Комментарии 19
Короче как обычно...за чудовищный риск для человека чьи данные утекли раз и навсегда..копеечные штрафы или предупреждения....)))) вот и вся практика)
Факт, но. У меня лично есть маленькая надежда на практику, которая сейчас есть у банков. Недавно было дело, где человек взыскал 46 миллионов с банка после утечки. Основа это суммы - это то, что мошенники увели у него со счета в результате утечки. Но сверх суд дал ему 30к морального вреда и 15 миллионов штрафа по защите прав потребителей (в ТГ об этом был пост прямо сегодня). В сфере антифрода таких дел становится все больше. Но они во-первых, требуют колоссальных усилий от человека на работу в суде, во-вторых, в банке есть видимый ущерб - списание денег. Как перекинуть эту практику на простую компенсацию за утечку - вопрос, потому что пока максимальная выплата - 150к, что рекорд. А обычно это 1-5 тысяч рублей. Копейки, которые и расходов не покроют.
Главное, чтобы сейчас обязательное страхование выплат от утечек не ввели. А то такие предложения уже есть
Полбеды, что нормативка не защищает персданные. Гораздо хуже то, что она оказалась банальной поляной для пропитания толкователей и правоприменителей. И бонусом -- возможность в любой момент раздавить неподходящий бизнес.
бумажная безопасность не защищает, но выручает
"Без бумажки, ты- букашка, а с бумажкой- человек" ещё в 1932 году написал В.И. Лебедев- Кумач. Скоро будем праздновать 100-й юбилей.
Я спрашиваю во всех темах, где идет обсуждение персональных данных, и никто не может мне ответить: а что такое персональные данные, согласно действующему законодательству?
В ФЗ N 152 в ред. от 24.06.2025 сказано буквально следующее:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
И если брать во внимание это точное определение из закона, тогда появляется второй вопрос: что на практике считается персональными данными? Под практикой понимается та ситуация, в которой оказались все владельцы сайтов, включая некоммерческие, на которых есть форум:
Мальчик Вася открыл форум про аквариумных рыбок. Чтобы зарегистрироваться на форуме, пользователь должен придумать себе Никнейм, Пароль и указать свой Email (электронную почту). Без указания Email зарегистрироваться на форуме невозможно: на Email ведь высылается код подтверждения. Никаких ФИО и паспортных данных форум с аквариумными рыбками не собирает. Но Email ведь попадает под определение закона: эта информация относится к прямо или косвенно определенному или определяемому физическому лицу.
Так вот вопрос: является ли Email, без привязки к ФИО и паспортным данных - персональными данными?
От ответа на этот вопрос зависит очень многое: будет ли вообще существовать рунет в том виде, в котором он был до этого? Останутся ли частные и личные сайты в сети, или они исчезнут, и всех загонят на платформы, которые имеют финансовые и административные ресурсы чтобы обеспечивать процедуры по работе с персональными данными?
Тут проскакивало решение суда о том, что даже телефон не относится, не то что емайл. Отдельно взятый. Причина проста: не всегда существует взаимнооднозначная связка емайл - человек. Ну например sales@anysite.com - кто оттуда читает и пишет? Уважаемый Илья изволил отшутится на тему ПДн куки или нет, а в вашем кейсе это вопрос первостепенный, ибо никаких других ПДн вы не обрабатываете.
А вот с телефоном - это подход роскомнадзора, который считает, что телефон привязан к симке, а не к человеку. Подход странный.
Кстати про отшутиться не совсем понял - в статье прямо указано, что куки - ПДн уже точно. Как минимум, после этого дела уж точно - №А70-21190/2025. там прямо указано, что вся производная инфа и идентификаторы относятся к ПДн
Вы ведь тюменское дело имеете в виду, где за яндекс метрику на сайте авиаперевозчику предупреждение выкатили,я правильно понял? Ссылка не вставляется почему то ) Так там ответчик не оспаривал, он просил предупреждение вместо штрафа потому что все поправил, ему дали. Там дело вообще странное, по проверке транспортной прокуратуры. Я бы не рискнул на основании него говорить что это вот прям практика теперь)
Кроме того, повторю свой прошлый тезис - куки яндекса скорее ПДн чем нет, потому что яндекс может установить личность по ним. А вот куки форума аквариумных рыбок - не ПДн, но не исключено что доказывать это придется в суде.
