зачем нужны паспортные данные при регистрации домена
Как защитить свои личные данные при регистрации домена?
После прочтения поста «Я вижу вас насквозь, а вы при этом наивно полагаете, что находитесь в полной безопасности» вспомнил инцидент, который меня очень возмутил, так как меня «заставили» опубликовать личную информацию о себе в интернет.
Я стараюсь не оставлять о себе информации в интернет.
При регистрации доменного имени в сервисе imena.ua я изначально не хотел указывать свои личные данные в Whois.
Я указал верные данные в профиле пользователя на imena.ua. Эти данные никому не доступны и нужны для того, что бы со мной могли связаться сотрудники сервиса imena.ua, а так же могли выслать по почте сертификат на доменное имя. Но при заполнении формы с информацией, которая идет в запись Whois я указал ложные данные в обязательных полях Фамилия, Почтовый адрес и т.п. К счастью, на сайте imena.ua отдельно указываются данные профиля и данные, которые идут в запись whois.
Я даже позвонил и уточнил этот вопрос у службы поддержки. Мне четко и ясно сказали, что я правильно поступил: главное указать верно данные в профиле, а в whois я могу указывать все, что захочу.
Однако! Проходит время, и я получаю письмо примерно следующего содержания:
«Это сообщение является напоминанием о необходимости поддерживать правильную контактную информацию для Вашего домена. У нас имеется следующая информация для домена %домен%, который у нас зарегистрирован:
Если Вы найдете, что какая-либо информация неточна, пожалуйста исправьте её в Вашей контрольной панели.
Как только Вы сохраните Ваши изменения, они появятся в Whois моментально.
Пожалуйста помните, что в соответствии с Соглашением о Регистрации Доменов, неправильно указанная контактная информация в Whois может стать причиной отказа в регистрации домена.»
(пунктуацию я не стал исправлять – пусть сотрудникам регистратора imena.ua будет стыдно)
После долгих попыток выяснить этот вопрос и найти справедливость, меня окончательно запугали возможностью расторгнуть договор, и я выложил свою информацию на всеобщее обозрение. И теперь кто угодно на черных джипах может наведаться среди ночи в гости к владельцу домена.
Поскольку история изменения Whois сохраняется, то, как я понимаю, рыпаться уже поздно. Но, все же, до сих пор обидно.
К тому же я считаю, что правда на моей стороне.
Домены, зарегистрированные у других регистраторов, в записи whois содержат почтовый адрес регистратора доменного имени. Я нашел документ, регламентирующий этот процесс, и там написано, что регистратор может указывать свой почтовый адрес. Однако сотрудники imena.ua наотрез отказались идти мне на встречу. К тому же у них действительно в договоре написано, что я должен по их требованию предоставлять личную информацию.
Может кто-то сказать мне, есть ли правда в этом мире?
Update:
Регистрируя домен, Вам необходимо указать корректные контактные данные. В противном случае домен может быть заблокирован регистратором по причине нарушения соглашения о регистрации. Эта информация должна быть доступна при проверке через базу WHOIS, как того требует ICANN, международная организация, контролирующая доменные имена. Но часто эта информация может использоваться в недобросовестных целях, например, рассылка спама.
Многие регистраторы предоставляют услугу WhoIs Protect. Данная услуга представляет собой скрытие WhoIs информации в публичных источниках. Она в первую очередь предназначения для скрытия контактных данных владельца домена от спамеров. Эта услуга не предназначена для полного скрытия данных о владельце доменов, который ведет незаконную деятельность. В случае таковой все данные о владельце доменов будут выданы по соответствующему запросу компетентных органов.
Для реализации WhoIs Protect регистраторы используют сервисы на подобии http://privacyprotect.org/, http://contactprivacy.com/.
При использовании этой услуги, запись WhoIs будет выглядеть, как показано в примере: 
Однако, тогда возникает вопрос: как подтвердить свое право на владение доменом? Какому из регистраторов можно доверять?
Регистрация симкарт в 2021 году: что нужно делать и кто рискует потерять номер телефона
Это не требование отдельных операторов, а федеральный закон. Все серьезно.
