30.10.2012

После показательного события, случившегося с моими персональными данными, я решил все же собрать в кучу всю имеющуюся у меня информацию по данной тематике и оформить это в виде отдельного поста с небольшими выводами.

Впервые я столкнулся с этой темой, когда моё непосредственное руководство в СПбГЭТУ «ЛЭТИ» завернуло какую-то идею (что-то вроде регистрации на сайте), связанную с абитуриентами заявив, что она напрямую нарушает закон о персональных данных, а это чревато нехорошими вещами для университета.

Я не поленился и ещё тогда отыскал источник беспокойств моего руководства, им оказался Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных». Всем кто связан с разработкой и обслуживанием сайтов рекомендую так же ознакомиться с данным законом. Для ленивых экономящих свое время постараюсь изложить суть в 3-х пунктах:

  • Персональные данные – совокупность данных однозначно идентифицирующая человека.
  • Вы обязаны уведомить человека для чего запрашиваются персональные данные, каким образом они будут обрабатывать. Обязательно получить согласие на это, а так же не забудьте обеспечить их конфиденциальность.
  • Если необходимо (просто так нельзя) хранить данные, должа быть возможность редактировать их и удалять.

После прочтения закона невольно задумываешься о количестве полей в формах, да и вообще о необходимости самих форм на сайте. Такие мысли, наверное, могут привести к гениальным решениям в области UX дизайна, но скорей мы просто перестанем получать необходимые нам данные от пользователя. Поэтому обопремся на практический опыт других.

На практике из доступных мне источников

Первое, что приходит мне в голову на данную тему это косяк МегаФон-а, когда данные людей отправляющих SMS с сайта компании проиндексировал Яндекс. Шумихи было много, МегаФон пытался переложить вину на Яндекс, но судя по тому что я нашел в прессе виновным все же признали МегаФон, который расплатился с пострадавшими бесплатными SMS-ками.

Далее Интернет накрыла волна, все искали что еще проиндексировали поисковики. Из всего потока лично мне почему-то запомнились бедняги, которые воспользовались магазином для взрослых. О наложении штрафов на этот магазин не помню что бы говорили, найти в поисковике упоминания об этом тоже не получилось.

Теперь приведу абзац текста, который уберегает Сбербанк от нарушения Закона «О персональных данных» при приеме письменных заявлений от клиентов (для электронных форм тоже подойдет):

Подписывая данное Обращение, я даю своё согласие Сбербанку России ОАО на обработку, в том числе автоматическую, своих персональных данных в соответствии с Федеральным законом от 27.07.206 № 152-ФЗ «О персональных данных», Указанные мной персональные данные предоставляются в целях рассмотрения настоящего Обращения и исполнения договорных обязательств, а так же разработки банком новых продуктов и услуг и информирования меня об этих продуктах и услугах. Банк может проверить достоверность предоставляемых мною персональных данных, в том числе с использованием других операторов, а так же использовать информацию о неисполнении и/или ненадлежащем исполнении договорных обязательств при рассмотрении вопросов о предоставлении других услуг и заключения новых договоров. Согласие предоставляется с момента подписания настоящего Обращения действительного в течении пяти лет. По истечению указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.

Абзац текста из бланка Обращения физического лица в Сбербанк

И в завершении упомяну, что мои личные данные (ФИО, мобильный телефон, адрес электронной почты и почтовый адрес) легко могли бы быть найдены через Google, если бы их случайно не нашел owlman и не сообщил мне об этом. Как оказалось слегка накосячили организаторы конкурса Russian Design Cup, которые забыли указать правильные настройки приватности в сервисе Google fusion tables, в котором они хранили данные для отправки футболок участникам конкурса. После моего письма в службу технической поддержки конкурса, косяк моментально исправили.

Выводы и умозаключение

Единственные выводы, которые могу сделать на основании того, что попытался описать выше – большую часть не интересует соблюдение Закона «О персональных данных» и связанных с ним формальностей (исключения встречаются), до тех пор, пока Закон не будет нарушен в явном виде. Поэтому решено держать в голове, что такая «страшилка» существует, но на моих проектах или сайтах она никак сказаться не должна. Пользовательские данные я как оберегал так и буду оберегать!