Перевозчик то все правильно сделал, он по любому оператор ПДн, ему проще в уведомление пару строк дописать. А вот в примере выше лучше все же вести себя прилично, т.е. метрику не ставить, фио не просить, о чем в явном виде написать при регистрации. И уведомление не подавать. Что конечно снижает риск, но не исключает.
Вечный вопрос. Последнее, что сказал РКН в середине прошлого года: общие почтовые ящики - ПДн (info@company.ru), частные - ilyabashkirov@company.ru - ПДн). Ответ по практике такой: Дело №А40-201075/2025 ("Дело DLBI") - о том, являются данные или нет персональными или нет свидетельствует то, могут ли они использоваться для опознания личности. Если по ящику можно конкретно предположить, что это за человек - это ПДн. И я не только про имя.фамилия@почта, я и про ситуацию регистрации на сайте только по почте. Если почта имеет название hesoyam@mail.ru, но есть вход в систему по ней - то уже можно говорить, что она принадлежит конкретному лицу. Это ПДн
Но это мое мнение. Я так считаю, потому что такой подход более требователен к защите данных, а я это люблю
Если вы так считаете, то нарушителями закона о ПД автоматически становятся все владельцы бумажных записных книжек, которые записали публичный email своего знакомого, а потом поделились этим email с другим знакомым со словами: "Этот Вася занимается окнами, напиши ему о своей проблеме". И если владелец email узнает об этом, он может, опираясь на ФЗ, заявить об этом страшном нарушении в суд. И со 100% вероятностью выиграет дело. Ведь так?
Не так. Вы бы все же закон прочли как нибудь на досуге. Первую статью хотя бы:
"2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональны...."
Я то закон вдоль и поперек прочитал, и не один раз.
Когда владелец записной книжки передал email своему знакомому, данные вышли из статуса "для личных и семейных нужд", ведь данные переданы постороннему лицу, и это уже считается распространением. А сам факт передачи данных стал нарушением прав субъекта персональных данных.
Так что, владельцы записных книжек теперь, согласно ФЗ, не имеют права обмениваться емайлами и телефонами знакомых и специалистов? Им может прилететь от владельцев этих данных?
Если по ящику можно конкретно предположить, что это за человек - это ПДн.
Это как? Как "конкретно предполагать" что vasya.pupkin@mail.ru - это Вася Пупкин 1958 года рождения г. Барнаул, а не Вася Пупкин 1970 года рождения г. Москва? У нас что, есть федеральный закон, который запрещает тёсок и однофамильцев?
И я не только про имя.фамилия@почта, я и про ситуацию регистрации на сайте только по почте. Если почта имеет название hesoyam@mail.ru, но есть вход в систему по ней - то уже можно говорить, что она принадлежит конкретному лицу.
А может и не принадлежать, ящик может быть техническим, может использоваться группой лиц, может принадлежать компании и использоваться для ролей. О каком конкретном лице тут можно говорить?
Если по ящику можно конкретно предположить, что это за человек - это ПДн
То есть получается, что даже если у меня в адресе ящика имя-фамилия@почта.ру, то это не будет ПДн. Ведь таких имя-фамилия в России в общем случае больше одного, и понять, про какого именно персонажа речь, невозможно.
Мда, и это обсуждение закончилось ничем.
Нет специалистов, которые бы хоть как-то адекватно разбирались в действующем законодательстве. А вопрос то был простой. И никто в очередной раз не смог на него ответить.
В общем, вот мы и добрались до Cookies. Главный вопрос тут — а это персональные данные? Да. А споры об их правовой природе и глубине их анонимизации оставим моим коллегам.
