ПД, добровольно оставленные пользователем в не предназначенных для этого местах"? Или юридически это не имеет значения?

Если для целей форума нет необходимости в идентификации пользователя, то стоит максимально дистанцироваться от причастности к законодательству о персональных данных. Думаю, что на форуме все равно есть пользовательское соглашение, в котором уже проработаны вопросы персональных данных. Предложил бы применить бенчмаркинг и посмотреть на другие похожие форумы, которые действуют преимущественно на российскую аудиторию и исторически качественно выполняют требования законодательства о персональных данных. А если вы являетесь таким форумом, на который все равняются, то придется прорабатывать этот вопрос с консультантами.
Сейчас благодаря новейшим веяниям в законодательстве не то что форумы повыпиливали все кто мог, но уже и комментарии на сайтах поубирали. А те кто не убрал — соответственно обязался хранить IP адреса и прочую телеметрию и предоставлять эти данные силовикам по первому письму.
Так что я думаю за распространение ПД будет отвечать комментатор. Ну а форум скорее всего снесет этот коммент по первому письму от любого кто представился носителем упомянутых ПД.
обязался хранить IP адреса

IP адрес сообщения хранит наверное любой форумный движок.
Ну сам себе форум это вещь в себе, они почти везде были интегрированы с сайтами, где использовалась авторизация сайта. А вот сделана ли фиксация в логах ip адреса с которого регистрировались, да фиксация емейла на момент регистрации (а его потом можно поменять не раз) — большой вопрос.
Даже в битриксе, где форум свой родной ip адреса регистрации в лог не валятся и многое еще чего не прологгировано чего хотелось бы силовикам.
Да в конце концов и владельцам сайтов городить этот недоСОРМ у себя и давать онлайн доступ к нему каким-то погонам — желания в общем нет никакого, проще оказалось закрыть лавочку с комментированием и форумами чем бодаться с силовиками и РКН, по крайней мере на двух крупных местных порталах так и произошло.

Что такое "неограниченный круг лиц"? Если на сайте ввести действие "залогиниться" (неважно как, например, просто нажать пустую кнопку Sign In), то, по-сути, такие пользоватеди не будут относиться к неограниченному кругу лиц, а значит, на таком сайте можно оглашать имущество чиновников с фамилиями известными всем?

В вашем примере вам как оператору по новому закону придется доказывать, что вы предоставляли доступ к ПДн ограниченному кругу лиц и что у вас есть согласие на обработку этих персональных данных + согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, если вдруг вы не сможете доказать, что ограничили круг лиц.
что у вас есть согласие на обработку этих персональных данных
Т.е. я верно понимаю, что можно вынудить перестать обрабатывать ПД таким сайтам как vk.watch, хранящим историю данных пользователя за длительные промежуток времени (человек мог передумать размещать часть информации)? Идентифицировать человека можно по ФИО + Карьера + Школа, к примеру. Эта информация публикуется до какой-либо регистрации или оплаты.

