Все это — онлайн, с заботой о вас и по отличным ценам.
И на выходе это траснграничка?
Персональные данные. Оператор персональных данных. РКН.
Всем здравствуйте, бродя по интернету никак не получил чётких ответов на свои вопросы, один ответ говорит "ДА", другой говорит "НЕТ". Аналогично и ИИ путается в этом.
Суть в чём. У меня разрабатываются два интернет проекта, с абсолютно разной тематикой. И не ясно, как и что отправлять в РКН по поводу персональных данных и как их собирать.
Важные подметки :
- Оба проекта располагаются на Российском хостинг провайдере в локации "Россия".
- Все базы данных этих проектов так-же располагаются на Российском хостинг провайдере и в локации "Россия"
- Принадлежат гражданину РФ.
Первый проект. Telegram-Bot.
- Обычный Telegram бот, представим, что это узконаправленный Tinder.
Для поиска "напарников" или же знакомых по интересам.
Какие данные он собирает :
1. Выдуманный ник/Имя
2. Возраст
3. Проведенное время за навыком (например "Время игры в какую-то игру"
4. Картинка для анкеты
5. Контакт для связи (чтоб другие могли с ним связаться) (Никнейм Telegram/Discord/Вконтакте - на выбор пользователя)
6. Конкретные навыки пользователя (В каком-то хобби или чем либо, чтоб интересов было больше и совпадений)
Процесс взаимодействия с ботом. Пользователь просматривает другие анкеты, в которых отображаются все пункты выше, кроме контактов для связи. Выбирает "Лайкнуть" или "Дизлайкнуть" человека. Если их интерес совпал, они могут общаться в боте через его встроенный чат или же сразу связаться друг с другом через контакты (в случае взаимного лайка - контакт раскрывается для этих пользователей).
Так вот вопрос по этому проекту :
- Это является трансграничной передачей персональных данных или нет?
- Я могу что-то исключить, чтобы не считалось трансграничной передачей данных, если таково является?
Проект второй. Файлообменник.
Тут вероятно всего даже проще.
Обычный сайт, который позволяет за определенную плату подключить тариф для хранения и распространения своих файлов.
Файлы - любые фотографии и файлы формата .map/.card/.world
Повторюсь, сайт, сервер, хранилище файлов и базы - находятся в РФ.
Т.к пользователь может делиться своими файлами (позволяет брать прямую ссылку на скачивание) - я использую CDN для ускорения доставки контента пользователю, который будет скачивать этот файл.
CDN планирую арендовать у Российской компании "ВКонтакте", а точнее VKCloud.
Он предоставляет возможность подключить CDN, у которого узлы в РФ + 20 различных странах.
Так вот вопрос по этому проекту :
- Это является трансграничной передачей персональных данных или нет?
По сути файлы обезличены, НО! РКН считает IP адреса - персональными данными, соответственно, мой домен имеет такой вид cdn.mydomain.app/file1.png для раздачи файла и чтобы перегнать с ближайшего узла (CDN).
Значит соответсвенно, пользователь попадает на шлюзы VKCloud и может оставить на его сервере свой IP адрес, значит я осуществляю трансграничную передачу?
Но эту ссылку ведь не я передал пользователю и иницировал это, темболее эти сервера под контролем VKCloud, я не имею доступов к их узлам и не повлияю на сохранность каких-либо логов на их узлах.
Т.е выходит так, что клиент из РФ пользуется моим сервисом, хранит файлы, хочет поделиться с другом или сам скачать - и его IP адрес попадает на CDN сервер другой страны? И на выходе это траснграничка?
Как тогда в целом сайты живут, когда у них повсеместно CDN подключен для быстрой загрузки из всего мира, пользователь же подключается и оставляет свой след на зарубежном сервере CDN?!
- Файлы не хранят в себе ничего (он больше сделан для хранения и раздачи технических файлов и изображений)
Регистрация на нем происходит по email + password.
Эти данные в ссылках на скачивании и т.д не отобаражются, нужно лишь для регистрации/авторизации в личном кабинете и возможности оплаты тарифов
Здравсвуйте!
Тут необходимо сразу понимать, что если ФИО пользователя не указывается — данные сведения не являются персональными данными, поскольку не позволяют идентифицировать того или иного человека (Апелляционное определение Курганского областного суда от 7 сентября 2017 г. по делу N 33-2984/2017).
Таким образом, по смыслу указанных положений закона к персональным данным лица следует относить прежде всего, его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, а также другую информацию, при которой возможно идентифицировать конкретное лицо.
