Mein kampf с Ростелекомом
Начало все прекрасным осенним утром. Октябрь. За окном еще золотые краски осени не сменились грязно-серыми цветами приходящей зимы. Настроение было приподнятое и ничего не предвещало беды.
За завтраком я включаю ноутбук и смотрю новости. Привет распространённому клише о папах с газетами за столом. Хорошо, что завтракаю я один.
Экран компьютера приветливо засветился, а через мгновение сообщил о закончившихся деньгах на счёту телекоммуникационной компании к которой я подключен. Ростелеком. Его все так ругают, но я до того дня, видел только положительные стороны этой компании.
Вернётся к тому утру. Хорошо, что мобильные телефоны сейчас обладают независимым интернетом. Мне не составило труда произвести оплату. Подождал. Деньги на мой счёт в Ростелекоме так и не поступили. Подождал ещё. Прошёл час. На счёте все также красовалось отрицательное число. Мне не сложно, подумал, и закинул оплату еще раз, с другой карты. Ведь всякое бывает. И из разных банков платёж поступать может по-разному.
Деньги пришли. Все. И первый платёж и второй. Но пока я ковырялся а личном кабинете Ростелекома, дошел до раздела выставленных счетов. И здесь меня ждал интересный и прият неприятный сюрприз. Ежемесячно за купленное в рассрочку оборудование мне начисляли платеж 600 рублей вместо 300. Иногда платеж был 900 рублей. Но чаще всего в два раза выше, чем я должен был заплатить.
Так октябрьское утро перестало быть томным.
Я составил заявку на перерасчет. В течении пары недель были звонки от операторов компании. Выяснение точно ли я получал одну единицу оборудования, а не три, как указано у них. В итоге в конце месяца Ростелеком признал ошибку и зачислил на счёт излишне оплаченные 8400 руб. (дальше внимательно следите за руками). Ежемесячный платёж у меня составлял 1669 рублей (с учётом оборудования, за которое последний платёж, 300 рублей, должен был быть в октябре 2020). В октябре я внёс два платежа по 2000 рублей (т.к. выставлен счёт был на 1969 рублей, помним про лишние 300). Итого на моём счёте в октябре красовалась красивая цифра: 12400, с копейками.
Казалось бы, живи и радуйся. Я посчитал, и да. С моим тарифом (1363 руб/мес) я могу не платить за интернет 9 месяцев. Ура!
Но ноябрь внёс свои коррективы. И у меня со счёта снимается 2738 рублей. Притом сумма в личном кабинете неожиданным образом меняется и на моём счёте остаётся 6400. Магия! Скажите вы. Нет - Ростелеком, сказочная страна. Сказочнее её только Почта России.
Я забил тревогу и составил заявление на вывод денег со счёта, это было 7 ноября. Мне предрекли месяц ожидания. Я начал ждать. И звонил в Ростелеком чаще, чем некогда звонил своей покойной матушке.
В 20-х числах декабря я составил заявление а прокуратуру и предварительно отсканировав, отправил в Ростелеком.
Деньги мне пришли на следующий день. 6400 рублей.
А за декабрь начислили опять 2736 рублей, и с 5 января до сих пор не могут разобраться почему (помним про срок рассмотрения заявок 10 дней).
Но ничего, mein kampf продолжается. Готовлю заявления в прокуратуру и Роскомнадзор, можно еще до кучи в ФАС написать. Мне кажется это дело принципа. Заставить компанию исправлять свои косяки.
Спасибо, что дочитали. Извините за сумбур и ошибки.
Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора
Если предприниматель собирает информацию о клиентах или посетителях своего сайта, он становится оператором персональных данных. К ним относится практически любая информация: телефоны, ссылки на соцсети, адреса. Чтобы правильно обрабатывать данные, нужно выполнять требования Федерального закона № 152-ФЗ. В противном случае бизнес получит солидный штраф от Роскомнадзора.
В журнале Делобанка разобрались, какие данные считаются персональными и как правильно их собирать, чтобы не получить проблем для бизнеса.
Какие данные считаются персональными
Персональные данные — это любая информация, которая прямо или косвенно относится к человеку. Закон не конкретизирует перечень, но обычно суды и Роскомнадзор причисляют к ним:
• фамилию, имя и отчество человека;
• дату рождения, паспортные данные;
• адрес проживания или регистрации;
• данные о местоположении и перемещениях;
• номера телефонов, адреса электронной почты;
• фотографии, видеозаписи с участием человека;
• IP-адреса устройств, ссылки на учетные записи.