UPD: изменил адрес ссылки на просмотр страницы Медведева, т.к. на странице Дурова браузер может подвисать. На странице Дурова раздел «Карьера» не замазан.
Я думаю, что такие сайты работают не в рамках законодательства РФ. Подозреваю, что в реестре операторов Quanta AS («Quanta»), упоминаемая в «Условиях обслуживания» отсутствует. В любом случае, можно обратиться в сторону этого юрлица, а после этого в Роскомнадзор, если напрямую не договорятся. Или сразу в Роскомнадзор. А дальше смотреть как это работает.
Ох как сразу народ перевозбудился.
В первую очередь каждый должен понимать, что красивые сказки про равенство — это сказки. В жизни это не работает. В жизни «действующие законы» для всех разные. Причём это касается любых законов. В итоге одних, на требование удалить ПД, пошлют даже после вступления законов в силу, а за попытку внести в базу ПД других «вносильщика» по весне найдут в посадке.
100% работает только один закон — кто сильнее тот и прав.
Если требование удалить ПД оформлено по закону и оператор ПД «посылает» незаконно, то пишется заявление в РКН, где в течении месяца РКН сажает на бутылку оператора, если РКН лажает, то прокуратура, администрация президента.
В сказочном мире с единорогами, феями и 100% работающими законами, безусловно так и будет.
А самая увлекательная черта Вашего сказочного мира состоит в том, что РКН может налажать, а вот прокуратура и администрация президента не могут :-)
Тут скорее речь о настойчивости, а не о вере в единорогов. Слило одно ведомство, пишем в другое, слило другое, пишем в третье. Вопрос в желании и силах идти по этому медленному бумажному пути.
Наверное именно поэтому существуют горы выигранных в суде дел, по которым никто не то что не спешит, а вообще не собирается исполнять решение суда.
Я не спорю, в некоторых случаях достаточно настойчивости, а в некоторых достаточно просто сказать «я хочу». Но это никак не избавляет от тех случаев, когда для исполнения «законных требований» нужно иметь хороших юристов и кучу денег. А в некоторых случаях так вообще хрен чего добьёшься, если не имеешь возможности приставить ствол к башке того, кто отвечает за исполнение.
Это так не работает. В ЕСИА, например, уже начали вносить новый функционал… Там можно отозвать согласия у Минцифры.

Та же биометрия. Что в Сбер, что в Ростелекоме. Отзыв вполне работает. И они обязаны уничтожить эти ПД.

И самое главное: электронный письмооборот через Почта России… По ИНН.
Только и функционалом после этого пользоваться тоже нельзя. Так как другие методы обработки исключаются из производста. Пример: Минпромторг не принимает больше письменные заявки на лицензии, давайте в цифре… отозвал = остался без лицензии.

Получается свобода выбора номинальная?
«мощный инструмент борьбы с черным пиаром, дискредитацией, клеветническими кампаниями в интернете, травлей, распространением лжи»

Способы борьбы с клеветой и оскорблениями существуют и так. А «право удалить свои персональные данные» для каких-то других целей всегда называлось коротко и ясно: «цензура». Ну и учитывая предельно низкий уровень юридической техники, продемонстрированный авторами законопрожэкта (думаю, сам Горелкин там наворотил разного) ничего хорошего во всем этом не вижу.
Никто вроде и не заставляет.) Автор рассмотрел тему со всех сторон, и если вы дочитали до конца, то и слово цензура видели. Мало кто разобрался в вопросе, спасибо автору, что вник и готов разбираться дальше.
Суровость наших законов, как обычно, будет компенсироваться необязательностью их исполнения.
Не совсем понятен кейс с соцсетями. Если сделать обзор профиля доступным только под аутентификацией, получается нарушения нет?
Получается, что доступ к персональным данным, содержащимся в профиле, ограничен пользователями этой соцсети, пусть их и 20 миллионов.
А если через поисковик находится по фио?
Я подумал, что можно попробовать заставить вк удалить мою учетку, которую я еще в школе создал и потерял давно доступ.
Если честно, я сам хотел попробовать реализовать такой кейс, только с другой соцсетью. Попробуйте, потом расскажите, пожалуйста, что получилось.
Подписываюсь под схожим вопросом — я давно удалил там учётку, но они не удаляют персональные данные, удаляя учетку! Хотелось бы понять, возможно ли теперь заставить их это сделать.
Напишите им письмо бумажное, наверняка получите ответ через 30 дней.
pikabu.ru/story/kak_udalitsya_iz_vk_vot_pryamo_chtob_sovsem_promezhutochnyiy_rezultat_6550609 вот была долгая история на эту тему, которая в итоге ничем не закончилась.