Имхо, это ключевой вопрос, причем ответ на него простой: сами по себе куки не могут быть персональными данными, как и например номерок в гардеробе театра. Это очевидно! Но в купе с настоящими персональными данными (аналогия: мы сложили настоящие ПД в папочку и ей присвоили номер/куку), то это, очевидно, уже сбор персональных данных с помощью кук.
Вывод: нельзя использовать зарубежные облачные cookie-сервисы, в первую очередь Google Analytics и reCaptcha.
По той же логике и гугл-шрифты нельзя использовать (а они используются на подавляющем большинстве сайтов) и загрузку js-скриптов, картинок и пр. со сторонних зарубежных ресурсов нельзя использовать. Короче, под нарушение локализации по такой логике можно притянуть наверно 90% всех сайтов рунета.
Чтобы соответствовать требованиям законодательства, вам надо показывать тот самый надоедливый баннер о сборе кук. Это элемент 2 в 1: и форма предупреждения (информирования) о сборе данных, и форма акцепта.
А уже поздно пить боржоми, ведь еще до показа этого баннера-согласия вы уже использовали куку, что очевидно является нарушением, т.к. вы использовали куки еще до взятия согласия. Более того, саму обработку согласия/несогласия вы производите с помощью кук (или браузерного хранилища).
Так что без выяснения вопроса (в каждом случае) что является персональными данными, а что не является, подобные формальные умозаключения приводят к абсурду.
Если же к толкованиям подходить разумно, то абсурд можно исключить. Например:
При первом заходе на сайт (без регистрации на сайте), сами по себе куки не являются персональными данными (там лишь номер, который ваш сайт сгенерировал). Далее, при регистрации человек вводит свои настоящие персональные данные (ФИО, телефон, адрес и пр.) и соглашается с политикой обработки ПД, включая согласие с использованием кук для обработки его ПД. С этого момента куки уже привязаны к настоящим ПД и их уже логично считать персональными данными, а точнее - средством обработки персональных данных.
При таком толковании абсурд пропадает. Но придется признать, что куки (как и прочие данные) могут быть, а могут и не быть персональными данными.
Мне очень понравился ваш комментарий, спасибо! С озвученным соглашусь, но оставлю 2 ремарки:
Первая по поводу GA и каптчи. В ваших словах резон есть, но он перекрывается одним нюансом - необходимостью импортозаместить технологию. Причем, конкретную. Мои мысли о ГА идут напрямую из требований РКН, который также прямо говорил о недопустимости использования этой технологии. При этом эти требования очень конкретные. Тот же самый ГТМ уже не попадает под ограничения и может использоваться свободно. Причина такого конкретного толкования в том, что задача вполне конкретная - перевести рынок с одной технологии на другую
Вторая про сбор кука для дальнейшего сбора кука. Тут вопрос отнесения кука к ПДн не так важен, поскольку есть разные основания для сбора ПД. Опять же вернусь к своей идее, высказанной выше по комментам. Я в вопросе ПДн достаточно идеалистичен и склонен толковать ПД расширительно как все цифровые следы живого юзера. Поэтому в мое представлении приватности куки=пд. А потом уже идут вопросы легализации их сбора. Вот как раз в этот момент и можно задаваться техническим вопросом того, какие это куки и на каком основании их можно собирать.
А так поддержу, что строго-технические куки не всегда ПДн. Но тот же ГА используют не только и не столько для них. Поэтому и такой вывод в статье
и склонен толковать ПД расширительно как все цифровые следы живого юзера
Важный критерий - "идентифицируемого" юзера. Тот факт, что вы (именно вы) присвоили... даже не юзеру, а его браузеру, номер не означает, что вы его идентифицировали или получили возможность его идентифицировать.
Давайте проведем эксперимент.
Посмотрите в окно, или выйдите на улицу, и начинайте всем проходящим мимо вас людям присваивать номера. Человек в красной куртке - №1, человек в черном пальто - №2 и т.д.
Вопросы:
1) Вы занимаетесь сбором персональных данных?
2) Такое присваивание случайным прохожим номеров позволяет идентифицировать их личность?
Персональные данные: что было в 2025 и что делать в 2026