GrabDuck

Как рядовой пользователь воевал за соблюдение закона «О персональных данных»

:

Сегодня, в блоге компании Pravo.ru появился любопытный топик о том, как надо вести себя компаниям, собравшимся открывать Интернет-ресурсы, которым придётся работать с персональными данными клиентов. Поэтому, по просьбам трудящихся, выложу свою историю со стороны рядового пользователя, который решил проверить свои права в деле.

Вообще не секрет, что многие технологические новинки до России доходят с изрядной задержкой. Это касается почти всего — от мобильных гаджетов и компьютерных игр до автомобилей. Причины таких задержек самые разные, но выражаются они не только в нехватке этих самых новинок, но и медленной реакции законодательства на изменения технического прогресса. Касательно темы поста, это выражается в законах, регламентирующих порядок обработки персональных данных пользователя. Заграницей, в государствах Западной Европы, Северной Америки и ряда других развитых стран мира законы в разной степени регулируют обработку данных с середины 80-х, начала 90-х годов, но в России подвижки по этому вопросу начались только на рубеже XX-XXI века, что вылилось в принятие федерального закона «О персональных данных». В чём его значение для рядового гражданина? Значение в том, что он способен защитить права и свободы человека при обработке его личных данных.

Теперь, от общих разглагольствований хочу перейти к более конкретной части, а именно к применению закона в Интернете. Какие преимущества даёт пользователю знание закона и какие неприятности могут случиться с вашими личными данными? Так уж повелось, что человек очень часто занимается тем, что вводит свои личные данные на огромной прорве сайтов. Тут и регистрации почтовых ящиков, и наполнение страниц в социальных сетях, и заполнение заказов в Интернет-магазинах, и создание аккаунтов на форумах, и оформление онлайн-услуг (от банкинга до бронирования билетов). Свои персональные данные можно разбросать по массе узлов, что в конце концов создаёт массу опасностей. А защищены ли введённые данные? Да, на серьёзных ресурсах, типа уважаемых банков, ваши данные шифруются, а вот на каком-нибудь форуме, где на запрос «я забыл свой пароль» в письме на мыло приходит ваш пароль, ваши данные не шифруются вообще. А ваши введённые данные оказываются потенциально под угрозой злоумышленников, ибо базы данных могут взломаны с пол-пинка, а потом ваш указанный на форуме e-mail/адрес проживания и т.п. отправляются в павильончики рынков, торгующих контрафактными дисками, или на раздачи торрент-трекеров, где их с удовольствием выкачивают люди, занимающиеся раскруткой определённых услуг. А потом ждите, в лучшем случае, заваленные спамом почтовые ящики и рассылки, на которые вы не подписывались. А то ещё что-нибудь похуже, вплоть до шантажа.
Со мной произошла подобная ситуация. Будучи глупым школьником, помню, как года два-три назад фанатично регистрировался на прорве сайтов типа онлайн-игр, форумов и тому подобной ерунды. Результат предсказуем — ныне папка спам превратилась в развалы непонятных писем. Если спам-фильтр не срабатывает, то и в обычный инбокс что-то проникает. Совсем недавно получил рассылку, рекламирующую новые возможности, от игры Runes of Magic. Что за игра — не знаю, ибо, похоже, в неё я так и не сыграл, а мотивы регистрации я вспомнить не мог. Тут-то мне и пришло в голову проверить работу законодательства, а именно Главы 3 ФЗ №152 «О персональных данных». Что я сделал?
1). Перешёл на сайт и прочитал актуальную редакцию пользовательского соглашения, а также проверил, что удалить аккаунт штатными средствами нельзя.
2). Прочитав соглашения, принялся копаться по данным сайта. Домен зарегистрирован и делегируется в России РуЦентром. Сертификат безопасной HTTPS-версии выдан компании самой себе и не проверялся третьей стороной.
3). Проверил отзывы о сайте на сервисе Web of Trust (WoT), где стало ясно, что пользователи не шибко сайтом и довольны, так как тот имеет весьма сомнительную репутацию, ибо и порнография, и спам, и агрессивная реклама на сайте.
Ну что ж, для теста своих возможностей информацией запасся, теперь осталось общение со службой поддержки. Составил запрос, отправил, даже особо и не надеясь на ответ в тот момент.