Очень краткая версия: все последующие письма в ВК были проигнорированы, ни одного бумажного и\или юридически значимого ответа не поступило.
«Ну и нужно контролировать обратную связь на случай, если кто-то будет присылать требование об отзыве согласия. В нашем случае мы оговорили этот момент в тексте согласия, оставив один вариант — письмом на электронную почту. „

А не нарушает ли это (ограничение только эл.почтой) тот же закон?
Никто не отменяет возможность отозвать согласие письмом по юридическому адресу оператора, но почему бы не дать пользователю более удобный вариант, что мы и сделали.
А, ну если так. Я просто прочитал: «оставив один вариант». Я неверно понял, что только так, остальное оставите без внимания.
А так хотелось удалить реальное имя из профиля Blizzard без предоставления паспорта.
Ой, какой бардак у автора в голове…

Даже определение персональных данных автор в статье переврал, что уж говорить о более сложных вещах…

А уж две галки согласия на собственном сайте автора — это вообще за гранью добра и зла:). Я у него на сайте не регистрировался, но есть подозрение, что закон нарушается… Например, по закону я имею право как дать согласие, так и не дать, но получить абсолютно тоже самое, что и и те, кто дали согласие. Брать согласие на публичное распространение — это очень специфический случай… Соцсети, например, этим точно заниматься не будут по причине того, что им это не выгодно. Они имеют право показывать любые данные, которые захотел показать пользователь, но с 1 марта больше НИКТО не имеет права парсить эти соцсети и собирать базы.

Если же пользователю сайтом предлагается какая то услуга, требующая ввода ПДн (например, помощь в поиске работы, путем размещения его резюме на сайте), то такому пользователю просто предлагается оферта, в которой прописываются права и обязанности сторон. И все, никакого согласия брать не требуется, если ПДн пользователя используются исключительно в рамках исполнения договора (оферты). А если точнее, то по закону НЕЛЬЗЯ брать согласие (конкретные аргументы почитайте в прошлогоднем переводе на хабре комментариев к GDPR, к российскому закону эти аргументы полностью применимы).

А уж на счет мыслей автора, что субъект ПДн разместил ПДн для публичного распространения, и эти данные перепечатали куча д'Артаньянов… Если раньше они реально были д'Артаньянами, а субъект — дурень лыковый, то сейчас он тупо отзывает согласие там, где разместил, а куча д'Артаньянов должна сама отслеживать, что согласие отозвано. А если они не отследили, то телега в РКН и все кто не удалил сразу влетают в незаконную обработку ПДн.

В общем, пользоваться текстом статьи, как руководством к действию категорически не рекомендую. Очень многое законодательству не соответствует. Ну а автору посоветую прежде чем публиковать проконсультироваться с теми, кто понимает, что написано в законе. Ну и заодно привести собственный сайт в соответствие с действующим законодательством по этому вопросу:).
Они имеют право показывать любые данные, которые захотел показать пользователь, но с 1 марта больше НИКТО не имеет права парсить эти соцсети и собирать базы.

И что, vk теперь гуглом парситься не будет? Поисковик это вполне себе не маленькая база.
Интересно кстати, я могу теперь от ВК требовать убрать мои фото, или к разместившему должен обращаться. (крайний случай — мой аккаунт, от которого нет пароля)

Ну, насколько я знаю, ВК и раньше без вопросов удалял фото по части законодательства, относящемуся к авторскому праву. Надо только представить доказательство, что это реально ты на этом фото. По поводу ака, от которого нет пароля, но можно доказать, что он твой, то ВК без проблем его удалял и 5 лет назад. Сейчас ничего не изменилось.
ВК без проблем его удалял и 5 лет назад

Они требуют фотографию с паспортом в руках + фотографию с владельцем на аватаре в акке. На ава может и не быть твоей фотки, тогда все. Не восстановишь.
«Удаление аккаунта» в ВК это удаление вашего доступа к этому аккаунту.
Хорошо тем, кто об этом знал — они заранее зачистили все данные.
Но те, кто не знал — просто теряют доступ к своему аккаунту, однако их имя, учетка, все фото по прямым ссылкам, комментарии и т.д. остаются доступны в сети. И ВК отказывается их удалять.
Список участников школьной поездки — это же не персональные данные. Если только не считать таковыми информацию о том, что некто «Петя Иванов» из 3«Б» едет в планетарий на вот этом вот автобусе.
Если же школа вывешивает такой список, в виде «ФИО — телефон», то проблема явно не в законе, а в головах
Я помню, что раньше накануне 1 сентября можно было подойти к дверям школы и увидеть пофамильный список всех классов школы на будущий год. Очень надеюсь, что сейчас там не так.
Раньше с этим как-то проще было и никто особо не волновался. Кроме списков классов были же списки прошедших по конкурсу абитуриентов в вузах.
Сейчас вывешивают всякие списки пострадавших в случае стихийного бедствия / теракта (символично, да) / катастрофы.
По идее, тогда можно и титры в конце фильма считать персональными данными )))
Этим летом я смотрел списки поступивших в Бауманку у них на сайте, но думаю они все таки при сборе документов поступающих это учли.
так сам же выше писал:
Если обратиться к терминологии, то я не могу по вашим фразам однозначно определить кто такой Василий Пупкин и Иван Сидоров. Получается это не персональные данные.
в чем разница между там и здесь?

