Я уже писал о своем
опыте борьбы с нарушителями законодательства о персональных данных – здесь и здесь. А тут как раз Роскомнадзор (далее цитирую)
«решил узнать, что
думают интернет-пользователи о сборе их персональных данных. В ведомстве
пояснили, что разрабатывают новую информационно-просветительскую стратегию,
чтобы пользователям было проще принимать осознанные решения по распространению
своих персональных данных в Сети».
Инициатива хорошая.
Решил поддержать. Рассказываю, что об этом думаю.
Обратился ко мне
знакомый с просьбой помочь написать жалобу на владельцев сайта, которые как-то
странно смотрят на наши персональные данные. Не по закону. А в школе его сына
настойчиво предлагают на этом самом сайте зарегистрироваться. Поскольку ребенок
несовершеннолетний, сделать это за него должен законный представитель – один из
родителей.
Сайт красивый. И создан для хорошего дела –
пропаганды физкультуры и спорта. Тем обиднее.
При регистрации и
оформлении согласия выясняется, что знать сайт о физкультурнике и его родителях
хочет гораздо больше, чем это нужно для сдачи нормативов ГТО (паспортные данные,
СНИЛС, ИНН, адрес регистрации и фактического проживания «и иную другую
информацию» - так в согласии), передавать эти данные неопределенному кругу лиц,
хранить бессрочно, да еще и рекламу своих контрагентов присылать. И вообще
непонятно, кому согласие на обработку дается.
Сказано – сделано. Вот что в итоге
получилось.
Владельцы данного
сайта грубо нарушают требования Федерального закона «О персональных данных» в
части организации обработки персональных данных детей и их родителей как
законных представителей.
Так, сайт
осуществляет сбор персональных данных с использованием
информационно-телекоммуникационной сети Интернет https://user.gto.ru/user/register, однако в нарушение
требований части 2 ст.18.1 закона на нем не опубликован документ, определяющий
политику оператора в отношении обработки персональных данных, и сведения о
реализуемых требованиях к защите персональных данных.
Отсутствует прямое
указание о том, кто является оператором персональных данных. На странице «Контакты»
сайта http://gto.ru/news/contacts указаны Министерство
спорта Российской Федерации и Федеральный оператор ВФСК ГТО АНО «Исполнительная
дирекция спортивных проектов».
ИНН АНО
«Исполнительная дирекция спортивных проектов» - 1655068636. С данным ИНН в
Реестре операторов персональных данных зарегистрирована другая организация,
Автономная некоммерческая организация «Исполнительная дирекция XXVII Всемирной
летней универсиады 2013 года в г. Казани» (номер в реестре 16-13-000806).
Сведения об обработке персональных данных, указанные в уведомлении
Роскомнадзору, не соответствуют указанным на сайте. Это свидетельствует о неисполнении
оператором требований части 7 ст.22 закона «О персональных данных» в части
информирования Роскомнадзора об изменениях в данных, указанных в ранее
направленном уведомлении.
SSL-сертификат,
которым защищен сайт, принадлежит третьему лицу - ANO «SPORTIVNOE VEShhANIE».
Все это вводит пользователя сайта в заблуждение и не позволяет получить
достоверную информацию о том, кто в действительности осуществляет обработку
персональных данных.
В ходе регистрации на
сайте предлагается дать согласие на обработку персональных данных https://user.gto.ru/bundles/gtouser/docs/agree.pdf. Данная форма не
соответствует требованиям, установленным частью 4 ст.9 Федерального закона:
•
не
указаны наименование или фамилия, имя, отчество и адрес оператора, получающего
согласие субъекта персональных данных (п.3 части 4 ст.9);
•
не
указаны наименование или фамилия, имя, отчество и адрес лица, осуществляющего
обработку персональных данных по поручению оператора, если обработка будет
поручена такому лицу (п.6 части 4 ст.9), хотя в согласии предусмотрена передача
персональных данных субподрядчикам, своим аффилированным лицам или третьим
лицам; цель такой передачи не указана;
•
срок,
в течение которого действует согласие субъекта персональных данных (п.8 части 4
ст.9), указан некорректно: хранение, как указано в согласии, предполагается
осуществлять бессрочно, а согласие дается на 50 лет.
В качестве цели
обработки персональных данных указывается «исключительно регистрация Субъекта
Персональных Данных в базе данных Автоматизированной информационной системы
Всероссийского физкультурно-спортивного комплекса «Готов к труду и обороне»
(ГТО)», однако согласие предлагается передать в Центр тестирования или
преподавателю физической культуры в образовательной организации. Каким образом
связаны между собой оператор, Центр тестирования и образовательное учреждение,
в форме согласия не указывается.