Персональными данными считаются и куки. Это небольшие текстовые файлы, которые хранятся в браузере и содержат информацию о посещённых сайтах: время и дату просмотра, тип устройства, просмотренные товары и страницы. Куки помогают сайтам запоминать пользователей, чтобы не авторизоваться каждый раз. Такие данные относятся к персональным как по отдельности, так и в составе куки-файла.
Как понять, что я оператор персональных данных
Вот простой пример. Алина продаёт мыло ручной работы. Она запустила одностраничный сайт и разместила фото всех товаров. Чтобы клиентам было удобнее, на сайте есть форма для обратного звонка. Покупатели оставляют номер телефона, Алина перезванивает, уточняет заказ и договаривается о доставке. В этом случае Алина — оператор персональных данных, хоть и запрашивает только телефон.
Максим недавно открыл барбершоп. До сентября 2020 года он просто давал рекламу и привлекал новых клиентов. Персональные данные Максим не обрабатывал. Когда появилась постоянная аудитория, барбершоп ввёл программу лояльности — скидочные карты. Чтобы их оформить, клиенты оставляют фамилию, имя и номер телефона. Так Максим стал оператором персональных данных.
Операторы персональных данных — это любые компании и ИП, которые собирают информацию о пользователе. Фактически это любой предприниматель, который размещает в интернете формы для:
• регистрации на сайте;
• авторизации через соцсети;
• ответного звонка или сообщения;
• заказа товара или услуги;
• подписки на рассылку;
• обратной связи.
Не имеет значения, как пользователь передает персональную информацию: по почте, на сайте, через соцсеть или в личном разговоре с менеджером. Каждый из случаев — это сбор персональных данных.
Не считаются операторами только:
• Физические лица, которые собирают данные для личных или семейных нужд. Например, если человек записал номер телефона друга или спросил имейлы коллег, чтобы разослать приглашения на юбилей.
• Компании, которые обязаны хранить архивные документы по закону «Об архивном деле». Это государственные организации, которые занимаются делами Архивного фонда РФ.
• Компании, которые обрабатывают данные, отнесенные к гостайне указом Президента. Это органы власти и государственные организации.
Чтобы собирать и обрабатывать персональные данные, не обязательно работать в интернете. Если магазин оформляет дисконтную карту покупателю и спрашивает его номер телефона — это тоже сбор персональных данных.
Как правильно собирать и обрабатывать данные
Сбор, хранение и обработку персональных данных регламентирует Федеральный закон № 152-ФЗ от 27 июля 2006 года. Он предусматривает четыре правила, которые бизнес обязан соблюдать, если собирает информацию о пользователях и клиентах.
Перенесите сайт и базы персональных данных на российские серверы и хостинги
Закон разрешает собирать информацию о пользователях только на территории России. Это значит, что компании не могут пользоваться услугами зарубежных хостинг-провайдеров, если работают с персональными данными. Чтобы не нарушать требование закона, перенесите сайт на российских хостинг.
Некоторые международные хостинг-провайдеры имеют серверы в России. В таких случаях переносить сайт на новый хостинг не придётся: просто договоритесь, чтобы его разместили на российских серверах.
Будьте осторожны с конструкторами сайтов. Обычно они используют собственные зарубежные хостинги, даже если работают с полной поддержкой русского языка. В таких случаях лучше заранее уточнять, где находятся серверы. Если Роскомнадзор обнаружит, что сервер с вашим сайтом расположен за рубежом, сайт заблокируют, а вам могут выписать штраф (о размерах мы рассказали в последнем разделе).
Зарегистрируйтесь в качестве оператора персональных данных
Если вы планируете собирать персональные данные, заранее сообщите об этом Роскомнадзору — ещё на этапе разработки сайта или форм для подписок. Это всего лишь уведомительный порядок: собирать кучу документов и ехать в офис Роскомнадзора не придётся.
Чтобы уведомить Роскомнадзор, заполните небольшую анкету на его официальном сайте. Вот что нужно указать:
• реквизиты и контакты компании;
• цель сбора и обработки данных;
• перечень действий с данными клиентов;
• виды данных, которые планируете собирать;
• информацию о месте нахождения сайта и баз данных.
Когда заполните и отправите анкету через сайт, сохраните её на компьютер и распечатайте. Подпишите документ и направьте заказным письмом в управление Роскомнадзора по месту регистрации бизнеса. Это обязательное требование. Перечень управлений с названиями и адресами посмотрите на сайте ведомства.
После регистрации Роскомнадзор внесёт ваш бизнес в Реестр операторов персональных данных. Найдите в реестре компанию и разместите на своём сайте ссылку — это дополнительное подтверждение, что вы соблюдаете все требования закона.