Разница в том, что добавляется школа и класс с литерой.

хммм… тогда мне сразу же вспоминаются юридические критерии «персонализации данных», которые постоянно обсуждаются (взять те же программы/интервью с Артуром Хачуяном)…
а вот Вася Пупкин, владелец Айфон 6… Петя Васин, установивший Вотсап… Ваня Петин, читатель сайта Хабр… это же не персональные данные по сути…

ну и в контексте данной статьи — к списку учеников (в здании школы по крайней мере) доступ лиц все же органичен… не так то просто сейчас просто так в школу попасть «стороннему» человеку…

Об этом вся статья. Куча нюансов. Много спорных моментов.

а) Гугл продолжит всë помнить?


б) При виде сокращения "ПД" постоянно хочется сообщить, что из "ПДД" одну букву украле!

а) время покажет;
б) беременные скажут, что из «ПДР» украле!
Это все совершенно неважно, сбором персональных данных, при острой нужде, признают даже использование гугл-аналитики
habr.com/ru/post/433714
Представитель истца отмечает и то, что ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных, в Политике конфиденциальности интернет-ресурса 2019.vote об использовании сервисов при обработке персональных данных, сведений не содержится, что также является нарушением ФЗ № 152.

Не стоит думать, что в остальных аспектах вокруг ПД будет как-то иначе.
Пока нет правоприменительной базы. Наберем попкорна и наблюдаем.
> при острой нужде, признают даже использование гугл-аналитики

Я, например, против того, чтобы обо мне что-то собирали гугл или яндекс, и если можно будет это запретить, то буду только рад.
А пока приходится резать их счётчики и т.п.
Теперь субъект ПД может почти мгновенно удалять любые свои персональные данные из интернета, ему не надо доказывать вообще ничего, кроме того, что это его ПД.

Причем сама процедура для заявителя очень упростилась: достаточно потребовать убрать ПД и подтвердить свою личность (что в будущем можно будет сделать через сайт Роскомнадзора)

При всей печальной известности РКН, идея с «государственным прокси» не так уж и плоха. А то получается картина «чтобы удалить ваши ПД нам нужно еще больше ваших ПД», как в случае с ВК и массой других сайтов.
Я не юрист, по сему никак не могу понять.
Персональные данные, это чья собственность?

Если персоны, то схрена ли государство лезет распоряжаться чужой собственностью?
Если государственные, то какое отношение имеют разрешения и иски от оной персоны?

Персоны.
Государство в данном случае просто помогает персоне ими распоряжаться.
Деньги твои, но когда ты их отдаешь в банк, государство за банком приглядывает. ПД твои, но за теми, кому ты их дал попользоваться государство приглядывает.

лучше бы для начала ввели способ энфорсить запрет на холодные звонки. А то штраф теоретически есть, а вот заставить компанию его заплатить невозможно.
На хабре даже статья есть, как с помощью одного письма в фас (с образцом письма) сделать этот штраф реальным.
Ссылочку не подскажите?
Вроде бы того же автора, который вчера или позавчера написал статью, как он наехал с помощью РКН на ДИТ и у него все получилось. Насколько помню, ту статью тоже он писал, стиль очень похож.

