Prije dvije sedmice na forumima su otkrivene baze podataka 600 hiljada klijenata servisa Avito i Yula, među kojima su bile prave adrese i brojevi telefona. Baze podataka su još uvijek slobodno dostupne i svako ih može preuzeti. Zamislite samo koliko je ljudi već preuzelo bazu podataka s namjerom da pošalju neželjenu poštu ili, još gore, da izvuku podatke o platnim karticama korisnika. Administracija foruma ne briše baze podataka, pošto U ovoj situaciji ne vide nikakav problem, a još manje prekršaj, i kažu da nije riječ o krađi ličnih podataka, već o prikupljanju otvorenih podataka.
Vijesti o curenju podataka više nikoga neće iznenaditi.
Juli i avgust 2020. bili su ispunjeni vijestima o blokiranju TikToka zbog neovlaštenog prikupljanja podataka. A moj zadatak nije da iznenadim, već da razumem problem i da održim obećanje koje sam dao jednom od Habrovih čitalaca. Inače, moje ime je Vjačeslav Ustimenko, članak sam napisao zajedno sa Bellom Farzalievom, IT pravnikom iz međunarodne advokatske firme Icon Partners.
Zašto je to važno
Pitanje zaštite i obrade ličnih podataka svake godine samo dobija na zamahu. Zaštita ličnih podataka se odnosi na slobodu izbora osobe, kulturu društva i demokratiju. Nezavisnom osobom je teško upravljati, teško je prevariti i nemoguće kopirati. Ovu ideju prenose dobro poznati propisi o zaštiti podataka u EU (GDPR) i SAD (CCPA). Lično proveo anketu, čak su i advokati (90% mojih pretplatnika) još uvijek slabo upućeni u pitanja zaštite podataka.
Pitanje je zvučalo ovako: “Šta od sljedećeg su lični podaci.”
Prilažem screenshot rezultata ankete.
Oko 20% birača je izabralo tačan odgovor.
PS Činjenica da sam iz Ukrajine i članak o zakonima Ruske Federacije ne bi trebalo da vas zbuni, poštovani čitaoci, pošto se stručnost IT pravnika ne može ograničiti samo na jednu državu.
Šta su lični podaci u Ruskoj Federaciji
Definicija ličnih podataka u skladu sa saveznim zakonom ne razlikuje se mnogo od evropske ili ukrajinske, o čemu .
Lični podaci - bilo koja informacija koja se direktno ili indirektno odnosi na identifikovano ili identifikovano fizičko lice, govorimo o bilo kojim podacima po kojima se osoba može identifikovati.
U Rusiji je upotreba i zaštita ličnih podataka regulisana mnogim dokumentima, posebno 152-FZ „O ličnim podacima“, 149-FZ „O informacijama, informacionim tehnologijama i zaštiti informacija“, Zakonom o upravnim prekršajima, Krivičnim Kodeks Ruske Federacije, Zakon o radu Ruske Federacije i Građanski zakonik Ruske Federacije.
Otvorite lične podatke. Kakva je ovo životinja?
#Pogledajmo situaciju kroz oči korisnika
Možda čitaoci još nisu razmišljali o tome kako lični podaci mogu biti otvoreni, jer lično zvuči kao lično, a otvoreno kao javno.
Pritom me ne napušta osjećaj samopouzdanja da nakon još jednog razgovora sa telefonskim prodavcem svako od nas pomisli "odakle mu moj broj" ili "šta je to čudan poziv stranca koji zna više o meni" nego što je potrebno.”
Dakle, korisnici koji su nešto stavili na prodaju preko Avita, nemojte se čuditi što su završili u bazama podataka hakera, dobili spam e-mailove ili nerazumljiv poziv od prevaranata ili „hladnih prodavača“.
U takvoj situaciji možete kriviti samo sebe, jer vas nepoznavanje zakona ne oslobađa odgovornosti.
Sve što je sam korisnik objavio o sebi radi javnog razmatranja, odnosno na Internetu, postaje javno dostupno, odnosno otvoreni podaci i može se pohranjivati, distribuirati i koristiti bez pristanka korisnika.
Potvrda iz zakona
Dio 1 člana 152.2. Građanski zakonik Ruske Federacije.