Здравствуйте, прошу Вас удалить мою учётную запись и прекратить обработку
персональных данных, в том числе e-mail, в соответствии с Федеральным законом
от 27 июля 2006 г. N 152-ФЗ „О персональных данных“, а также удалить адрес
электронной почты из баз рассылок. С уважением, <никнэйм, выбранный для сайта>.

Надо-таки отдать должное службе поддержки, которая не положила на всё болт, как часто бывает.
Ответ пришёл весьма быстро, но не был столь радужным, как хотелось:
Мы исключим ваш адрес почты из рассылок, но удаление учетной записи невозможно.

Я несколько обалдел и вновь открыл пользовательское соглашение, чтобы уточнить данный вопрос. Вооружившись пунктами пользовательского соглашения, начал строчить ответное письмо:
Здравствуйте, спасибо за понимание.
Благодарю за исключение моей электронной почты из списка рассылок, но почему невозможно удаление учётной записи, если в Пользовательском соглашении такая возможность предусмотрена:
3.6.Если Пользователь 2 (два) месяца подряд не активировал Учетную запись, т.е. не вводил на Сайте в соответствующих полях Логин и Пароль, Компания вправе удалить Учетную запись. Пользователь не вправе предъявлять Компании, какие бы то ни было претензии в связи с удалением Учетной записи в указанном в Договоре порядке.
6.4.Пользователь вправе, в любое время прекратить пользоваться Игрой. В случаях, установленных Договором, Пользователь обязан прекратить пользоваться Игрой. Датой прекращения пользования Игрой Пользователем считается более ранняя из следующих дат:
6.4.1.дата удаления Учетной записи;
6.4.2. 2 (Два) месяца с даты, когда Пользователь последний раз активировал Учетную запись, т.е. вводил на Сайте в соответствующих полях Логин и Пароль, даже если соответствующая Учетная запись не удалена.

Прошу считать данное письмо официальным запросом на удаление учётной записи согласно пунктам 6.4.1 и 8.8 Пользовательского соглашения Компании, а также Федеральному закону от 27 июля 2006 г. N 152-ФЗ „О персональных данных“, статьи 21, пункта 5.


Должно быть служба поддержки не ожидала, что к ним прицепятся, а не отвянут сразу, потому что написали ребята из саппорта какую-то феерическую чушь:
Вы неверно понимаете пункт п.с. 3.6, «Компания вправе» не тоже самое, что
«Компания обязана». Удаление учетной записи невозможно по техническим причинам.

То есть, компания вправе сделать что-либо, но не имеет технической возможности это сделать. У меня случился когнитивный диссонанс, ибо мне показалось, что сентенция уровня «мы имеем право слетать на Плутон, но не имеем технической возможности» выглядит, как минимум, странно для пользовательского соглашения. Я своё недоумение и выразил в ответном письме:
Как же вы вправе удалить учётную запись, если это невозможно по техническим причинам? Вот здесь я действительно ничего не понимаю. Зачем вносить в договор пункты, которые вы не можете выполнить?
Так как домен rmonline.ru зарегистрирован и делегируется на территории Российской Федерации, и деятельность вы осуществляете в согласии с законодательством России, то, если ваш договор не является для вас авторитетным, следуйте указанному в прошлом письме Федеральному закону, а именно Федеральному закону от 27 июля 2006 г. N 152-ФЗ „О персональных данных“, статье 21, пункту 5.

Компании крыть нечем оказалось, поэтому ответ поддержки оказался несколько невразумительным:
Еще раз обращаем ваше внимание на те пункты п.с. где указана, что администрация
«может», это не означает, что администрация «обязана». Если вы не хотите более
использовать учетную запись, что просто не делайте этого.

