На днях в одном из чатов по онлайн-бизнесу появилось интересное сообщение. Девушка рассказала, что зашла на сайт одной онлайн-школы, побыла там и ушла. А на следующий день ей позвонил менеджер этой онлайн-школы и предложил рассказать подробнее об одном из продуктов, который, мог её заинтересовать…
Законно ли собирать персональные данные без согласия собственника? В некоторых случаях — да: если к примеру, обработка персональных данных необходима для защиты жизни, здоровья или для осуществления прав и законных интересов оператора или третьих лиц, и ещё в ряде случаев (п. 2-11 ст. 6 ФЗ «О персональных данных»). Но любое лицо, собирающее и обрабатывающее персональные данные не в соответствии с названными пунктами, и без согласия на то субъекта персональных данных (читай: любого физического лица), — делает это незаконно.
Но как? Как эта онлайн-школа умудрилась взять у девушки её номер телефона? Мы всем чатом расспрашивали — может, когда-то раньше она давала согласие, и её запомнили? Может, она проходила обучение в другой онлайн-школе, но которая так же, как и онлайн-школа-незаконный сборщик персональных данных, принадлежит одному и тому же ИП, и она давала согласие на обработку персональных данных, но уже не помнит об этом? Девушка полностью отрицала даже мало-мальски возможное сообщение номера телефона.
В итоге, в чате нашлись технические специалисты, которые объяснили механизм действия кликджекинга.
Кликджекинг (от англ. clickjacking) – это технология обмана пользователей интернета, основанная на том, что на странице кроме видимых элементов располагаются невидимые. Невидимые кнопки, ссылки размещаются поверх видимых кнопок и ссылок - там, где кликают пользователи. Соответственно, по клику происходит действие, которого пользователь не ожидал: например, подписка на какую-то группу в соцсети. Для себя я объяснила это ещё проще: это, как в Инстаграме, - когда в сторис поверх ссылки на пост располагаешь картинку (к примеру, с надписью «New post»), то человек, нажимая на эту картинку, переходит в сам пост. Но при кликджекинге такие картинки могут быть прозрачными (невидимыми).
Разновидностью кликджекинга является соцфишинг (то же самое, но невидимые кнопки привязаны к соцсетям). Тогда могут не только звонить, но и писать в личные сообщения на платформе соцсети…
Технически такие махинации осуществляются скриптами — специальными программками. Но их можно выявить и удалить. (Если, конечно, это ваш сайт и вы только сейчас узнали о том, что кликджекинг - это незаконно.) Ещё в 2015 году Яндекс ввёл фильтр за кликджекинг, который «наказывает» недобросовестных сайтовладельцев снижением рейтинга их сайтов. Определить этот фильтр несложно. Заходим в Яндекс.Вебмастер, раздел «Диагностика», далее «Безопасность и нарушения». Если фильтр есть, там будет четко про это написано. И, если уточнить у техподдержки, то обычно санкции подтверждаются.
А вот найти и обезвредить сам скрипт не всегда просто. Вам поможет технический специалист, разбирающийся в кодах сайта. Он определит, с какого сервиса тот или иной скрипт и не несёт ли он в себе угрозу для сайта. Удалив все скрипты кликджекинга, можно смело идти в Яндекс.Вебмастер и жать кнопку «Все исправил» под сообщением о санкциях.
Если при обработке персональных данных организацией нарушаются ваши права, вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте ведомства: http://rkn.gov.ru/.
Всегда Ваша, Елена Федорук, юрист для онлайн-школ и интернет-проектов.