Osim ako zakonom izričito nije drugačije određeno, prikupljanje, pohranjivanje, distribucija i korištenje bilo kojih podataka o njegovom privatnom životu, posebno podataka o njegovom porijeklu, o mjestu boravka ili boravišta, o njegovom ličnom i porodičnom životu, nije dozvoljeno bez saglasnost građanina.
prikupljanje, čuvanje, distribucija i korištenje informacija o privatnom životu građanina u državnom, javnom ili drugom javnom interesu, kao iu slučajevima kada su informacije o privatnom životu građanina ranije postale dostupne javnosti ili ih je sam otkrio, nije povreda pravila utvrđenih stavom prvim ovog stava.građanin ili po njegovoj volji.
Još jedna potvrda
Tačka 4. člana 7. Federalnog zakona Ruske Federacije br. 149-FZ „O informacijama, informacionim tehnologijama i zaštiti informacija“.
Informacije koje vlasnici objavljuju na Internetu u formatu koji omogućava automatsku obradu bez prethodne ljudske promjene u svrhu ponovne upotrebe su javno dostupne informacije objavljene u obliku otvorenih podataka.
#Zaključak
Uprava Avita s pravom tvrdi da se baza podataka na hakerskim forumima u potpunosti sastoji od javnih informacija koje su dostupne na njihovoj web stranici i koje se mogu prikupiti parsiranjem (automatsko prikupljanje informacija pomoću posebnih programa), odnosno nema govora o bilo kakvom curenju podataka. Da li se podaci koriste u pravne svrhe je još jedno pitanje koje svakako ne treba postavljati Avitou.
Ako ne želite da itko sastavlja, procjenjuje ili koristi vaš korisnički profil, ostavite manje informacija o sebi na javnim resursima.
Ispod je smiješan (ali ne tačan) komentar sa foruma.
#Pogledajmo situaciju kroz oči biznisa
Uzmimo isti Avito kao primjer i razmotrimo pitanja:
- je li stranica operater ličnih podataka,
- da li treba da dobije saglasnost za obradu podataka i da se prijavi Roskomnadzoru da bude uključen u registar operatera,
- Hoće li Avito zaista ostati nekažnjen?
U situaciji sa curenjem podataka, Avito zaista nema nikakve veze s tim. Možete zamisliti da je Avito ograda na kojoj je korisnik napisao “PRODAJEM GARAŽU” i naveo svoje ime, broj telefona ili druge komunikacijske podatke, a zatim počeo da se ljuti zašto svi koji su prošli pored ograde znaju, kopiraju ili koriste podatke .
Potvrda iz zakona
Član 10. Zakona br. 152-FZ.
Kompanija ili pojedinac osoba koja je dobila pismeni pristanak klijenta za obradu podataka postaje operater javno dostupnih ličnih podataka, ali zakonska regulativa nameće minimalne zahtjeve za zaštitu javno dostupnih ličnih podataka, odnosno, jednostavnije, otvorenih podataka, u odnosu na druge kategorije.
Još jedna potvrda
Tačka 4, dio 2, član 22 „O ličnim podacima“.
Operater ima pravo da obrađuje lične podatke koje je subjekt ličnih podataka učinio javno dostupnim bez obavještavanja nadležnog tijela za zaštitu prava subjekata ličnih podataka.
#Zaključak
Avito je operater ličnih podataka. Što se tiče obavještenja Roskomnadzora, postoje izuzeci u zakonu, ali oni se ne odnose na Avito, jer ova stranica prikuplja i obrađuje ne samo javno dostupne podatke. Ali ako stranica radi samo s otvorenim podacima, ne bi bilo potrebe za obavještavanjem i registracijom kod Roskomnadzora. Avito je nevin, pa zato neće biti kazne.
Podaci se mogu procuriti ili legalno dobiti ne samo sa platformi za trgovanje, već i sa bilo koje web stranice ili od mobilnih operatera, sa društvenih mreža, banaka, registara, mogu se izvući iz niza mobilnih transakcija na bankovnoj kartici ili korištenjem skrivenih funkcija aplikacije za pametne telefone, postoji milion opcija.
Inače, svi znaju da Habr nije forum, ali postoji mogućnost komentiranja, a svrha članka nije iznenađenje, već razumijevanje problematike.
Vaše pitanje
U stvarnosti 2020. godine, morate biti oprezni s objavljivanjem ličnih podataka na Internetu i ponašati se kao u smiješnom komentaru iznad, ili uvesti nove zakone, ili je možda tek došla nova era i vrijedi se pomiriti s općom dostupnošću otvorenih podataka?
izvor: www.habr.com