Направил жалобу в Роскомнадзор в связи с утечкой данных с DTF — Финал

TL; DR: Нарушение признали и потребовали устранить

Если вы не в курсе, о чём речь, то советую заглянуть в эти посты:

Текст финального ответа от РКН находится выше. Вы можете прочитать его сами или прочитать мой перевод с официального языка на человеческий ниже.

В первых трёх абзацах РКН пишет, что внеплановые проверки проводятся лишь согласно статье 57 федерального закона № 248.

В своей жалобе я и писал, что «прошу провести проверку», но я имел в виду дать оценку по произошедшему случаю и принять соответствующие меры. На проведении «контрольных (надзорных) мероприятий», как в ст. 57 N 248-ФЗ, я совсем не настаивал.

В любом случае, спасибо РКН за разъяснения по этому пункту.

Когда я подавал жалобу, во всех источниках было указано, что владельцем dtf. ru является ИД «Комитет». Думаю, что так же думало и большинство активных посетителей сайта. Оказалось, что настоящим владельцем сайта является компания ООО «ДТФ». Эту информацию Роскомнадзору сообщили в «Ru-Center» (4-5 абзац).

Вот информация об ООО «ДТФ» на: Rusprofile и Сбис.

Из доступной информации об этой компании мы видим, что ООО «Комитет» является совладельцем и соучредителем ООО «ДТФ», но у них разное руководство.

Информацию об ООО «Комитет» можно посмотреть тут: Rusprofile, Сбис

Кстати, там же можно увидеть, что прибыль ООО «ДТФ» и ООО «Комитет» за прошлый год составила 1.1 миллиона и 129 миллионов соответственно. Те кто боялся, что штраф в 100 тысяч нанесёт какой-то непоправимый ущерб любимому сайту, может расслабиться.

На первый взгляд, 6-8 абзац не очень интересен. Тут РКН пишет о том, что направила в ООО «ДТФ» запрос о том, имелись ли у компании полномочия на передачу персональных данных третьим лицам. Конечно же, никаких полномочий у DTF не было.

Хочу заметить, что в предыдущих моих постах были «умники», которые говорили, что можно просто написать про передачу третьим лицам в соглашении о предоставлении услуг и творить что угодно. Конечно же, это не так.

С каждым годом закон о защите персональных данных в России совершенствуется и обрастает новыми формулировками и указами. Согласно п. 10.2 ст. 22 Федерального закона № 152, в договоре на обработку персональных данных обязательно должно быть указано кому конкретно будет предоставлен доступ к данным. Неограниченный круг лиц прописать нельзя.

В последних двух абзацах РКН делает вывод о том, что DTF всё же нарушила закон, потому что не обеспечила конфиденциальность персональных данных.

При этом ООО «ДТФ» решили не штрафовать, а ограничились требованием привести деятельность компании в соответствие с законом о персональных данных.

Требования РКН обязательны к исполнению и я надеюсь, что администрация сайта предпримет какие-то шаги в направлении защиты данных пользователей, а не просто будет надеяться, что в следующий раз пронесёт.

В целом я остался доволен работой Роскомнадзора по обращению. Несмотря на новогодние праздники, все ответы даны в срок, случай был разобран и ответ не содержал самую обычную отписку из разряда «мы ничего не знаем, поэтому не нашли и вообще не искали». Видно, что структура работает и занимется делом. Жаль, конечно, что ДТФ не оштрафовали, но и такой вариант меня устроит.

К сожалению, в письме не приложено требование в адрес ДТФ и мы не сможем прочитать, что именно там написали (если только сама администрация DTF не решит выложить это письмо или предписание). Но это лишь детали, которые касаются непосредственно взаимодействия ДТФ и РКН. К тому же, чаще всего требования структур содержат лишь общие формулировки и ссылки на законы без указания на конкретные нарушения.

ООО «ДТФ» могу лишь посоветовать найти специалистов и вообще отойти от хранения любых персональных данных на своих серверах. Особенно если эти данные хранятся в незашифрованном виде. Ну или хотя бы нанять программистов получше, чтоб таких утечек больше не происходило.

Замечу, что отдельные личности испугались, что DTF могут заблокировать и закрыть как TJ.

Уж не знаю, как люди связывают персональные данные и распространение запрещённой информации, но в целом на DTF модерация работает гораздо лучше, чем на TJ и риски блокировки DTF хоть и не нулевые, но всё же не являются значительными.

Единственное, что могло грозить DTF из-за моей жалобы это разбирательство по 138 УК РФ «Нарушение тайны переписки», но данная статья не является основанием для блокировки сайта.

Напоследок хочу обратиться к пользователям сайта. В комментариях под предыдущими двумя постами я заметил, что многие не понимают как работают законы и надзорные ведомства. Данные господа мыслят какими-то дворово-тюремными понятиями и ведут себя как какая-то интернет-гопота.

Господа, не будьте гопниками. Собираясь в стаи и наезжая на людей вы ничего не докажете и никого не переубедите, а лишь дадите понять, что человеческий диалог с вами не возможен.

Спасибо за внимание.