Некоторые компании могут не уведомлять Роскомнадзор, если:
• собирают данные только о собственных сотрудниках;
• заключают с каждым пользователем согласие на обработку данных;
• запрашивают только фамилии, имена и отчества;
• обрабатывают данные только на бумаге.
Есть и другие, более редкие исключения из общего правила. На всякий случай посмотрите весь список в законе — вдруг ваш бизнес может не уведомлять Роскомнадзор.
Запросите согласие на сбор и обработку данных
Добавьте под каждую форму для сбора данных небольшое предупреждение. Например, сделайте поле для галочки и подпись: «Я согласен на обработку персональных данных». Или просто добавьте текст: «Отправляя форму, вы даёте согласие на обработку персональных данных».
Чтобы законно обрабатывать данные, сообщите пользователю, кто, как и с какой целью использует информацию. Для этого составьте согласие на обработку персональных данных. Вот что в нём нужно указать:
• реквизиты оператора персональных данных;
• ФИО сотрудника, ответственного за обработку данных;
• перечень действий с персональными данными;
• срок, в течение которого действует согласие;
• перечень данных и цели обработки.
Если вы составляете документ на бумажном носителе, добавьте ещё несколько пунктов:
• паспортные данные субъекта персональных данных;
• паспортные данные представителя субъекта (например, по доверенности);
• подпись субъекта (и его представителя).
Чтобы пользователи ознакомились с документом, добавьте ссылку к форме регистрации или подписки. Конечно, согласие почти никто не прочитает. Зато вы обезопасите себя от лишних проверок.
Составьте и разместите на сайте политику обработки данных
Политика обработки персональных данных — ещё один документ, который проверяет Роскомнадзор. Он содержит общие правила сбора, обработки и хранения информации о пользователях. Фактически документ более подробно раскрывает согласие. Строгих требований для политики нет, но вы можете использовать рекомендации Роскомнадзора.
Размещать политику обработки данных под каждой формой не нужно. Добавьте ссылку на документ в любое место сайта. Например, в перечень локальных документов или нижнюю часть главной страницы. Если интересно, почитайте политику конфиденциальности Делобанка — можете даже взять в качестве примера.
Некоторые компании совмещают согласие и политику обработки данных. Роскомнадзор за это не штрафует, но лучше документы разделить — кто знает, к чему захочет придраться инспектор.
Что будет, если нарушить требования 152-ФЗ
Роскомнадзор проводит дистанционные и выездные проверки. Если инспекторы заметят, что вы обрабатываете персональные данные без согласия пользователей, бизнес получит внушительный штраф — до 75 тыс. рублей, а его руководитель — до 20 тыс. рублей.
Наказания за неправильную работу с персональными данными постоянно ужесточаются.
Раньше бизнесу грозил один штраф — до 10 тыс. рублей, но с 2017 года их стало больше. Например, за работу без политики обработки данных компании получают штраф до 30 тыс. рублей, ИП — до 10 тыс. рублей. Кроме того, Роскомнадзор накладывает денежные санкции и за другие нарушения:
• не предоставили пользователю информацию об обработке его данных — до 40 тыс. рублей для компаний или 15 тыс. для ИП;
• проигнорировали запрос пользователя на удаление его персональных данных — до 45 тыс. рублей для компаний или 20 тыс. для ИП.
В 2019 году появился новый штраф — за сбор данных через сайты с иностранными хостинг-провайдерами. Его размер — от 1 до 6 млн рублей для компаний и от 30 до 60 тыс. рублей для ИП. Руководителей тоже штрафуют на солидные суммы — от 100 до 200 тыс. рублей.
Коротко
1. Персональные данные — любая информация о пользователе или клиенте, которую получает предприниматель. Если компания или ИП собирают номера телефонов, email или ФИО, они считаются операторами персональных данных.
2. Чтобы правильно обрабатывать данные, предприниматель должен соблюдать требования Федерального закона № 152-ФЗ. В частности, он размещает сайт на российском хостинге, составляет согласие и политику обработки данных, а также уведомляет Роскомнадзор о работе в качестве оператора.
3. Если компания неправильно собирает и обрабатывает персональные данные, Роскомнадзор выписывает штрафы. Например, за работу без политики обработки — до 30 тыс. рублей, за сбор без согласия — до 75 тыс., за работу на иностранном хостинге — до 6 млн.
Антон Техтелев
Переобулись
Сейчас в каждом выпуске новостей с гордостью рассказывают на каком взлёте находится Тelegram, но ведь менее полугода назад в тех же новостях рассказывали об успехах Роскомнадзора по блокировке того же Тelegram.
