[Из песочницы] Проблемы доступа к персональным данным от лица всех участников процесса

habr.png

Приветствую дорогие хабровчане.

Лирическое отступление

Как пользователь одного из «высокоразвитых» ресурсов рунета, я обнаружил довольно распространённую картину в админке своего профиля: от моего имени рассылался спам.
Для меня это стало некоторым сигналом, так как за то время (активный пользователь интернет ресурсов с 1999-го) пока я использовал способы доступа к своим ресурсам в виде логина и пароля, у меня не было ни одного (по крайней мере зарегистрированного) случая взлома или утечки таких данных. На каждый ресурс я использую уникальный пароль, конечно, как у многих опытных пользователей этот пароль имеет общий корень, но всё же он не является примитивным.


История о том как простой пользователь начал принимать меры


Лирическое отступление

По поводу кражи паролей с устройств существуют тысячи статей и столько же способов, но учитывая что пароль является уникальным, для меня это не стало сигналом к смене остальных, только создало тревогу и желание узнать, каким образом я утратил конфиденциальность пароля.


Первым делом я решил что одно из моих устройств может быть зомбировано. Так как я почти не использую VPN, а тем более в случае с этим ресурсом, то для проверки я решил сравнить логи доступа со своими данными. После непродолжительного поиска я выявил, что ресурс не обладает программной функцией для доступа пользователя к такой информации. Соответственно я написал в поддержку о просьбе предоставить мне эту информацию:

Приветствую, я обнаружил что с моей учётной записи рассылаются спам-сообщения. Нужно узнать с какого девайса это происходило, чтобы попытаться определить как злоумышленники получили пароль от моего аккаунта. Можно получить информацию о фактах доступа к моему профилю?

На что получил ответ:

Агент поддержки:
Здравствуйте, Пользователь.

Мы заметили признаки взлома в вашем профиле. Инструменты, с помощью которого был осуществлен взлом, нам неизвестны.

Как мы видим, вы уже изменили пароль от своего Личного кабинета, при этом рекомендуем изменить пароль и от электронной почты.

После входа в профиль проверьте, правильно ли указаны ваши имя, номер телефона и город в разделе Настройки (https://www.сервис.ru/profile/settings).

Как защитить профиль от взлома, можно прочитать здесь: (https://support.сервис.ru/articles/…)
Хорошего настроения и успешных сделок на Сервисе.

Как вы видите, на мой вопрос конкретного ответа не последовало, а последователи дружеские рекомендации. Что же, пришлось написать повторно:

Спасибо за ответ, а ай-пи адреса или какие-то логи возможно увидеть? Мне интересно, может это быть зомбирование одного из моих устройств?

И тут я получаю традиционный отказ:

Агент поддержки
Пользователь, мы не раскрываем детали, чтобы эту информацию нельзя было использовать во вред сервису и пользователям.
Надеемся на ваше понимание.

О том, как наше государство определяет термин персональные данные вы можете почитать в Федеральном законе, либо в этих постах: Что дает обычному человеку Федеральный Закон №152 О персональных данных?
Например, пост Как рядовой пользователь воевал за соблюдение закона «О персональных данных» содержит обычную просьбу об удалении персональных данных, которую нерадивые владельцы выполнили с трудом, после томительного прочтения закона «О персональных данных». Но как быть с потерями времени на решения этих вопросов, если «упрямый» оператор отказывается предоставлять данные субъекту? Безусловно, точно так же от моего лица мог сделать запрос и злоумышленник, поэтому ожидать мгновенной отдачи от оператора не стоит. В этом смысле такие поступки со стороны операторов являются более надёжным способом сохранить данные пользователя, тем более если аккаунт был взломан.
Настойчиво и вероятно довольно назойливо я пытаюсь надавить на сотрудника компании и выдаю следующее:

Во многих добропорядочных сервисах передача такой информации допустима и бывает находится в открытом для пользователя доступе.

К тому же, я спрашиваю информацию о злоумышленнике, так кто же получается использует эту информацию во вред?

Вы утаиваете информацию, которую от вас запрашивает пользователь, его персональную, потому что это «мой» аккаунт на вашем сервисе. В данном контексте я не являюсь третьим лицом и имею полное право потребовать от вас эту информацию на основании ваших же правил. Точно так же как вы требуете данные от своих пользователей.

Спасибо, надеюсь на понимание.

Конечно же, никто мне её «тут же» не предоставил и сотрудник даёт отработанный ответ:

Агент поддержки
Здравствуйте, Пользователь.

