Pred dvoma týždňami boli na fórach objavené databázy 600-tisíc klientov služieb Avito a Yula, medzi ktorými boli aj skutočné adresy a telefónne čísla. Databázy sú stále voľne dostupné a môže si ich stiahnuť každý. Len si predstavte, koľko ľudí si už stiahlo databázu s úmyslom rozoslať spam alebo, čo je ešte horšie, vylákať údaje o platobných kartách používateľov. Administrácia fóra nevymazáva databázy, pretože V tejto situácii nevidia žiadny problém, tým menej porušenie, a tvrdia, že nejde o krádež osobných údajov, ale o zhromažďovanie otvorených údajov.
Správy o únikoch dát už nikoho neprekvapia.
Júl a august 2020 boli plné správ o zablokovaní TikTok z dôvodu neoprávneného zhromažďovania údajov. A mojou úlohou nie je prekvapiť, ale pochopiť problematiku a dodržať sľub, ktorý som dal jednému z Habrových čitateľov. Mimochodom, volám sa Vjačeslav Ustimenko, článok som napísal spolu s Bellou Farzalieva, IT právničkou z medzinárodnej právnickej firmy Icon Partners.
Prečo je to dôležité
Problematika ochrany a spracovania osobných údajov každým rokom len naberá na obrátkach. Ochrana osobných údajov je o slobode voľby človeka, kultúre spoločnosti a demokracii. Nezávislý človek je ťažko zvládnuteľný, ťažko oklamateľný a nedá sa skopírovať. Túto myšlienku vyjadrujú dobre známe nariadenia o ochrane údajov v EÚ (GDPR) a USA (CCPA). Osobne vykonal prieskum, dokonca aj právnici (90 % mojich predplatiteľov) sú stále slabo oboznámení s otázkami ochrany údajov.
Otázka znela takto: "Ktoré z nasledujúcich sú osobné údaje."
Prikladám screenshot výsledkov prieskumu.
Správnu odpoveď zvolilo asi 20 % hlasujúcich.
PS Skutočnosť, že som z Ukrajiny, a článok o zákonoch Ruskej federácie by vás, milí čitatelia, nemala zmiasť, keďže odbornosť IT právnika nemožno obmedziť na jednu krajinu.
Čo sú osobné údaje v Ruskej federácii
Definícia osobných údajov v súlade s federálnym zákonom sa veľmi nelíši od európskej alebo ukrajinskej, o ktorej .
Osobné údaje – akékoľvek informácie týkajúce sa priamo alebo nepriamo identifikovanej alebo identifikovateľnej fyzickej osoby, hovoríme o akýchkoľvek údajoch, podľa ktorých možno osobu identifikovať.
V Rusku je používanie a ochrana osobných údajov upravená mnohými dokumentmi, najmä 152-FZ „O osobných údajoch“, 149-FZ „O informáciách, informačných technológiách a ochrane informácií“, Kódexom správnych deliktov, Trestným Zákonník Ruskej federácie, Zákonník práce Ruskej federácie a Občiansky zákonník Ruskej federácie.
Otvorte osobné údaje. Čo je to za zviera?
#Pozrime sa na situáciu očami užívateľa
Možno sa čitatelia ešte nezamysleli nad tým, ako môžu byť osobné údaje otvorené, pretože osobné znie ako osobné a otvorené ako verejné.
Zároveň ma neopúšťa pocit dôvery, že po ďalšom rozhovore s telefonickým predajcom si každý z nás pomyslí „odkiaľ má moje číslo“ alebo „čo je to za čudný hovor od neznámeho človeka, ktorý o mne vie viac? než je potrebné."
Používatelia, ktorí niečo ponúkajú na predaj cez Avito, sa teda nečudujte, že skončili v hackerských databázach, dostali spamové e-maily alebo nepochopiteľný hovor od podvodníkov alebo „predavačov chladu“.
Obviňovať si v takejto situácii môžete len sami seba, pretože neznalosť zákonov vás nezbavuje zodpovednosti.
Všetko, čo používateľ sám o sebe zverejnil na verejné posúdenie, inými slovami na internete, sa stáva verejne dostupným, teda otvorenými údajmi a môže byť ukladaný, distribuovaný a používaný bez súhlasu používateľa.
Potvrdenie z legislatívy
Časť 1 článku 152.2. Občiansky zákonník Ruskej federácie.
Ak zákon výslovne neustanovuje inak, zhromažďovanie, uchovávanie, rozširovanie a používanie akýchkoľvek informácií o jeho súkromnom živote, najmä informácií o jeho pôvode, mieste pobytu alebo bydliska, osobnom a rodinnom živote, nie je povolené bez súhlasu občana. .
