Специалист ИБ
0,1
рейтинг
1 декабря 2010 в 17:26

Разработка → Вконтакте и Федеральный Закон 152

VS

Как я посмотрел, на Хабре уже несколько раз поднималась тема «Федеральный Закон №152 и социальная сеть „Вконтакте“. Но я добавлю ещё пару копеек, ибо считаю это достаточно важным замечанием, которое, быть может, заставит кого-то задуматься.

Юзер piepl в своем топике Наши новые персональные данные (спасибо ему, кстати, за достаточно интересный разбор) привел в пример пункт правил „Вконтакте“, как эталон, а именно:

В пункте 4.8 правил социальной сети Вконтакте написано следующее.

Принимая настоящие Правила путем регистрации на Сайте, Пользователь подтверждает свое согласие на обработку Администрацией его персональных данных, предоставленных при регистрации, а также размещаемых Пользователем добровольно на своей персональной странице. Обработка персональных данных Пользователя осуществляется в соответствии с законодательством Российской Федерации. Администрация Сайта обрабатывает персональные данные Пользователя в целях предоставления Пользователю услуг, в том числе, в целях получения Пользователем персонализированной (таргетированной) рекламы; проверки, исследования и анализа таких данных, позволяющих поддерживать и улучшать сервисы и разделы Сайта, а также разрабатывать новые сервисы и разделы Сайта. Администрация Сайта принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения. Администрация предоставляет доступ к персональным данным Пользователя только тем работникам, подрядчикам и агентам Администрации, которым эта информация необходима для обеспечения функционирования Сайта и предоставления Услуг Пользователю. Администрация Сайта вправе использовать предоставленную Пользователем информацию, в том числе персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе в целях предупреждения и/или пресечения незаконных и/или противоправных действий Пользователей). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.

Так вот, со всей ответственностью заявляю: Социальная сеть „Вконтакте“ не обрабатывает персональные данные пользователя в соответствии с законодательством Российской Федерации. Никак. Да-да, вообще никак.

Сейчас объясню на пальцах и конкретном примере.

Как известно, обработка персональных данных в России регулируется Федеральным законом от 27 июля 2006 г. N 152-ФЗ „О персональных данных“
Чтиво это весьма занимательно само по себе, но нас будут интересовать Статья 14, и её пункт 1, который я процитирую полностью:

Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав

И Статья 21, пункт 5:

В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Вы пробовали удалить свою страницу „вконтакте“?
А я вот пробовал. Висит до сих пор, хотя „удалился“ оттуда я больше полугода назад. И хоть, когда я выбирал пункт „удалить страницу“, меня заверяли, что через месяц её не будет.

Но это был просто один из примеров того, как „Обработка персональных данных Пользователя осуществляется в соответствии с законодательством Российской Федерации.“ в главной социальной сети рунета.

Но я решил провести своё небольшое расследование далее.

В разделе „Вконтакте“ о сайте указан юридический адрес:
ООО "В Контакте", Санкт-Петербург, Тверская ул., д. 8, лит. Б

Ради научного интереса, я глянул в Государственный реестр юридических лиц, и (о чудо), нашёл.

ИНН нашего ООО »Ромашка" «В контакте» 7842349892

Скопипастив ИНН, я отправился на официальный сайт Роскомнадзора, а именно в раздел Реестр операторов, осуществляющих обработку персональных данных
Вводим ИНН и видим следующее:


Вот так, один из крупнейших операторов персональных данных в России, мало того, что не соблюдает элементарное законодательство самой России, так еще и не утруждает себя внесением своего ООО в «какой-то там реестр», в который он входить обязан как по закону, так и по определению.

Выводы? Делайте сами…
Михаил Чумичев @Chumicheff
карма
31,0
рейтинг 0,1
Специалист ИБ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (106)

  • +10
    зато в России закон 282 работает
  • –2
    ФСБ разрешило :(
  • +1
    Статья 22. Уведомление об обработке персональных данных

    2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    Согласие получено, регистрация не требуется. Не? С другой стороны, когда я регистрировался, то далеко не все сведения, требуемые Законом для выражения согласия указывал, в частности номер паспорта точно не вводил.

    Насчёт удаления — далеко не факт, что нажатие кнопки «удалить аккаунт» равносильно требованию прекратить обработку и/или уничтожить персональные данные.
    • +1
      Регистрация требуется, это раз, исключение — только обработка ПДн в рамках трудовых соглашений.