Курс о больших делах
Что это за требование
Это требование федерального закона, который был принят еще год назад и вступил в силу 1 июня 2021 года. Теперь все корпоративные симкарты должны быть зарегистрированы в специальном реестре через госуслуги. Это касается и тех номеров, что используются сотрудниками, и карт, которые оформлены для устройств — терминалов, шлагбаумов, модемов и онлайн-касс.
Такими симкартами многие пользовались годами, регистрировали на них онлайн-банки, использовали в бизнесе, а иногда — для мошенничества и других преступлений. Государство решило с этим бороться. Сначала ввели обязательную идентификацию абонентов по паспорту, теперь пытаются навести порядок в корпоративных номерах.
Из-за этого прибавилось хлопот у бизнеса. А простые абоненты могут вообще потерять номер, хотя честно использовали его в течение многих лет и ничего незаконного не задумывали.
Что нужно делать фирмам и ИП
С 1 июня по 30 ноября 2021 года всем абонентам с корпоративными симкартами нужно зарегистрировать используемые номера на госуслугах. То есть владелец номеров передает оператору связи сведения о том, кто и какими симкартами пользуется, — с данными конкретных сотрудников. Оператор запрашивает у этих сотрудников подтверждение через госуслуги — и после этого активирует карту.
Если симкарта установлена в устройстве, она активируется сразу после передачи данных, дополнительное подтверждение не требуется. Все это происходит дистанционно.
Вот что нужно сделать организации или ИП:
Заявление отправляется электронно — на портале.
Что делать работникам
Получается, что пользователям симкарт нужно либо ждать инициативы от компании, которая заключила договор, либо знать ее данные и самостоятельно активировать карту. В любом случае сведения о конечном пользователе будут проверяться. Оператор активирует карту, только если данные от корпоративного абонента и физлица совпадут.
Это не будет проблемой для тех, кто на самом деле пользуется корпоративной связью действующих компаний. Добавит немного хлопот, но не более. А вот тем, кто потерял контакт с организацией или когда-то давно купил непонятно какую симкарту, придется столкнуться с проблемами — вплоть до потери номера.
Как оператор проверяет данные пользователя
Рассмотрим вариант, когда абонент передает данные на госуслугах сам за себя. Например, если организации уже нет, он уволился, покупал симку в переходе или не дождался запроса на активацию. Вот пользователь заполнил данные на госуслугах, оператор их получил.
А дальше оператор проверяет:
И если хотя бы что-то не совпадает, карта не будет активирована. А после 1 декабря есть риск остаться без номера.
Что за реестры передают организации
Если юрлицо или ИП ликвидируется, абонентские номера могут быть переоформлены на конечных пользователей.
То есть уже три года корпоративные абоненты и так сообщают данные конечных пользователей. Или, по крайней мере, должны это делать.
Но кто-то из них мог не передать информацию или сообщить недостоверные сведения. Или директор просто везде указывал пользователем себя, а карты раздавал менеджерам. Кто-то уже и не помнит, кому передали симкарту. Некоторые пользователи получили корпоративный номер не от работодателя, а от какой-то посторонней компании, с которой давно нет связи. Раньше об этом никто не задумывался.
Теперь это будет серьезной проблемой. Даже если вы честно сообщаете, что пользуетесь номером такого-то юрлица, нужно, чтобы это юрлицо передало о вас сведения. Только тогда карта будет активирована. В противном случае после 1 декабря вас ждет неприятный сюрприз в виде блокировки, даже если вы самый честный на свете абонент.
Что можно сделать, чтобы сохранить номер
Если точно знаете, что сведения о вас не передадут или они будут недостоверными, можно попробовать переоформить корпоративный номер на себя без участия второй стороны — организации, которая заключала договор.
Для этого у операторов связи есть услуга — обычно платная, но недорогая. Проблема не в стоимости, а в самом процессе: он не дает гарантии, что заявку на переоформление точно одобрят.
Алгоритм переоформления обычно такой:
При положительном решении нужно заключить договор на свое имя. Тогда вся эта история с активацией уже не будет вас касаться, так как абонентом станет физлицо. Правда, до декабря переоформить карту можно и не успеть.
А еще бывает, что организация реальная и до сих пор работает, но передавать симкарту не хочет. Хотя человек пользуется ею много лет в личных целях и сам платит за связь. Тут ничего не поделать.