Zhromažďovanie, uchovávanie, rozširovanie a používanie informácií o súkromnom živote občana v štátnom, verejnom alebo inom verejnom záujme, ako aj v prípadoch, keď sa informácie o súkromnom živote občana predtým stali verejne dostupnými alebo ich sám zverejnil, nie je porušením pravidiel ustanovených prvým odsekom tohto paragrafu.občana alebo z jeho vôle.
Ďalšie potvrdenie
Ustanovenie 4 článku 7 federálneho zákona Ruskej federácie č. 149-FZ „O informáciách, informačných technológiách a ochrane informácií“.
Informácie zverejnené ich vlastníkmi na internete vo formáte, ktorý umožňuje automatizované spracovanie bez predchádzajúcich ľudských zmien za účelom opätovného použitia, sú verejne dostupné informácie zverejnené vo forme otvorených údajov.
#Záver
Administratíva Avito oprávnene tvrdí, že databáza na hackerských fórach pozostáva výlučne z verejných informácií, ktoré sú dostupné na ich webovej stránke a dajú sa zbierať parsovaním (automatické zhromažďovanie informácií pomocou špeciálnych programov), to znamená, že sa nehovorí o žiadnom úniku údajov. Či sa údaje používajú na právne účely, je ďalšia otázka, ktorú by ste Avitu rozhodne nemali klásť.
Ak nechcete, aby niekto zostavoval, hodnotil alebo používal váš spotrebiteľský profil, nechajte o sebe menej informácií vo verejných zdrojoch.
Nižšie je vtipný (ale nie presný) komentár z fóra.
#Pozrime sa na situáciu očami biznisu
Vezmime si to isté Avito ako príklad a pouvažujme nad otázkami:
- je stránka prevádzkovateľom osobných údajov,
- potrebuje získať súhlas na spracovanie údajov a prehlásiť sa Roskomnadzoru za zaradený do registra prevádzkovateľov,
- Zostane Avito naozaj nepotrestaný?
V situácii s únikom dát s tým Avito naozaj nemá nič spoločné. Môžete si predstaviť, že Avito je plot, na ktorý používateľ napísal „PREDAJ GARÁŽ“ a uviedol svoje meno, telefónne číslo alebo iné komunikačné údaje a potom sa začal rozhorčovať nad tým, prečo každý, kto prešiel okolo plota, tieto údaje vedel, skopíroval alebo použil. .
Potvrdenie z legislatívy
Článok 10 zákona č. 152-FZ.
Spoločnosť alebo jednotlivec prevádzkovateľom verejne dostupných osobných údajov sa stáva osoba, ktorá získala písomný súhlas klienta so spracovaním údajov, avšak legislatíva kladie minimálne požiadavky na ochranu verejne dostupných osobných údajov, resp.
Ďalšie potvrdenie
Ustanovenie 4, časť 2, článok 22 „O osobných údajoch“.
Prevádzkovateľ má právo spracúvať osobné údaje verejne sprístupnené subjektom osobných údajov bez toho, aby to oznámil oprávnenému orgánu na ochranu práv dotknutých osôb.
#Záver
Avito je prevádzkovateľom osobných údajov. Čo sa týka oznámenia Roskomnadzoru, v zákone sú výnimky, ktoré sa však nevzťahujú na Avito, keďže táto stránka zhromažďuje a spracúva nielen verejne dostupné údaje. Ak ale stránka funguje len s otvorenými údajmi, nebolo by potrebné upozorňovať a registrovať sa v Roskomnadzore. Avito je nevinný, a preto nebude trest.
Dáta môžu uniknúť alebo legálne získať nielen z obchodných platforiem, ale aj z akejkoľvek webovej stránky alebo od mobilných operátorov, zo sociálnych sietí, bánk, registrov, možno ich extrahovať zo sekvencie mobilných transakcií na bankovej karte alebo pomocou skrytých funkcií aplikácie pre smartfóny, existuje milión možností.
Mimochodom, každý vie, že Habr nie je fórum, ale je tu možnosť komentovania a účelom článku nie je prekvapiť, ale pochopiť problematiku.
otázka
V realite roku 2020 si treba dávať pozor na zverejňovanie osobných údajov na internete a správať sa ako vo vtipnom komentári vyššie, prípadne zaviesť novú legislatívu, alebo možno práve prišla nová éra a oplatí sa zmieriť so všeobecnou dostupnosťou otvorených dát?
Zdroj: hab.com