      А равносильно чему является нажатие кнопки «удалить аккаунт»?
      • 0
        Думаю, если аккаунт не будет удален после личного обращения к администрации ресурса — это уже повод что-то утверждать.

        Под кнопкой «Удалить аккаунт» честно написано «не показывать страницу никому» или что-то в этом роде, так что это равносильно скрытию данных страницы.
        • +2
          Скрытию, говорите?

          Пожалуйста, посмотрите: vkontakte.ru/id1807381
          страница висит :)
          • 0
            Хм. До этого не знал, что тблица кк отображалсь, так и отображается. В чем разница тогда?
            • 0
              Не до конца понял вашего вопроса.
              • 0
                В чем разница в отображении удаленной страницы и обычной?
                • +4
                  Ни в чем, в том-то и дело :)
        • +3
          как раз сейчас пытаюсь удалить страницу.
          уже написал два письма в саппорт.
          в ответ тишина.
      • 0
        Исключений там 8 пунктов вообще-то, трудовые отношения — первый, я цитировал второй.

        Как хочет администрация толковать, так и толкует. Самой кнопки я не нашёл что-то
        • 0
          Там есть галочка в «настройках видимости»
          • 0
            Не нашёл, да фиг с ней, со многими знакомыми связь только в контакте :(
            • 0
              Что это за знакомые тогда, что общаться с ними можно только по интернету?
              • +2
                Одноклассники :)
              • +1
                У меня есть один знакомый. В данный момент обитает в ЮАР. Как тут без сети Интернет? Почтой — до соседнего города (100км) письмо почти неделю идет, а уж туда…
                Сотовая связь — расценки не радуют…
                Джаббер и скайп — вот наш способ общения.
  • +1
    Боян. Еще со времен похожих историй с фейсбуком, многие тоже самое говорили про контакт и фз №152. Даже на хабре я писал об этом комменты.
    • +1
      Согласен, что боян, НО, в конце я заметил, что ООО «В контакте» даже не зарегистрированы, как оператор, хотя согласно Закону, они обязаны регистрироваться.
  • +1
    А вы думаете, что ВСЕ крупные компании с огромными базами пользователей уже защитили персональные данные своих пользователей? Конечно же нет.
    И сервис «Вконтакте» лишь один их многих. К тому же ему лишь упомянуть, что «персональные данные пользователя являются общедоступными», как все вопросы по этому пункту будут сняты.
    • 0
      Так, как я в теме, знаю, что нет, и у них остался ровно месяц :)

      Да там на самом деле одной фразой про «общедоступные» они не отделаются.

      Вот есть у них в Правилах пунктик:

      5.5. В случае несогласия Пользователя с настоящими Правилами или их обновлениями, Пользователь обязан отказаться от его использования, проинформировав об этом Администрацию Сайта в установленном порядке.

      Вы этот «порядок» видели? Лично я, не нашёл.
      • 0
        Незнание закона не освобождает от ответственности.

        Можно смело подавать жалобу в Роскомнадзор.

        Но, большинству пользователей на ПДн ***** с высокой колокольни.
        • 0
          Но, большинству пользователей на ПДн ***** с высокой колокольни.

          Ещё аукнется… ;-)
    • +1
      Обязанность доказывать, что данные являются общедоступными (и на то есть согласие человека) возлагается на оператора, если что.
      • 0
        А кто спорит. Будут их кошмарить — им легче платить, нежели защищать.
  • +1
    что мешает зайти в свой профиль на «вконтакте», удалить там свои персональные данные либо вписать вместо них левую инфу?
    • 0
      Левую инфу вписать нельзя, нынче изменения имени и фамилии проверяются админами.
      • –3
        ну так можно же убедительную причину придумать.
        • +8
          А можно просто соблюдать закон. ;)
          • –1
            Где вы это видели, чтобы в России кто-то закон соблюдал?
        • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            я проделал тоже самое — имя и фамилия deleted, в причине указал удаление. пришлось пожертвовать номером телефона. и что в итоге? — «ваш запрос отклонен».
      • 0
        ну так, тем более. быстрее страницу удалят :)
        • +2
          Я думаю, удалят её только за экстремизм или детскую порнографию, чем, естественно, я не увлекаюсь.
          • +34
            Что поделать, придется увлечься.
            • 0
              Для большего эффекта можно совместить одно с другим.
        • 0
          В законе есть интересная «шероховатость».

