Problemas de acceso a datos personales en nombre de todos los participantes en el proceso.

Saludos queridos Khabrovitas.

La historia de cómo un usuario simple comenzó a actuar

En primer lugar, decidí que uno de mis dispositivos podría estar zombie. Como casi no uso una VPN, y aún más en el caso de este recurso, decidí comparar los registros de acceso con mis datos para su verificación. Después de una breve búsqueda, descubrí que el recurso no tiene una función de software para el acceso del usuario a dicha información. En consecuencia, escribí en apoyo de la solicitud proporcioname esta información:

Saludos, descubrí que se están enviando mensajes de spam desde mi cuenta. Debe averiguar desde qué dispositivo estaba sucediendo esto para tratar de determinar cómo los atacantes recibieron la contraseña de mi cuenta. ¿Puedo obtener información sobre los hechos de acceso a mi perfil?

A lo que recibí una respuesta:

Agente de soporte:
Hola usuario.

Notamos señales de piratería en tu perfil. Las herramientas con las que se realizó el pirateo son desconocidas para nosotros.

Como vemos, ya ha cambiado la contraseña de su cuenta personal, y le recomendamos que cambie la contraseña del correo electrónico.

Después de ingresar el perfil, verifique si su nombre, número de teléfono y ciudad están correctamente especificados en la sección Configuración (https: //www.service.ru/profile/settings).

Aquí puede leer cómo proteger el perfil de piratería: (https: //support.service.ru/articles / ...)
Buen humor y transacciones exitosas en el Servicio.

Como puede ver, no hubo una respuesta concreta a mi pregunta, y los seguidores fueron recomendaciones amigables. Bueno, tuve que escribir de nuevo:

Gracias por la respuesta, pero ¿es posible ver direcciones IP o algún tipo de registro? Me pregunto si podría ser un zombie de uno de mis dispositivos.

Y aquí tengo un rechazo tradicional:

Agente de soporte
Usuario, no divulgamos detalles para que esta información no se pueda utilizar en detrimento del servicio y los usuarios.
Esperamos su comprensión.

Puede leer acerca de cómo nuestro estado define el término datos personales en la Ley Federal, o en estas publicaciones: ¿Qué le da la Ley Federal No. 152 sobre Datos Personales a una persona común?
Por ejemplo, la publicación Cómo un usuario ordinario luchó por el cumplimiento de la Ley "sobre datos personales" contiene la solicitud habitual para la eliminación de datos personales, que los propietarios negligentes apenas completaron después de una lectura tediosa de la ley "Sobre datos personales". Pero, ¿qué pasa con la pérdida de tiempo para resolver estos problemas si el operador "terco" se niega a proporcionar datos al sujeto? Por supuesto, de la misma manera que un atacante podría hacer una solicitud en mi nombre, por lo que no debe esperar un retorno instantáneo del operador. En este sentido, tales acciones por parte de los operadores son una forma más confiable de guardar los datos del usuario, especialmente si la cuenta ha sido pirateada.
Persistente y probablemente bastante molesto, trato de presionar a un empleado de la empresa y emitir lo siguiente:

En muchos servicios respetables, la transferencia de dicha información es permisible y a veces está disponible para el usuario.

Además, solicito información sobre el atacante, entonces, ¿quién resulta usar esta información en detrimento?

Usted retiene la información que el usuario le solicita a usted, su personal, porque esta es "mi" cuenta en su servicio. En este contexto, no soy un tercero y tengo todo el derecho de exigirle esta información según sus propias reglas. Del mismo modo que necesita datos de sus usuarios.

Gracias, espero entenderlo.

Por supuesto, nadie me lo proporcionó "inmediatamente" y el empleado da una respuesta resuelta:

Agente de soporte
Hola usuario.

Esta información está clasificada. Podemos proporcionarlo solo a pedido oficial de organismos estatales autorizados.

La forma en que el Servicio procesa y protege los datos del usuario se puede encontrar en la Sección 4 de los Términos de uso del Servicio y las políticas en el campo de procesamiento y seguridad de los datos del usuario del Servicio: (https: //support.service.ru/articles / ...) y (https: / /www.service.ru/safety/personal/company).

También cumplimos con los requisitos de la ley federal "Sobre datos personales" del 27 de julio de 2006. Puede contactar a profesionales legales para obtener una explicación detallada de la ley. El servicio de soporte del Servicio no asesora sobre cuestiones legales.

¡Te deseamos un cálido otoño!

