24 ноября 2015 г.

Добро пожаловаться - 3

Я уже писал о своем опыте борьбы с нарушителями законодательства о персональных данных – здесь и здесь. А тут как раз Роскомнадзор (далее цитирую) «решил узнать, что думают интернет-пользователи о сборе их персональных данных. В ведомстве пояснили, что разрабатывают новую информационно-просветительскую стратегию, чтобы пользователям было проще принимать осознанные решения по распространению своих персональных данных в Сети».
Инициатива хорошая. Решил поддержать. Рассказываю, что об этом думаю.
Обратился ко мне знакомый с просьбой помочь написать жалобу на владельцев сайта, которые как-то странно смотрят на наши персональные данные. Не по закону. А в школе его сына настойчиво предлагают на этом самом сайте зарегистрироваться. Поскольку ребенок несовершеннолетний, сделать это за него должен законный представитель – один из родителей.
Сайт красивый. И создан для хорошего дела – пропаганды физкультуры и спорта. Тем обиднее.
При регистрации и оформлении согласия выясняется, что знать сайт о физкультурнике и его родителях хочет гораздо больше, чем это нужно для сдачи нормативов ГТО (паспортные данные, СНИЛС, ИНН, адрес регистрации и фактического проживания «и иную другую информацию» - так в согласии), передавать эти данные неопределенному кругу лиц, хранить бессрочно, да еще и рекламу своих контрагентов присылать. И вообще непонятно, кому согласие на обработку дается.   
Сказано – сделано. Вот что в итоге получилось.
Владельцы данного сайта грубо нарушают требования Федерального закона «О персональных данных» в части организации обработки персональных данных детей и их родителей как законных представителей.
Так, сайт осуществляет сбор персональных данных с использованием информационно-телекоммуникационной сети Интернет https://user.gto.ru/user/register, однако в нарушение требований части 2 ст.18.1 закона на нем не опубликован документ, определяющий политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных.
Отсутствует прямое указание о том, кто является оператором персональных данных. На странице «Контакты» сайта http://gto.ru/news/contacts указаны Министерство спорта Российской Федерации и Федеральный оператор ВФСК ГТО АНО «Исполнительная дирекция спортивных проектов».
ИНН АНО «Исполнительная дирекция спортивных проектов» - 1655068636. С данным ИНН в Реестре операторов персональных данных зарегистрирована другая организация, Автономная некоммерческая организация «Исполнительная дирекция XXVII Всемирной летней универсиады 2013 года в г. Казани» (номер в реестре 16-13-000806). Сведения об обработке персональных данных, указанные в уведомлении Роскомнадзору, не соответствуют указанным на сайте. Это свидетельствует о неисполнении оператором требований части 7 ст.22 закона «О персональных данных» в части информирования Роскомнадзора об изменениях в данных, указанных в ранее направленном уведомлении.
SSL-сертификат, которым защищен сайт, принадлежит третьему лицу - ANO «SPORTIVNOE VEShhANIE». Все это вводит пользователя сайта в заблуждение и не позволяет получить достоверную информацию о том, кто в действительности осуществляет обработку персональных данных.
В ходе регистрации на сайте предлагается дать согласие на обработку персональных данных https://user.gto.ru/bundles/gtouser/docs/agree.pdf. Данная форма не соответствует требованиям, установленным частью 4 ст.9 Федерального закона:
      не указаны наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных (п.3 части 4 ст.9);
      не указаны наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (п.6 части 4 ст.9), хотя в согласии предусмотрена передача персональных данных субподрядчикам, своим аффилированным лицам или третьим лицам; цель такой передачи не указана;
      срок, в течение которого действует согласие субъекта персональных данных (п.8 части 4 ст.9), указан некорректно: хранение, как указано в согласии, предполагается осуществлять бессрочно, а согласие дается на 50 лет.
В качестве цели обработки персональных данных указывается «исключительно регистрация Субъекта Персональных Данных в базе данных Автоматизированной информационной системы Всероссийского физкультурно-спортивного комплекса «Готов к труду и обороне» (ГТО)», однако согласие предлагается передать в Центр тестирования или преподавателю физической культуры в образовательной организации. Каким образом связаны между собой оператор, Центр тестирования и образовательное учреждение, в форме согласия не указывается.
Перечень данных, на обработку которых дается согласие, явно является излишествующим по отношению к заявленной цели обработки и включает в себя «фамилию, имя, отчество, пол, дату рождения, адрес регистрации по месту жительства, адрес фактического проживания, контактные телефон(ы), адрес электронной почты, паспортные данные, ИНН, СНИЛС, место учебы (работы) и иную другую информацию». Эти данные относятся как к несовершеннолетнему субъекту персональных данных, так и к его законному представителю, что противоречит принципам обработки персональных данных, установленным статьей 5 закона «О персональных данных». В то же время в согласии не указаны сведения о результатах участника движения ГТО, обработка которых явно вытекает из содержания сайта.
Кроме того, в согласии указывается, что «Я соглашаюсь на получение сообщений и смс-уведомлений, в том числе информационных и новостных рассылок, приглашений на мероприятия Дирекции и ее контрагентов», что не соответствует как заявленной цели обработки, так и смыслу ст.15 закона «О персональных данных», поскольку получение рекламы навязывается пользователю сайта и в согласии не предусмотрено возможности отказа от ее получения.
В способах обработки персональных данных Дирекцией указано их распространение, т.е. действия, направленные на раскрытие персональных данных неопределенному кругу лиц, что грубо нарушает принцип конфиденциальности, установленный ст.7 закона, особенно – учитывая состав данных, на которое требуется дать согласие.
Учитывая массовость движения ГТО в нашей стране, указанные нарушения требований законодательства в части обработки персональных данных создают предпосылки для нанесения вреда правам и свободам значительной части граждан.
В соответствии с частью ст.17 Федерального закона «О персональных данных» прошу рассмотреть данное обращение и принять в отношении нарушителя меры, предусмотренные ст.23 Федерального закона «О персональных данных».
Жалоба ушла в Роскомнадзор через электронную форму. Будем отслеживать реакцию на нее и информировать интересующихся через этот блог.
Да, к слову. Многочисленные суждения, высказывавшиеся при обсуждении проблемы в сети, о том, что есть формы регистрации и согласия больше нарушающие права субъекта, на подготовку жалобы не повлияли. Если закрывать глаза на нарушение прав граждан, нарушать их будут все больше и больше. Так что добро пожаловаться!