          ст.20 п.3 Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

          По модели угроз необходимо резервировать данные.

          По закону данные необходимо удалить полностью (обработку их закончить), но в резервной копии они останутся и их ТЕХНИЧЕСКИ невозможно оттуда удалить.

          Вот такая вот «шероховатость» :)
          • 0
            Закон вообще кривой и косой, и противоречит целой пачке других Законов. Однако, он принят, это факт.
            • 0
              Стоит ждать законопроект Резника и отраслевые стандарты. Вот банковский стандарт вышел на загляденье вкусным и хорошим!
          • +2
            Не то что шероховатость а откровенная колдоебина. Так как у нас ТРИ регулятора (Роскомнадзор, ФСТЭК и ФСБ), то каждый из них гнет свою линию. Наша компания — игрок на финансовом и фондовом рынках. Первая категория по ПДн. Роскомнадзор говорит — вы должны обрабатывать данные по ФСТЭК, ФСТЭК говорит — данные после обработки необходимо хранить 70 лет, ФСБ говорит — удалить данные немедленно после обработки. Вот и пойми как быть. Писали письма — ответ у каждого свой. На ссылки друг на друга — у каждого своя «маза». И это еще не все. Необходимо защищать «сетевой» периметр сертифицированными средствами отечественного производства. Купили, поставили — плачем. Циски были куда гибче. Сидим и думаем как невозможное реализовать (Существующую топологию просто не возможно реализовать средствами АК Континент от ИнформЗащиты).
    • 0
      действительно.
    • +1
      они не дают поменять ФИО.
      я пытался, но некий невидимый модератор отверг мои измения.
      сдледующая попытка поменять ФИО возможна только через две недели.
      как вам такой расклад?
      • 0
        ФИ.
        О меняйте на здоровье хоть раз в 5 секунд.
        • 0
          я же написал, что нельзя поменять, думаете я придумываю?)
          • 0
            Видимо, я недостаточно внятно выразил свою мысль в прошлом комментарии.
            В ответ на ваше
            не дают поменять ФИО

            я возразил, что фамилию и имя поменять действительно не дают (вернее дают, но только через премодерацию), а отчество — меняйте на здоровье:)
            • 0
              ясно)
    • 0
      Например то, что вконтатик запоминает старую фамилию. И меня по ней находят. Более того, для незаргистрированных пользователей моя старая фамилия показывается в скобках, типа как девичья. Такие дела.
    • –1
      Кстати, чтобы изменить имя или фамилию теперь надо ввести номер своего мобильного.
      Пруфпик:
      • +1
        Интересно, чем вызвана такая острая необходимость в принуждении к вводу номера телефона? Тут на ум приходят любые версии, кроме «мы белые и пушистые».
        • 0
          возможно, как-то пытаются остановить волну тысяч ежедневно регистрируемых спам-аккаунтов. мера дурацкая, но ведь как-то работает
      • 0
        Хуже того, если Вы ввели туда номер, Вы уже не сможете его удалить.
  • 0
    Вконтакте можно нелюбить, но я гораздо больше не люблю 152й ФЗ…
    • +8
      Видели бы вы глаза генеральных директоров, которые узнают о 152 ФЗ :))))
      • +7
        видели бы вы глаза программистов которые пытаются нагнуть программные комплексы по 152му ФЗ…
      • +2
        А глаза бухгалтеров, когда им показывают, сколько стоит привести все к требованиям… :)
    • 0
      А уж я как не люблю… :)

      Но, что поделать, он есть, и с ним надо мириться.
    • 0
      Вашей фразой навеело: «вконтакт ты можешь не любить, но на фейсбуке быть обязан» :)
  • –2
    не надо было регистрироваться изначально
    • +2
      Интересное мнение, безусловно. С такой логикой можно вывести и «не надо было рождаться изначально».

      Однако, в топике я обозначил тезис, что «Вконтакте не выполняет требования законодательства, хотя прямо о выполнении и заявляет». Далее я привел 2 примера, как они основной Закон, их курирующий собственно, нарушают. Поэтому мытарства «Регистрироваться или нет, вот в чем вопрос» предлагаю обсудить в другой теме.
  • 0
    На 152 ФЗ можно хорошо зарабатывать :)
    • +2
      Да уже и вовсю, собственно :)
    • 0
      К.О., перелогиньтесь
  • +1
    У «Вконтакте» будет минимум 2 ИСПДН: «Кадры» и «Пользователи».
    ИСПДн «Кадры» относятся к классу К3, а ИСПДн «Пользователи» к К4 (если они сделают их общедоступными).