Перечень данных, на
обработку которых дается согласие, явно является излишествующим по отношению к
заявленной цели обработки и включает в себя «фамилию, имя, отчество, пол, дату
рождения, адрес регистрации по месту жительства, адрес фактического проживания,
контактные телефон(ы), адрес электронной почты, паспортные данные, ИНН, СНИЛС,
место учебы (работы) и иную другую информацию». Эти данные относятся как к
несовершеннолетнему субъекту персональных данных, так и к его законному
представителю, что противоречит принципам обработки персональных данных,
установленным статьей 5 закона «О персональных данных». В то же время в
согласии не указаны сведения о результатах участника движения ГТО, обработка
которых явно вытекает из содержания сайта.
Кроме того, в
согласии указывается, что «Я соглашаюсь на получение сообщений и
смс-уведомлений, в том числе информационных и новостных рассылок, приглашений
на мероприятия Дирекции и ее контрагентов», что не соответствует как заявленной
цели обработки, так и смыслу ст.15 закона «О персональных данных», поскольку
получение рекламы навязывается пользователю сайта и в согласии не предусмотрено
возможности отказа от ее получения.
В способах обработки
персональных данных Дирекцией указано их распространение, т.е. действия,
направленные на раскрытие персональных данных неопределенному кругу лиц, что
грубо нарушает принцип конфиденциальности, установленный ст.7 закона, особенно
– учитывая состав данных, на которое требуется дать согласие.
Учитывая массовость
движения ГТО в нашей стране, указанные нарушения требований законодательства в
части обработки персональных данных создают предпосылки для нанесения вреда
правам и свободам значительной части граждан.
В соответствии с
частью ст.17 Федерального закона «О персональных данных» прошу рассмотреть
данное обращение и принять в отношении нарушителя меры, предусмотренные ст.23
Федерального закона «О персональных данных».
Жалоба ушла в
Роскомнадзор через электронную форму. Будем отслеживать реакцию на нее и
информировать интересующихся через этот блог.
Да, к слову.
Многочисленные суждения, высказывавшиеся при обсуждении проблемы в сети, о том,
что есть формы регистрации и согласия больше нарушающие права субъекта, на
подготовку жалобы не повлияли. Если закрывать глаза на нарушение прав граждан,
нарушать их будут все больше и больше. Так что добро пожаловаться!
Михаил Юрьевич, а почему согласие должно быть по форме части 4 статьи 9?! Закон этого не требует. Закон требует данную форму только в том случае, когда письменное согласие обязательно. На сайте же письменную форму дать невозможно. Да И не требуется это.
ОтветитьУдалитьОно и не должно быть обязательно в письменной форме. Но это обычная практика РКН - уж если в письменной, то по правилам ч.4 ст.9. Вы не обратили внимание, наверное, что согласие дается не на сайте, а путем распечатывания и заполнения формы в pdf. Учитывая, что любое согласие должно быть доказываемым и информированным (среди прочего), не сообщив сведения,о которых я пишу, получить его трудно. Да, его модно оформить и через сайт, в том числе получив аналог согласия с собственноручной подписью (для этого есть ЭП), но для этого надо сначала подумать, как это сделать. А то, что на сайте - вообще непонятно кому дается.
УдалитьСергей, а зачем вообще тихо подавать, чтобы через 30 дней получить ответ, что все нормально, если все ненормально и именно это мне не нравится?
ОтветитьУдалитьОна (эффективность) очень разная. Я поэтому и сделал ситуацию гласной. Это позволяет надеяться на объективность.
ОтветитьУдалитьДа, не обратил на pdf...
ОтветитьУдалитьА для сайта вообщсогласие перестали делать. Потому что по части 1 статьи 9 только сам субъект может дать согласие, а по части 3 оператор должен доказать получение согласия. Как в интернете это сделать без ЭП не представляю, так как не понятно, кто сидит за ПК и чьи данные заполняет. Стали подробнее писать политику или правила пользования сайтом и в них указывать все цели, сроки, объёмы и тд. Галочку поставил, что знаком и согласен с этими доками, все-заключил договор)
Есть ЭП, в том числе простая - логин и пароль. Акцепт оферты - да, уже согласия не требует. Все проблемы решаемые, надо просто голову включать.
ОтветитьУдалитьСмотрим 63-ФЗ по простую подпись и 152-ФЗ про согласие в электронной форме, равноценное данному с собственноручной подписью. Важно все правильно описать и оговорить
ОтветитьУдалитьНа самом деле очень актуальный вопрос про сбор согласий через интернет сайты. Сейчас это делается очень часто, но правомерность получения такого рода согласий непонятна. В качестве примера могу привести сайт банка Дельтакредит и его форму онлайн заявки на ипотеку с формой согласия на обработку ПДн https://www.deltacredit.ru/how_to_get_credit/exp/ .По логину и паролю нельзя сказать кто именно подписал это согласие и отправил заявку. И как потом доказывать РКН, что взял согласие именно с Иванова, а не с кого-либо подписавшегося его фамилией и зарегистрировавшегося от его имени?
ОтветитьУдалитьУважаемый Михаил Юрьевич, был ли ответ Роскомнадзора?
ОтветитьУдалитьЛюбопытно ознакомиться!