Соответственно, если данные сведения не относятся к персональным данным, то о трансграничной обработке персональных данных также идти речь не может.
Согласно ст. 3 ФЗ «О персональных данных» к трансграничной передаче ПД относится передача данных сведений на территорию иностранного государства, иностранному физ лицу или юр лицу.
трансграничная передача персональных данных -передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Исходя из Вашего вопроса не следует что:
1. Данные сведения являются ПД.
2. Что они передаются на территорию иностранного государства.
По второму вопросу.
Т.е выходит так, что клиент из РФ пользуется моим сервисом, хранит файлы, хочет поделиться с другом или сам скачать — и его IP адрес попадает на CDN сервер другой страны? И на выходе это траснграничка?
Нет, не совсем так.
IP адрес, адрес электронной почты и иные сведения, о которых Вами указаны сам по себе также не являются персональными данными, поскольку не обладают признаками неизменности (Постановление Арбитражного суда Московского округа от 30 марта 2023 г. N Ф05-4354/23 по делу N А40-139096/2022). Если бы он был размещен с ФИО (причем с ФИО клиента, который получает доступ к этим базам данным, или сведениям) — да, это были бы ПД.
Более того, суды обоснованно указали, что адрес электронной почты фактически не обладает свойством «абсолютной неизменности», потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, также, как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту.
НО! РКН считает IP адреса — персональными данными, соответственно, мой домен имеет такой вид cdn.mydomain.app/file1.png
Как и пояснил выше, даже если и допустить что IP адрес «статический», то есть — неизменный, но не привязан к ФИО он не может быть ПД. Кроме того, при доступе к серверу, если я верно понимаю, клиенты также не вводят свой ФИО. Если так — то это в принципе не может попадать под формулировку «обработка персональных данных» (ст. 3 ФЗ «О персональных данных»).
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Какие данные он собирает:
1. Выдуманный ник/Имя
2. Возраст
3. Проведенное время за навыком (например «Время игры в какую-то игру»
4. Картинка для анкеты
5. Контакт для связи (чтоб другие могли с ним связаться) (Никнейм Telegram/Discord/Вконтакте — на выбор пользователя)
6. Конкретные навыки пользователя (В каком-то хобби или чем либо, чтоб интересов было больше и совпадений)
Здравствуйте.
Исходя из самого определения понятия персональных данных, указанного в ст. 3 Закона о персональных данных явно усматривается, что перечисленные Вами сведения персональными данными не являются:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Можно ли при указанных Вами данных определить конкретного человека? Безусловно нет. Соответственно при таком составе данных нельзя говорить о том, что Вы собираете персональные данные.
Регистрация на нем происходит по email + password.
Это тоже не является персональными данными. Несмотря на то, что Минкомсвязи России в Письме от 07.07.2017 N П11-15054-ОГ указал что абонентский номер и адрес электронной почты могут быть признаны персональными данными в том случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу, судебная практика исходит из того, что сам по себе адрес электронной почты не является персональными данными. Например в Постановлении Арбитражного суда Московского округа от 30.03.2023 N Ф05-4354/2023 прямо указано почему именно адрес электронной почты не может являться идентифицирующим:
адрес электронной почты фактически не обладает свойством «абсолютной неизменности», потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, так же, как и в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту.
Таким образом, поскольку данные не являются персональными вопрос трансграничности и т.д. принципиального значения не имеет.
Если Вам потребуется дополнительная консультация по этому вопросу и/или составление документов, либо возникнут иные правовые вопросы, Вы можете обратиться ко мне в чат за персональной консультацией.
Итак, да. Верно подмечено, никакого ФИО не собирается, в целом как и даты рождения.
Первый сервис (телеграм бот). Строго то что описано выше.
Второй сервис (файлообменник) предоставляет доступ только по email + пароль (для регистрацми и авторизации)
Кроме файла на CDN ничего не попадает, в файле и сам файл не привязывается по персональным данным пользователя, он фактически обезличен, как его название, так и метаданные, даже изначальное его название. Путь к файлу формируется из случайных наборов символов, что в целом невозможно ассоциировать с пользователем.
Уточняющие вопросы:
— В обоих случаях все всецело не считается персональными данными?
— В целом можно даже не подавать заявление в РКН об этом для этих сервисов?
В указанных случаях нет оснований ни для подачи заявления в Роскомнадзор, ни для совершения действий, которые необходимы при сборе, обработке и хранении персональных данных.