    В связи с этим им сделать ОРД и защитить хорошенько К3. Для К4 хватит резервного копирования и что-то рода Cisco Guard.
    • 0
      Знаете, всё таки, если учитывать все поля, существующие в анкете, да и объем субъектов ПДн, к «общедоступным» они даже с натяжкой не притянутся. А про персонал, безусловно, чистый К3
    • 0
      Это камент на каком языке?
      • 0
        Язык ФСТЭК :) Наших гос. органов.
  • +1
    Пожалейте ipicture.
    По теме: мы жалкие и ничтожные людишки со своими статейками ничего уже не сделаем против гиганта, который поработил миллионы душ.
    • 0
      Ещё Лев Толстой (кажется не ошибаюсь с авторством) писал, что изменить мир очень сложно (добавлю от себя: и не нужно), гораздо сложнее поменять себя.
      Оставьте этого гиганта в покое и оставьте в покое эти миллионы душ, подумайте о своей — и этого более, чем достаточно. Это ваша зона ответственности, можете ещё отвечать за десяток «тех, кого приручили», а вот весь мир — это уже не ваша забота.
    • +1
      Я собственно никого и ни к чему не призываю, разве что делать собственные выводы. Лично я просто хочу удалить свою страницу.
  • 0
    Я как-то и не сомневался.
  • 0
    формально, вконтакт не содержит ПД. ФИО сами по себе — не являются ПД, т.к. не уникальны по своей сути и не позволяют однозначно идентифицировать личность. Вы ведь номер паспорта или ИНН не станете на вконтакт выкладывать?
    • 0
      Закон говорит обратное. п. 1 ст. 3
      • 0
        1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)
        Смысл в том, чтобы вас можно определить по этим данным. По ФИО нельзя определить однозначно, это лишь часть, которая может быть ПД, нужны дополнительные данные, они и перечислены:
        год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
        Всё это запросто можно не указывать на вк. Но многие указывают, да.
        • 0
          Моя фамилия ко мне не относится? В законе не просто так написано "к определенному", так что смысл не в том, вернее не только в том, что можно однозначно определить, достаточно того, что данные лично ко мне относятся.

          Список распространенных фамилий — это не ПД. Список фамилий лиц, отписавшихся в этом топике — это ПД.
          • 0
            ваша фамилия запросто может относиться к сотням/тысячам других людей. Даже ФИО целиком запросто может относиться ко многим людям. ФИО!=человек.
            • 0
              А ФИО+фото?
              • 0
                тут несколько сложнее. Но тоже, 100% гарантии нет, вдруг это ваш брат-близнец, по шутке родителей, названный так же? )
            • 0
              Но в числе сотен/тысяч других людей она определенно относится и ко мне. Перечитайте то, что сами цитировали: «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу» — переписав это на псевдокод получим

              if (информация относится к лицу) or (по информации можно определить лицо) then информация.isПД = true.

              Может так понятнее?

              Более того, в законе не сказано даже «однозначно определяемому», а просто «определяемому»
              • 0
                Поддержу bondbig, данные анкет не являются персональными данными пока ООО «Вконтакте» не подтвердит (документально), что они принадлежат конкретной личности.
                А так это пока лица, похожие на генпрокурора некий набор данных имеющих сходство с реальностью.

                В вину Вконтакте можно поставить то, что не вошли в реестр как операторы ПДн сотрудников, контрагентов…
                • 0
                  По-моему, вы ставите проблему с ног на голову. Наверное, подавляющее большинство тех, кто «внезапно» оказался оператором ПДн (не понял, зачем пишут «н» в некоторых источниках), были бы счастливы если бы им пришлось доказывать, что они таковыми являются, а не думать о том, как бы доказать, что не являются или, хотя бы, понизить требования к своим ИСПДн. В случае конфликта субъекта и оператора, оператору тоже лучше доказывать, что его данные не являются ПДн.

