Я уже писал о своем опыте борьбы с нарушителями законодательства о персональных данных – здесь и здесь . А тут как раз Роскомнадзор (далее цитирую) «решил узнать, что думают интернет-пользователи о сборе их персональных данных . В ведомстве пояснили, что разрабатывают новую информационно-просветительскую стратегию, чтобы пользователям было проще принимать осознанные решения по распространению своих персональных данных в Сети».
Инициатива хорошая. Решил поддержать. Рассказываю, что об этом думаю.
Обратился ко мне знакомый с просьбой помочь написать жалобу на владельцев сайта, которые как-то странно смотрят на наши персональные данные. Не по закону. А в школе его сына настойчиво предлагают на этом самом сайте зарегистрироваться. Поскольку ребенок несовершеннолетний, сделать это за него должен законный представитель – один из родителей.
Сайт красивый . И создан для хорошего дела – пропаганды физкультуры и спорта. Тем обиднее.
При регистрации и оформлении согласия выясняется, что знать сайт о физкультурнике и его родителях хочет гораздо больше, чем это нужно для сдачи нормативов ГТО (паспортные данные, СНИЛС, ИНН, адрес регистрации и фактического проживания «и иную другую информацию» - так в согласии), передавать эти данные неопределенному кругу лиц, хранить бессрочно, да еще и рекламу своих контрагентов присылать. И вообще непонятно, кому согласие на обработку дается.
Сказано – сделано. Вот что в итоге получилось.
Владельцы данного сайта грубо нарушают требования Федерального закона «О персональных данных» в части организации обработки персональных данных детей и их родителей как законных представителей.
Так, сайт осуществляет сбор персональных данных с использованием информационно-телекоммуникационной сети Интернет https://user.gto.ru/user/register , однако в нарушение требований части 2 ст.18.1 закона на нем не опубликован документ, определяющий политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных.
Отсутствует прямое указание о том, кто является оператором персональных данных. На странице «Контакты» сайта http://gto.ru/news/contacts указаны Министерство спорта Российской Федерации и Федеральный оператор ВФСК ГТО АНО «Исполнительная дирекция спортивных проектов».
ИНН АНО «Исполнительная дирекция спортивных проектов» - 1655068636. С данным ИНН в Реестре операторов персональных данных зарегистрирована другая организация, Автономная некоммерческая организация «Исполнительная дирекция XXVII Всемирной летней универсиады 2013 года в г. Казани» (номер в реестре 16-13-000806). Сведения об обработке персональных данных, указанные в уведомлении Роскомнадзору, не соответствуют указанным на сайте. Это свидетельствует о неисполнении оператором требований части 7 ст.22 закона «О персональных данных» в части информирования Роскомнадзора об изменениях в данных, указанных в ранее направленном уведомлении.
SSL-сертификат, которым защищен сайт, принадлежит третьему лицу - ANO «SPORTIVNOE VEShhANIE». Все это вводит пользователя сайта в заблуждение и не позволяет получить достоверную информацию о том, кто в действительности осуществляет обработку персональных данных.
В ходе регистрации на сайте предлагается дать согласие на обработку персональных данных https://user.gto.ru/bundles/gtouser/docs/agree.pdf . Данная форма не соответствует требованиям, установленным частью 4 ст.9 Федерального закона:
•
не указаны наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных (п.3 части 4 ст.9);
•
не указаны наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (п.6 части 4 ст.9), хотя в согласии предусмотрена передача персональных данных субподрядчикам, своим аффилированным лицам или третьим лицам; цель такой передачи не указана;
•
срок, в течение которого действует согласие субъекта персональных данных (п.8 части 4 ст.9), указан некорректно: хранение, как указано в согласии, предполагается осуществлять бессрочно, а согласие дается на 50 лет.
В качестве цели обработки персональных данных указывается «исключительно регистрация Субъекта Персональных Данных в базе данных Автоматизированной информационной системы Всероссийского физкультурно-спортивного комплекса «Готов к труду и обороне» (ГТО)», однако согласие предлагается передать в Центр тестирования или преподавателю физической культуры в образовательной организации. Каким образом связаны между собой оператор, Центр тестирования и образовательное учреждение, в форме согласия не указывается.
Перечень данных, на обработку которых дается согласие, явно является излишествующим по отношению к заявленной цели обработки и включает в себя «фамилию, имя, отчество, пол, дату рождения, адрес регистрации по месту жительства, адрес фактического проживания, контактные телефон(ы), адрес электронной почты, паспортные данные, ИНН, СНИЛС, место учебы (работы) и иную другую информацию». Эти данные относятся как к несовершеннолетнему субъекту персональных данных, так и к его законному представителю, что противоречит принципам обработки персональных данных, установленным статьей 5 закона «О персональных данных». В то же время в согласии не указаны сведения о результатах участника движения ГТО, обработка которых явно вытекает из содержания сайта.
Кроме того, в согласии указывается, что «Я соглашаюсь на получение сообщений и смс-уведомлений, в том числе информационных и новостных рассылок, приглашений на мероприятия Дирекции и ее контрагентов», что не соответствует как заявленной цели обработки, так и смыслу ст.15 закона «О персональных данных», поскольку получение рекламы навязывается пользователю сайта и в согласии не предусмотрено возможности отказа от ее получения.
В способах обработки персональных данных Дирекцией указано их распространение, т.е. действия, направленные на раскрытие персональных данных неопределенному кругу лиц, что грубо нарушает принцип конфиденциальности, установленный ст.7 закона, особенно – учитывая состав данных, на которое требуется дать согласие.
Учитывая массовость движения ГТО в нашей стране, указанные нарушения требований законодательства в части обработки персональных данных создают предпосылки для нанесения вреда правам и свободам значительной части граждан.
В соответствии с частью ст.17 Федерального закона «О персональных данных» прошу рассмотреть данное обращение и принять в отношении нарушителя меры, предусмотренные ст.23 Федерального закона «О персональных данных».
Жалоба ушла в Роскомнадзор через электронную форму. Будем отслеживать реакцию на нее и информировать интересующихся через этот блог.
Да, к слову. Многочисленные суждения, высказывавшиеся при обсуждении проблемы в сети, о том, что есть формы регистрации и согласия больше нарушающие права субъекта, на подготовку жалобы не повлияли. Если закрывать глаза на нарушение прав граждан, нарушать их будут все больше и больше. Так что добро пожаловаться!