Очереной высер власти. Я менял прописку, на следующий день после постановки штампика в паспортом столе мне позвонили 3 (три) конторы с рассказами, что у меня деньги с карты снимают. Мое мнение — слили меня именно из паспортного стола причем с моей новой пропиской. Теперь власть подумала и решила, что подобные сливы надо поекратить. И она не пошла разбираться, на каком основании госорганы сливают данные граждан, она пошла придумывать закон, чтобы усложнить жизнь гражданам. В итоге базы данных из госслужб как сливались, так и будут сливаться, а если я потеряю телефон и его найдет кто-то другой, то все в телефонном списке могут с меня взять штраф за оставление их данных в открытом доступе.

По моим ощущениям все эти прозвоны это следствие утечек СМС, толи от операторов, толи от силовиков, толи от смс-провайдеров.

Это как минимум неудобно, но вообще весьма опасно, когда законодательство противоречит природе вещей.
Об "забыть Герострата" ещё древние греки спотыкались.

в России существует целый рынок заказных СМИ, которые шантажируют, публикуя порочащие статьи, и требуют от 1млн за прекращение травли. причём это не связано с политикой, чисто делают на этом деньги. если бы не столкнулся с этим сам, ни за что бы не поверил

Теперь я могу отозвать согласие на автоматическую обработку моих фотографий в вк (которое не давал). Ура, товарищи!

Что-то меняет пользовательское соглашение или лицензия с указанием на согласие обработки и публикации без возможности передумать, например?
Субъект ПД может в любое время отозвать согласие на публикацию своих ПД.В этом случае он направляет требование с указанием фамилии, имени, отчества, контактной информации (телефон, email или почтовый адрес) и перечня данных, которые больше нельзя обрабатывать и публиковать. Оператор (а точнее, в законе сказано «любое лицо», то есть кто угодно, кто их опубликовал) обязан в течение трех дней с момента получения требования или аналогичного по смыслу судебного решения прекратить любое распространение и любой доступ к таким ПД.
Если честно — алилуя. Задрали мелкие конторы, у которых прописали «а отзывать пишите письма мелким почерком по адресу, а иначе обрабатывать будем как хотим и сколько хотим».
Сейчас хоть с ходу можно подавать жалобу на то, что нарушают закон, а до этого надо было заяву писать с требованием проверить, почему контора требования прописывает, как будто по максимальной форме с ПД работает, а по факту это какой-то убогий интренет магазинчик, и тот росконадзор потом проверял…

Интересно, а как эти регуляторные имбицилы будут регулировать визитки. Я напечатал визиток и их раздаю — это нормально. А вот если кто мою визитку дал другому человеку — это распространение персональных данных.

Учитывая повсеместный выход из обихода этих маленьких бумажечек, сомневаюсь, что мы когда-нибудь увидим ФЗ «О визитках».
> Судя по всему, в обоих случаях публикация или перепубликация персональных данных без разрешения их владельца будет правонарушением. Причем исходя из буквы закона речь может идти даже о таких ситуациях, как перепечатка статьи из СМИ с указанием фамилии и имени

И это правльно, иначе можно создать левый сайт для слива инфы, а все остальные будут на него ссылаться, говоря «это не мы первые показали, мы только скопировали», как сейчас делают многие СМИ для распространения фейков.
Не понимаю, чинуши и так делают что хотят, зачем им еще какие то законы новые. Я так понял это всё для того что бы никто не имел права написать новости о том что какой-то депутат опять кого то сбил?
Как видно, забот владельцам интернет-ресурсов, которые допускают публичное отображение персональных данных, сильно прибавилось. Но нужно помнить — вы подпадаете под требования нового закона только в том случае, если у вас есть возможность публиковать персональные данные.

А может, просто перестать при регистрации требовать номер телефона, ФИО, паспорт, СНИЛС, все банковские счета и девичью фамилию прабабушки? Хотя о чем это я…

Забавно, что про персональные данные пишет компания, которая занимается сбором персональным данных, без возможности удаления цифрового профиля. Оборжаться можно.

Если вы про систему Leader-ID, то функция удаления профиля находится вот здесь https://leader-id.ru/profile/settings/privacy

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.