                  Не вошли, по-моему, правомерно.
                  • 0
                    ок, я ставлю себя на место ответственного сотрудника по защите ПДн, ставят задачу по защите ПДн.
                    Смотрю анкеты пользователей и вижу, что на основании введенной информации достоверно (на 100%) определить физическое лицо не могу. Вся информация возможно совпадает с данными физического лица.

                    И я не говорю, что Вконтакте надо избегать закон. Как он [закон] написан, так его и исполняют. Будут четкие формулировки, требования, рекомендации — будет четкое исполнение и не менее четкое наказание. Для каких-то моделей бизнеса закон работает (телеком, банки), для каких-то (Вконтакте) неприменим. Из-за этого телеком и банки парятся, создавая отраслевые стандарты, а остальные не очень =).

                    «Закон что дышло...»

                    Итак моя позиция: Вконтакте не виновен.

                    Не вошли в реестр неправомерно, они обрабатывают ПДн сотрудников, контрагентов (физ.лиц) — значит операторы ПДн.

                    P.S. ПДн — сокращение как-то прижилось, зато оно уникально.
                    • 0
                      2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

                      1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

                      2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

                      5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

                      Как видно, для ПДн (прижилось, тогда и я буду использовать :) )работников и контрагентов (если не требует большего, чем нужно для исполнения договора) Закон делает исключение в требовании обязательной регистрации (уведомлении).

                      И, кстати, в ч. 5 косвенно указывает, что только ФИО также является ПДн, хотя их оператор и не должен регистрироваться.
    • +1
      Формально, ВК попросил ввести ФИО, адрес (город), школу-институт, фото и прочую личную инфу.
      Он не просил дать просто чье-то фото или выдумать ФИО.
      Именно это относит введенную пользователем информацию к ПД, т.к. пользователь должен выполнить предписания (инструкции) ВК.
    • 0
      номер телефона тоже не удаляется
  • +4
    После прочтения топика отправил запрос на изменение имени, в причине процитировал закон. И что бы вы думали? заявка была отклонена тут же.
  • +2
    Был я на одной из конференций Роскомнадзора, где выступал их представитель. Так вот при поступлении жалобы они обязаны начать официальную проверку. Так что вперед, пишем претензии на вконтактик Роскомнадзору и смотрим результат. Если будем массовое обращение, думаю меры будут приняты.

    З.Ы.
    И да, вконтакте действительно очень многое себе подпортили тем, что по прямым ссылкам можно получить доступ практически к любой информации. А самое главное, изменение фамилии недоступно для обычных пользователей. Получается Ваши данные собирают, Вы их добровольно оставляете, и удалить Вы их никогда не сможете (а ситуации в жизни бывают разные).
  • 0
    Это, конечно, все познавательно. Однако у меня остался извечный вопрос: «Что делать?»
    • 0
      Да тут вроде все люди взрослые, каждый сам для себя решает :)
  • 0
    там вообще ничего нельзя удалить. взять хоты бы фотки. вроде как удаляешь, их никто не видит, но по прямым ссылкам все равно до них добраться можно… насобирали они себе базу…
    • 0
      Особенности технической реализаци :) Файлы отдаются напрямую с диска и файлы не удаляются чтобы диск не дефрагментировать.
  • 0
    Я не понял вот чего. Почему Вконтакте должен себя вносить в какие-то реестры? Если его зарегистрировали, выдали лицензию на что-то, то он в этот момент и должен был быть внесён в реестр регистратором или выдавателем лицензии. Это же логичный и единственно верный путь.
    • 0
      Лицензий на обработку ПД у нас, вроде как, нет. Но в некоторых случаях (вернее во всех, кроме исключений, но исключения довольно обширны) оператор собравшийся обрабатывать ПД должен уведомить об этом соответствующие органы. Хотя, имхо, вконтакте с текущими правилами и функционалом под эти случаи не попадает (вернее попадает под исключения)
      • 0
        Попадает. Весь бизнес-процесс «Вконтакте» основан на обработке ПДн.
        • 0
          Я про то, что, по-моему, вконтакте не попадает под требование обязательной регистрации как оператора ПД, хотя остальные статьи Закона о ПД соблюдать, конечно, должен
  • 0
    Друзья, сам с толкнулся с тем, что не то, что акаунт, я даже номер телефона оттуда удалить не могу. В связи с этим прошу того, кто может составить грамотно заявление, чтобы их проверили на возможность полностью удалять личные данные. А мы отправим/подпишемся и сделаем всё что будет нужно в поддержку.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.