Данная информация является закрытой. Мы можем предоставить ее только по официальному запросу уполномоченных государственных органов.

Как Сервис обрабатывает и защищает данные пользователей, можно узнать из раздела №4 условий использования Сервис и политики в области обработки и безопасности данных пользователей Сервиса: (https://support.сервис.ru/articles/…) и (https://www.сервис.ru/safety/personal/company).

Также мы выполняем требования федерального закона «О персональных данных» от 27 июля 2006 года. Вы можете обратиться за подробным разъяснением закона к специалистам в сфере права. Служба поддержки Сервиса не консультирует по юридическим вопросам.

Желаем вам теплой осени!

Ну всё, тут я уже сижу в тёплых штанах, на тёплом стуле.

Что же, история продолжается:

Приветствую, Агент поддержки.

Данная информация является закрытой для меня, только если я так решу или мне ограничат доступ в соответствии с законом.

Ознакомьтесь самостоятельно с правами субъекта персональных данных.

Федеральный закон от 27.07.2006 №152 ФЗ Статья 14. Право субъекта персональных данных на доступ к его персональным данным.
— Я вправе запросить любую информацию связанную с моими персональными данными.
— Вы нарушаете мои права пользователя.
— Вы собираете техническую информацию о моих устройствах, анализируете её и зарабатываете на этом.

Я в свою очередь пользуюсь вашим сервисом, считайте работаю для вас. Пользы для меня за годы эксплуатации вы принесли настолько мало, насколько это возможно в таких сервисах.
Если вы предоставите мне информацию в неудобном для меня виде или не систематизированном, я запрошу полную выгрузку информации для анализа.

Если вы планируете мне отказать повторно, предоставляйте доказательства.
Если вы не занимаетесь юридическими вопросами, направляйте к тем, кто занимается.
Спасибо за тёплую осень.

Тут в дело вступает персональный ассистент «разбушевавшегося» пользователя:

Агент поддержки

Добрый день.

Меня зовут Даниил, я специалист по работе с претензиями.

По вашей ситуации проверяю информацию дополнительно. По результату проверки обязательно вернусь к вам с ответом.

Спустя несколько часов он выдаёт следующее:

Агент поддержки
Здравствуйте.

Спасибо за ожидание: на ознакомление с ситуацией потребовалось время.

Безопасность ваших учетных данных имеет для нас высокий приоритет — все коммуникации с Сервисом проходят по защищенным каналам связи.

При этом нам необходима и помощь пользователей — мы всегда советуем:

1) не сообщать никому свой пароль (даже нам);
2) надежный пароль включает в себя буквы, цифры, длина его составляет не менее 8 символов — так его будет сложно угадать посторонним, рекомендую менять пароль каждые 2–3 месяца.
3) регулярно проверять все устройства, с которых заходите в Интернет, на вирусы;
4) не переходить по подозрительным ссылкам. Если вы все-таки зашли на сайт, где требуют ввести ваши логин и пароль, сразу закрывайте вкладку.

За защитой своих прав вы можете обратиться в контролирующие органы, со своей стороны мы готовы оказать содействие в решении этого вопроса. Вместе с тем для предоставления подобных сведений нам требуются правовые основания. Это может быть запрос от сотрудников правоохранительных / судебных органов, либо от вашего адвоката.

У нас есть процедура, когда по официальному запросу (его могут отправить не только сотрудники правоохранительных / судебных органов, но и ваш адвокат) мы сообщаем ту или иную информацию.

Для получения таких сведений им необходимо направить в наш адрес официальный запрос на бланке организации с печатью и подписью уполномоченного лица, а также контактными данными исполнителя, по которым можно будет связаться в случае возникновения дополнительных вопросов, и номером факса организации (отправка ответа на запрос по электронной почте не предусмотрена). Если это будет письмо от вашего представителя, то ему следует дополнительно предоставить скан-копию адвокатского удостоверения.

Сканированную копию запроса нужно обязательно отправить на электронную почту compliance@сервис.ru, оригинал запроса — почтой России в юридический отдел ООО «Сервис» на имя Руководителя отдела по работе с запросами Руководитель С.З. по адресу: 123456, г. Москва, ул. Улица, д. 1

Верю, что в дальнейшем вы не столкнетесь с подобными ситуациями. Если вам понадобится помощь с Сервисом, пишите, мы всегда открыты к диалогу.