Что делать, если переоформить номер не получится
Нужно подготовиться к возможной блокировке. Приостановка услуг связи по неподтвержденным корпоративным номерам может произойти 1 декабря или позднее. Может, переходный период и продлят, но пока об этом ничего не известно — надеяться не стоит.
Вспомните все, что зарегистрировано на этот номер: личные кабинеты, доступы, подтверждения, платежи, интернет-банки, маркетплейсы, мессенджеры, доставки, скидочные карты, государственные сервисы. Измените номер, где возможно, на новый — зарегистрированный на вас.
Сообщите новый номер своим контактам. Перенесите историю в мессенджерах. Заново настройте приложения, если потребуется.
Это будет большая работа, но деваться некуда.
Как узнать, на кого оформлен номер
Эта информация есть в личном кабинете вашего оператора. Туда можно попасть через приложение или войти с компьютера — но симкарта должна быть доступна. На нее придет смс для подтверждения. Или нужно знать пароль.
Проверьте на всякий случай эту информацию, если не помните, на кого оформляли карту, или меняли данные при увольнении.
При регистрации домена указал неверные данные, что делать
Домен в международной зоне
Если вы ошиблись при вводе регистрационных данных:
Напишите заявку на изменение данных по шаблону:
Подтверждаю необходимость изменения данных на домене.
Корректные данные следующие (перечислите корректные данные).
К заявке необходимо приложить:
Фотографию (селфи) владельца домена с главным разворотом паспорта и листом бумаги в руках. На листе бумаги укажите текущую дату и сделайте пометку «Для REG.RU». На фотографии лицо владельца должно быть снято крупным планом, а паспортные данные должны отчетливо читаться.
Цветную сканированную копию или цветную фотографию главного разворота паспорта и страницы с регистрацией.
Скан-копию или фотографию документа, который подтверждает почтовый адрес (город, улица, дом), указанный в Контактах администратора домена.
Цветную сканированную копию или цветную фотографию заполненного и подписанного заявления по установленной форме:
Цветную скан-копию или фотографию свидетельства ИНН организации.
Цветную скан-копию или фотографию доверенности на подписанта, если заявление подписано не генеральным директором.
Цветную скан-копию или фотографию главного разворота паспорта контактного лица организации, указанного при регистрации домена.
Скан-копию документа, который подтверждает почтовый адрес, указанный при регистрации домена.
Готово. Наши сотрудники внесут изменения, после чего вам необходимо будет подтвердить их, перейдя по ссылке в сообщении на контактный e-mail: Как узнать контактный e-mail домена. Если у вас нет доступа к контактному адресу электронной почты доменного имени, используйте инструкцию Смена регистранта (владельца) домена в международных зонах.
10 вещей, которые сможет сделать мошенник, завладевший данными вашего паспорта
Однажды человека может разбудить неожиданный звонок с требованием вернуть долг, а в почтовом ящике окажется повестка в суд. Но кредитов он не брал, закон не нарушал — возможно, кто-то наживается на его паспортных данных.
Вот как могут подставить мошенники, заполучив информацию из паспорта.
Взять микрокредит
Чтобы взять кредит в крупном банке, одних паспортных данных недостаточно: потребуется хотя бы копия документа.
А вот оформить микрозаем в интернете можно с помощью сведений с первых страниц паспорта — номера, даты выдачи, кода подразделения и места рождения.
Обратившись в несколько микрофинансовых организаций, мошенники получат существенную сумму на свои карты — а затем исчезнут, оставив жертву с долгами.
Зарегистрировать фирму
Пользуясь данными чужого паспорта, мошенники регистрируют фирму-однодневку. Так они безнаказанно творят темные дела: уклоняются от налогов или собирают с обычных людей деньги за предзаказ дорогих товаров.
Оформить рассрочку
Некоторые интернет-магазины предлагают клиентам покупать товары в рассрочку: чтобы забрать вещь, нужно указать паспортные данные, а оплатить покупку можно позже.
Это на руку мошенникам: они заказывают товар по чужому документу, а курьеру говорят, что покупку получит другой человек — не владелец паспорта. Предупрежденный курьер спокойно отдает дорогую вещь аферисту, но расплачиваться за нее должен ничего не подозревающий владелец паспорта.
Прислать квитанцию
Зная ФИО жертвы и адрес регистрации, мошенники подделывают квитанции на оплату штрафов от государственных органов.