Bueno, eso es todo, aquí ya estoy sentado en pantalones calientes, en una silla caliente.

Bueno, la historia continúa:

Saludos, Agente de soporte.

Esta información está cerrada para mí solo si así lo decido o si el acceso está restringido de acuerdo con la ley.

Lea usted mismo con los derechos del sujeto de los datos personales.

Ley Federal del 27 de julio de 2006 No. 152 FZ Artículo 14. El derecho de un sujeto de datos personales a acceder a sus datos personales.
- Tengo derecho a solicitar cualquier información relacionada con mis datos personales.
"Estás violando mis derechos de usuario".
- Recopila información técnica sobre mis dispositivos, la analiza y gana dinero con ella.

Yo, a su vez, uso su servicio, considero trabajar para usted. Me ha traído el menor beneficio posible durante estos años de operación en dichos servicios.
Si me proporciona información que es inconveniente para mí o no está sistematizada, solicitaré una carga completa de información para su análisis.

Si planea rechazarme nuevamente, presente evidencia.
Si no está involucrado en asuntos legales, consulte a los involucrados.
Gracias por el cálido otoño.

Aquí entra en juego el asistente personal del usuario "furioso":

Agente de soporte

Buenas tardes

Mi nombre es Daniel, soy especialista en reclamos.

Según su situación, verifico la información adicionalmente. Basado en el resultado de la verificación, definitivamente regresaré con la respuesta.

Después de unas horas, emite lo siguiente:

Agente de soporte
Hola

Gracias por esperar: tomó tiempo familiarizarse con la situación.

La seguridad de sus credenciales tiene una alta prioridad para nosotros: todas las comunicaciones con el Servicio pasan a través de canales de comunicación seguros.

Al mismo tiempo, también necesitamos la ayuda de los usuarios: siempre aconsejamos:

1) no le digas a nadie tu contraseña (incluso a nosotros);
2) una contraseña segura incluye letras, números, su longitud es de al menos 8 caracteres, por lo que será difícil de adivinar para los extraños, recomiendo cambiar la contraseña cada 2-3 meses.
3) compruebe regularmente todos los dispositivos desde los que accede a Internet en busca de virus;
4) no haga clic en enlaces sospechosos. Si aún fuiste a un sitio donde requieren que ingreses tu nombre de usuario y contraseña, cierra la pestaña de inmediato.

Para la protección de sus derechos, puede comunicarse con las autoridades reguladoras; por nuestra parte, estamos listos para ayudarlo a resolver este problema. Al mismo tiempo, necesitamos fundamentos legales para proporcionar dicha información. Esto puede ser una solicitud de las autoridades policiales / judiciales, o de su abogado.

Tenemos un procedimiento cuando, a pedido oficial (no solo los funcionarios encargados de hacer cumplir la ley / judiciales, sino también su abogado puede enviarlo) proporcionamos esta o aquella información.

Para obtener dicha información, deben enviar una solicitud oficial a nuestra dirección en el membrete de la organización con el sello y la firma de la persona autorizada, así como los datos de contacto del contratista, a quien se puede contactar en caso de preguntas adicionales, y el número de fax de la organización (enviando una respuesta a la solicitud por correo electrónico no se proporciona correo). Si se trata de una carta de su representante, también debe proporcionar una copia escaneada del certificado del abogado.

Se debe enviar una copia escaneada de la solicitud a compliance@service.ru, el original de la solicitud se debe enviar por correo al departamento legal de Service LLC a nombre del Jefe del Departamento de Trabajo con Consultas Head S.Z. en la dirección: 123456, Moscú, ulitsa, 1

Creo que en el futuro no encontrarás situaciones similares. Si necesita ayuda con el Servicio, escriba, siempre estamos abiertos al diálogo.

Y luego fui a abrir las leyes y pasar mi tiempo y "estropear mis ojos":

Gracias por la respuesta detallada.

Entiendo su interés en proteger a los clientes, y también veo una renuencia a difundir información que está cerrada para los usuarios comunes. Puedo suponer que no estás interesado en esto, en lugar de proteger mis derechos, los usurpas. ¿Cuál es el riesgo? ¿Es un usuario habitual o un blogger conocido? ¿Considerará la información en busca de una violación de sus derechos o simplemente defenderá su interés?