И тут я пошёл открывать законы и тратить своё время, и «портить себе глаза»:

Спасибо за подробный ответ.

Я понимаю вашу заинтересованность в защите клиентов, а так же вижу нежелание распространять закрытую для обычных пользователей информацию. Могу предположить, что вы не заинтересованы в этом, вместо того чтобы защищать мои права, вы их узурпируете. Каков может быть риск, обычный это пользователь или известный блогер, будет ли он рассматривать информацию в поисках нарушения своих прав, или просто отстаивает свой интерес?

Скажу вам причину, почему я так заинтересован в решении этого вопроса. У меня за всю историю использования паролей (просто поверьте, что я внимательно отношусь к безопасности) ещё не было ни одного взлома или утечки пароля (по крайней мере зафиксированного). В вашей системе отсутствует оповещение о входе с нового устройства, для клиента не ведётся открытый лог, как это делается в некоторых системах. Поэтому мне важно узнать информацию об этом инциденте, желательно чтобы она была полная и без изменений (Часть 5 ст. 13.11 КоАП РФ).

Для защиты моих прав законом не требуется обращаться в контролирующие органы. Если вам требуются правовые основания, то вот они:

Федеральный закон от 27.07.2006 №152 ФЗ Статья 14. Право субъекта персональных данных на доступ к его персональным данным.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, а также принимать предусмотренные законом меры по защите своих прав.

Сведения предоставляются субъекту персональных данных оператором при обращении. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных: Паспорт Выдан ТП№ отдела УФМС России по и области в районе; сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором: номер пользователя такой то, далее, как видите, я пользуюсь вашим сайтом, а согласно вашим правилам, это означает моё согласие с пользовательским соглашением. После заключения дополнительных соглашений я прикреплю электронную цифровую подпись, потому что этого достаточно для того, чтобы отправить вам запрос в цифровом виде.

Мои права защищает закон. Если вы нарушаете закон, значит должны нести ответственность за нарушение закона о персональных данных. Мне не обязательно прибегать к помощи адвоката, потому что меня совершенно не интересует ваша процедура. Бюрократию оставьте при себе.
Вам лучше выполнить мою просьбу, так как вам уже фактически приписана Статья 5.39 КоАП РФ.
Имейте ввиду, что вам следует аккуратно относится к нашей переписке. Время идёт, если подождать три недели и реакции не будет, вы попадёте под невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных Часть 4 ст. 13.11 КоАП РФ.

Надеюсь на вашу веру, что мне не придётся в этот раз столкнутся с подобной ситуацией.
Жду вашего решения. Спасибо.

p.s сочувствую вам как сотруднику компании, если вы пойдёте у меня на поводу это не пойдёт на пользу вашей карьере, но чем дальше мы заходим, тем выше ставки. От этого только интереснее, правда?

В данный момент я уверенно иду по пути, который описывал трудолюбивый товарищ в этой статье: Механизм реализации своих законных прав владельцами персональных данных
Война пользователей и операторов за обладание персональными данными идёт уже много лет.
Согласно паспорту правительственной программы «Цифровая экономика» (подробности в этой статье), на стороне российских пользователей скоро будет установлена тяжёлая артиллерия в виде простого и эффективного способа доступа к персональным данным без лишней бюрократии.

В наше время стал актуален вопрос о «защите больших данных», который больше похож на национализацию сильнейшего ресурса. В ходе рассмотрения изменения в закон «Об информации, информационных технологиях и о защите информации». Более подробно можно почитать в этой публикации.

Все участники процесса


Со стороны пользователя всё выглядит именно так, почти никто не знает своих прав и как их защищать. Но лично мне интересно посмотреть на это глазами других участников.

Что делает оператор, на какие средства он готов идти, будет ли он применять меры к назойливому пользователю и как часто он сталкивается с такими запросами? Какие программы защиты от подобных запросов существуют у крупных компаний и на сколько вероятно, что мой случай течёт по отработанной схеме, где меня будут «топить» в бюрократии? На сколько ценна та информация, которую запрашивает пользователь в данном случае и может ли содержаться в ней информация, которую возможно использовать против оператора? И возможно ли использовать?

Если писать жалобу Роскомнадзору, как он заинтересован в выполнении таких жалоб, на сколько они ценные для него? Есть ли разница между малоизвестным и крупным ресурсом?

Интересно мнение экспертов в этой области. Извините, если вопросы окажутся частыми (дайте ссылок на рассмотрение). Спасибо что обратили внимание.

© Habrahabr.ru