Чтобы оплатить «штраф» и избежать суда, аферисты просят как можно скорее воспользоваться вложенной квитанцией.
Зарегистрировать электронный кошелек
Мошенники, которые обманывают людей в интернете, часто просят жертв выслать им деньги на электронный кошелек — поэтому аферистам выгодно использовать чужие данные. Так вся ответственность за мошенничество ляжет на плечи подставного владельца кошелька, а настоящие преступники останутся незамеченными.
Подделать паспорт
Притвориться полицейским
Мошенник предлагает «выкупить» родственника, попавшего в беду: якобы ребенка доставили в отдел полиции, потому что он сделал что-то противозаконное. Этот обман распространен и многие о нем знают, поэтому лжеполицейский прикрывается персональными данными жертвы: называет точный возраст и имя ребенка, а еще данные паспорта родителя, которые «пробил» по полицейской базе.
Выяснить номер телефона по паспортным данным несложно. Многие указывают его на страницах в соцсетях или на страницах-визитках, которые можно найти, просто набрав имя и фамилию жертвы в поисковике.
Обманывать на сайтах объявлений
Мошенник размещает объявление о продаже дорогой вещи по бросовой цене: утверждает, что надо продать срочно, поэтому и скидка большая. А так как цена привлекательная, то и желающих много, поэтому аферист настаивает на предоплате: чтобы не терять время, если покупатель вдруг передумает.
В качестве гарантии липовый продавец высылает скан паспорта — разумеется, чужого, а после получения денег перестает отвечать на сообщения.
Шантажировать
Заполучив чужие паспортные данные, мошенники находят владельца паспорта в соцсетях и предлагают заплатить им за удаление информации о документе, а иначе обещают оформить микрозаймы на имя жертвы.
Из тех, кто согласится, мошенники вытягивают все более крупные суммы, шантажируя новыми махинациями. Если жертва отказывается платить, аферисты присылают сообщение с другого аккаунта, притворяясь обманутым покупателем с сайта объявлений: мол, знаю ваши паспортные данные, если не возместите ущерб — обращусь в полицию.
Оформить симкарту
Если сотрудник посчитает копию верной, мошенник сможет оформить симку на чужие данные. Это поможет преступнику обманывать людей по телефону, не боясь полиции, — в случае чего оператор выдаст паспортные данные жертвы.
С помощью симкарты мошенники тоже могут взять кредит, оставив должником владельца настоящего паспорта: некоторые операторы связи позволяют клиентам оформить через интернет банковскую карту с кредитным лимитом
Мошенничество по телефону
Всё, что нужно знать о персональных данных
Формы обратной связи, соцсети, иностранные сервера и рога оленя
Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.
Вот что вы спрашивали о персональных данных.
Консультируйтесь с юристом
Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.
Объясните вкратце для тех, кто не в курсе
В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.
За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.
Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц
Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.
Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.
В Европе паранойя по поводу персданных уже давно
Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.
Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.
Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.
Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.
Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.
У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?
Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.
Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.
У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?
Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.
Форма обратной связи тоже попадает под действие закона?
Если в ней человек может ввести свои персональные данные — то да, попадает.
Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.
А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?
По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.
Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.
Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.
Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.
Никто толком не знает, какие данные персональные
В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.
Чтобы не рисковать, лучше сделать так.
Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?
Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.
Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.
Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.
Отвечать за соблюдение закона перед посетителями сайта будет его владелец.
А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят
Роскомнадзор узнает о нарушениях двумя способами:
Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.
Сначала читать, потом подписывать
Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.
По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.
Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.
Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.
А если у нас сайт на английском?
Вот какие признаки используют, чтобы это понять:
Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.
Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.
В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.
Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?
Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.
В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.
Вот публикую я пост в Фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в Твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?
Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.
Все пользователи Фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что Фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.
Вы уже разрешили Фейсбуку делать с вашими персданными что угодно
Все согласились на то, что эти данные Фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает Фейсбук, а не пользователи.
Так устроена любая соцсеть и общедоступные справочники.
Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?
Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.
Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.
Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.
То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например
Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.
Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.
«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.
Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.
Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.
Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?
Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.
Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.
Согласие должно быть осознанным и информированным
Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.
У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.
Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.
Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.
Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.
Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?
Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.
На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.
Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.
Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.
Обеспечьте техническую безопасность данных и защитите их от утечки.
Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.
Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.
Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.
Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.
Закон о персональных данных — это не страшно
Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.
Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.