Спасибо, конечно, за совет, но фишка в том, что сервисом я точно не пользовался больше двух месяцев, поэтому я никак не мог быть активным пользователем, а рассылки всё равно приходят. Так что, нет уж, давайте удалять всю мою учётную запись, тем более у меня на это есть право. Пишу вполне серьёзный ответ
Тем не менее, прошу обратить внимание, что администрация, не будучи обязанной удалять учётные записи пунктами своего пользовательского соглашения, регулируется в первую очередь законодательством Российской Федерации, которое именно обязывает вас удалить учётную запись по требованию клиента. Прошу обратить внимание на указанные в прошлых письмах пункты закона. Если вы продолжаете упорствовать, то, пожалуйста, не утруждайте себя повторениями о неспособности что-либо сделать, а предоставьте информацию для урегулирования спора в судебном порядке (полное название вашей организации, юридический адрес, адрес фактического местонахождения, ссылки на нормативные документы, регулирующие деятельность вашей организации на территории Российской Федерации).

Дорогие хабралюди, я не знаю, был ли я готов реально заниматься такой «ерундой» (потому что личных данных-то в учётной записи кот наплакал), но имел пару знакомых адвокатов, которым ради интереса я мог разъяснить ситуацию, и она могла бы их заинтересовать в качестве занимательного опыта. Тем не менее, благодаря действиям саппорта, простая проба сил превращалась для меня в дело принципа. Поэтому, вполне возможно, до подачи иска бы и дошло дело, благо ныне это не так уж и трудно сделать. Но дело до такого не дошло, потому что служба поддержки дала задний ход и прислала лаконичное сообщение:
Учетная запись была удалена.

Чукча хитрый, чукча умный, поэтому я полез проверять, что к чему. Попытался войти на сайт. Настиг эпик фэйл, принялся заполнять форму напоминания пароля — эпик фэйл. То есть, технические причины мгновенно исчезли, стоило только продемонстрировать решительность и стремление идти до конца.
Вывод

Какой же из этого можно сделать вывод? А такой, что данные закон реально позволяет вам защищать свои права и свою конфиденциальную информацию. Такие ситуации имеют ряд плюсов и минусов
+ Возможность реально защитить свои права.
+ При возникновении прецедента (да, я понимаю что у нас не прецедентное право, но существует определённая практика принятия схожих решений) упростится решение подобных ситуаций в пользу клиента.
+ Сделать посильный вклад в создание правового государства таким, как оно хорошо получается на бумаге, но плохо на деле.
- Большие затраты времени. Понадобится и законы знать, и пользовательские соглашения читать, и спорить в досудебных разборах, и судебные разборки, и прочие бездны времени транжирить.
- Аналогичные затраты нервов. Не всё проходит гладко, как по маслу.
- Возможные затраты финансовых средств. От банальной оплаты трафика до выплат компенсаций.

Чтобы минимизировать действие и последствия указанных минусов (их может и больше, чем я указал), надо действовать как можно объективнее.
1). Мы с потенциальным оппонентом играем по одним правилам — по законодательству Российской Федерации. Пользовательские соглашения регулируют лишь ту часть, которую законодательство не регулирует. И если пункты соглашения противоречат законам и другим официальным правовым актам, то можете забыть об этих противоречащих пунктах.
2). Дайте себе отчёт — вы терпите ущерб достаточный, чтобы начать защищать свои права или же ваше желание вызвано только стремлением поразвлечься? Если поразвлечься, то лучше выберите иной путь получения удовольствия, потому что это игра с огнём, а вышеуказанные минусы могут ударить куда сильнее, чем бы вам хотелось.
3). Не поддавайтесь эмоциям. В деле защиты своих прав и работы с законодательством эмоции далеко не лучший помощник (например, в данном топике показано, что эмоции подвели сотрудника правоохранительных органов, который сразу настраивал людей против себя). Холодная голова — лучший помощник. Чем чётче и аргументированнее будет ваша позиция, тем лучше.
И не бойтесь, что служба поддержки вас не считает за человека, угрожает вам, говорит чушь или не желает работать. Они такие же игроки в игре законодательства, как и вы, поэтому права с обязанностями у вас одинаковые.

Так что на детском примере общения со службой поддержки рядовой MMORPG, решайте, стоит ли игра свеч, но помните, что никто за вас защищать ваши права не будет за спасибо, пока вы сами не захотите их защитить. Навальных много не бывает.
Удачи во всём и думайте, что вы размещаете в Сети! :)