Te diré la razón por la que estoy tan interesado en resolver este problema. En toda mi historia de uso de contraseñas (solo creo que soy cuidadoso con la seguridad), no ha habido un solo hack o fuga de contraseña (al menos solucionado). Su sistema no tiene una notificación sobre la entrada desde un nuevo dispositivo, el cliente no tiene un registro abierto, como se hace en algunos sistemas. Por lo tanto, es importante para mí encontrar información sobre este incidente, es deseable que esté completo y sin cambios (Parte 5 del Artículo 13.11 del Código Administrativo de la Federación Rusa).

Para proteger mis derechos, la ley no requiere contactar a las autoridades reguladoras. Si necesita fundamentos legales, aquí están:

Ley Federal del 27 de julio de 2006 No. 152 FZ Artículo 14. El derecho de un sujeto de datos personales a acceder a sus datos personales.

El interesado tiene derecho a exigir al operador que aclare sus datos personales, así como a tomar las medidas prescritas por la ley para proteger sus derechos.

El operador proporciona información al sujeto de los datos personales a pedido. La solicitud debe contener el número del documento principal que acredite la identidad del sujeto de los datos personales: Número de TP emitido del pasaporte del Departamento del Servicio Federal de Migración de Rusia en la región; información que confirma la participación del sujeto de datos personales en las relaciones con el operador: el número de usuario es el siguiente, como puede ver, uso su sitio y, de acuerdo con sus reglas, esto significa que estoy de acuerdo con el acuerdo de usuario. Después de celebrar acuerdos adicionales, adjuntaré una firma digital electrónica, porque es suficiente para enviarle una solicitud en forma digital.

Mis derechos están protegidos por la ley. Si viola la ley, debe ser responsable de violar la ley de datos personales. No tengo que recurrir a la ayuda de un abogado, porque no estoy interesado en absoluto en su procedimiento. Mantenga la burocracia con usted.
Es mejor que cumpla con mi solicitud, ya que el Artículo 5.39 del Código de Infracciones Administrativas de la Federación Rusa se le ha atribuido.
Tenga en cuenta que debe tener cuidado con nuestra correspondencia. El tiempo pasa, si espera tres semanas y no habrá reacción, caerá bajo la falta del operador de proporcionar al sujeto datos personales con información sobre el procesamiento de sus datos personales Parte 4 del art. 13.11 Código administrativo de la Federación de Rusia.

Espero por su fe que no tendré que enfrentar una situación similar esta vez.
Esperando tu decisión. Gracias

PD: Simpatizo con usted como empleado de la empresa, si sigue mi ejemplo, esto no beneficiará su carrera, pero cuanto más avancemos, mayor será el riesgo. Esto es solo más interesante, ¿verdad?

En este momento, sigo con confianza el camino que el compañero trabajador describió en este artículo: El mecanismo para el ejercicio de sus derechos legales por parte de los propietarios de datos personales.
La guerra de usuarios y operadores por la posesión de datos personales ha estado ocurriendo durante muchos años.
Según el pasaporte del programa gubernamental Digital Economy (detalles en este artículo), la artillería pesada pronto se instalará del lado de los usuarios rusos como una forma simple y efectiva de acceder a datos personales sin burocracia innecesaria.

Hoy en día, el tema de "proteger los grandes datos" se ha vuelto más relevante, lo que se parece más a la nacionalización de un recurso poderoso. Durante el examen de las enmiendas a la ley "sobre información, tecnologías de la información y protección de la información". Se pueden encontrar más detalles en esta publicación.

Todos los participantes del proceso

Desde el lado del usuario, todo se ve exactamente así, casi nadie conoce sus derechos y cómo protegerlos. Pero personalmente, estoy interesado en ver esto a través de los ojos de otros participantes.

¿Qué hace el operador, qué medios está dispuesto a utilizar, aplicará medidas al usuario molesto y con qué frecuencia se encuentra con tales solicitudes? ¿Qué programas de protección contra tales solicitudes tienen las grandes empresas, y qué tan probable es que mi caso fluya de acuerdo con un patrón probado, donde me "ahogarán" en la burocracia? ¿Qué tan valiosa es la información que el usuario solicita en este caso y puede contener información que pueda ser utilizada contra el operador? ¿Y es posible usar?

Si escribe una queja a Roskomnadzor, ¿qué tan interesado está en cumplir con esas quejas, cuánto le valen? ¿Hay alguna diferencia entre un recurso poco conocido y uno grande?

La opinión de los expertos en esta área es interesante. Disculpe si las preguntas resultan ser frecuentes (considere los enlaces). Gracias por su atencion