Роскомнадзор в Саратове счёл нецензурной бранью название мексиканского города
Саратовское управление Роскомнадзора потребовало от местного информационного агентства «Свободные новости» удалить с сайта комментарий пользователя, который, по оценкам экспертов, содержал нецензурную брань. Речь шла о сообщении, где указывалось название мексиканского города Охуэлос-де-Халиско (Ojuelos de Jalisco), сообщают «Свободные новости».
Названия различных городов, пояснили журналисты, пользователи портала перечисляли в комментариях на сайте в рамках новогодней викторины «Города», которая началась 31 декабря. Пользователь под ником «Мексиканец Педро» писал названия мексиканских городов, например, Мехико и Акапулько. Указанное же им название Охуэлос саратовский Роскомнадзор счёл недопустимым и потребовал удалить его с сайта.
Украли паспортные данные, пожаловалась в Роскомнадзор. Как это бывает
Мне регулярно звонят спамеры. Я каждый раз обещаю пожаловаться в Роскомнадзор, если они не забудут мой номер. Всегда срабатывает, забывают. Но полгода назад я всё-таки обратилась в это ведомство. Рассказываю о своем опыте.
Все началось с судебного иска. Я пошла на почту, чтобы проверить, нет ли для меня писем и неожиданно мне вручают большой конверт. Отправитель неизвестен, но письмо адресовано мне: на конверте мое имя и адрес. Тут же в отделении я вскрываю конверт и вижу исковое заявление. Неизвестная фирма подаёт в суд на меня и на моего работодателя за какой-то там убыток, требует адских миллионов. Повторюсь, я о существовании этой фирмы даже не слышала и уж тем более никаких убытков конторе не причиняла.
Уже дома внимательно перечитав исковое, я поняла, что скорее всего меня включили в число соответчиков по ошибке. Бывает такое. Правомерны ли претензии в целом сказать не могу, это уж пусть моя контора и контора-истец сами разбираются.
Меня зацепило другое. Совершенно неизвестная контора типа "Рога и копыта" знала обо мне все: мои паспортные данные, адрес проживания, телефон. Откуда? Первым делом, конечно, я спросила у коллег. У нас вообще на работе не принято давать даже мобильные телефоны сотрудников, а уж тем более паспортные данные. В секретариате сказали, что ничего не было, никаких подозрительных звонков, посетителей, запросов. Конечно, мне хотелось позвонить в саму эту фирму и спросить, какого, собственно, хобота. Но я не стала звонить, всё-таки наши фирмы судятся, мало ли...
И в общем я написала в Роскомнадзор. На сайте ведомства есть простая форма для обращений граждан. Заполняете и готово! Вначале я просто написала, что фирма "Рога и копыта" использовала мои паспортные данные, я согласия не давала, проведите, плиз, проверку. Через месяц мне пришел ответ, что они не могут рассмотреть мое обращение, так как нет моих паспортных данных и не указаны обстоятельства дела.
Я тогда все расписала, отправила. Спустя ещё месяц мне пришел промежуточный ответ от Роскомнадзора, что они занимаются моим делом, вышли с проверкой, а ещё спустя месяц подробности. В общем, Роскомнадзор обратился в эту фирму, там заявили, что мои данные купили в каком-то ИП, чтобы подать в суд, без паспортных данных иск на физлицо не подать. Роскомнадзор сделал фирме-истцу ата-та и велел больше так не делать, мои данные уничтожить.
Спустя месяц пришел ещё один ответ, что Роскомнадзор вышел на ИП с вопросом, откуда у них мои паспортные данные и вообще с фига ли они их продают. Владелец ИП залёг на дно, не отвечал на письма Роскомнадзора и в ведомстве в итоге направили ему страшную бумажку и велели уничтожить мои паспортные данные.
На днях пришел ответ из полиции, куда обратился Роскомнадзор, в ответе говорилось, что владелец ИП скончался при загадочных обстоятельствах и ничего по моему делу пояснить не может.
Конечно, я понимаю, что ИП по продаже паспортных данных скорее всего было изначально оформлено на умирающего под мостом маргинала. И от одной проверки Роскомнадзора и полиции ничего не изменится, но я уверена, что фирма-истец, которая по тупости купила мои паспортные данные, прокляла тот день, когда совершила эту сделку. Они хотели соблюсти процедуру, а их задолбали с проверкой.
С моей стороны была одна ошибка, что я изначально написала неподробную жалобу. В остальном все просто: заявление в свободной форме, ответы приходят на электронную почту, никакой бюрократии. В общем, если какая-нибудь казлина ещё сопрет мои паспортные данные, я знаю, куда обращаться. Система работает. Ах да, из соответчиков меня исключили, в фирме-истце при упоминании моего имени у юристов начинают дёргаться глаза.