13 комментариев:

  1. Вы бы в блоге не писали. После такого поста Контемиров (или как его там) лично будет бегать в вашим заявлением: вас же читают, это уже политика.
    А если бы тихо подали бы, то через 30 дней получили бы ответ, что всё нормально и вы сами на всё согласились, если зашли на этот сайт.

    ОтветитьУдалить
    Ответы
    1. Сергей, а зачем вообще тихо подавать, чтобы через 30 дней получить ответ, что все нормально, если все ненормально и именно это мне не нравится?

      Удалить
    2. Я просто хочу выяснить ваше отношение к эффективности рассмотрения таких обращений Роскомнадзором :)

      Удалить
    3. Она (эффективность) очень разная. Я поэтому и сделал ситуацию гласной. Это позволяет надеяться на объективность.

      Удалить
  2. Михаил Юрьевич, а почему согласие должно быть по форме части 4 статьи 9?! Закон этого не требует. Закон требует данную форму только в том случае, когда письменное согласие обязательно. На сайте же письменную форму дать невозможно. Да И не требуется это.

    ОтветитьУдалить
    Ответы
    1. Оно и не должно быть обязательно в письменной форме. Но это обычная практика РКН - уж если в письменной, то по правилам ч.4 ст.9. Вы не обратили внимание, наверное, что согласие дается не на сайте, а путем распечатывания и заполнения формы в pdf. Учитывая, что любое согласие должно быть доказываемым и информированным (среди прочего), не сообщив сведения,о которых я пишу, получить его трудно. Да, его модно оформить и через сайт, в том числе получив аналог согласия с собственноручной подписью (для этого есть ЭП), но для этого надо сначала подумать, как это сделать. А то, что на сайте - вообще непонятно кому дается.

      Удалить
  3. Да, не обратил на pdf...
    А для сайта вообщсогласие перестали делать. Потому что по части 1 статьи 9 только сам субъект может дать согласие, а по части 3 оператор должен доказать получение согласия. Как в интернете это сделать без ЭП не представляю, так как не понятно, кто сидит за ПК и чьи данные заполняет. Стали подробнее писать политику или правила пользования сайтом и в них указывать все цели, сроки, объёмы и тд. Галочку поставил, что знаком и согласен с этими доками, все-заключил договор)

    ОтветитьУдалить
  4. Есть ЭП, в том числе простая - логин и пароль. Акцепт оферты - да, уже согласия не требует. Все проблемы решаемые, надо просто голову включать.

    ОтветитьУдалить
  5. (Чего-то я опять не пойму, запостился у меня коммент или нет - извините, если дублирую)
    Михаил, а как логин и пароль могут служить доказательством согласия? Ведь по логину нельзя установить, кто именно послал данные - их субъект или третье лицо. Тут даже скан паспорта слабое доказательство.

    ОтветитьУдалить
  6. Смотрим 63-ФЗ по простую подпись и 152-ФЗ про согласие в электронной форме, равноценное данному с собственноручной подписью. Важно все правильно описать и оговорить

    ОтветитьУдалить
    Ответы
    1. Если я верно понимаю, то вы говорите о том, что в публичной оферте декларируется, что действия, совершённые пользователем из своего логина/пароля признаются скреплёнными аналогично собственноручной подписи.
      И потом он из под логина даёт согласие.

      Если это так, то всё равно получается казус: мы всё равно не знаем, кто даёт согласие на использование персональных данных.

      Удалить
  7. На самом деле очень актуальный вопрос про сбор согласий через интернет сайты. Сейчас это делается очень часто, но правомерность получения такого рода согласий непонятна. В качестве примера могу привести сайт банка Дельтакредит и его форму онлайн заявки на ипотеку с формой согласия на обработку ПДн https://www.deltacredit.ru/how_to_get_credit/exp/ .По логину и паролю нельзя сказать кто именно подписал это согласие и отправил заявку. И как потом доказывать РКН, что взял согласие именно с Иванова, а не с кого-либо подписавшегося его фамилией и зарегистрировавшегося от его имени?

    ОтветитьУдалить
  8. Уважаемый Михаил Юрьевич, был ли ответ Роскомнадзора?
    Любопытно ознакомиться!

    ОтветитьУдалить