Меня зовут Александр, я разработчик отечественного программного обеспечения в сфере информационной безопасности. В данном материале я подробно изложу обстоятельства конфликта с ООО «Рег.ру» — одной из крупнейших российских компаний, предоставляющих услуги регистрации доменных имен и хостинга. В ходе которого выявлены систематические нарушения законодательства РФ в области защиты персональных данных (Федеральный закон №152-ФЗ), что послужило основанием для обращения в Роскомнадзор и подготовки судебного иска.
История началась 30 августа 2024 года, когда наше программное обеспечение проходило тестирование у партнёров. В этот день компания ООО «Рег.ру» заблокировала доступ к доменам (приостановила работу) программного обеспечения. Основанием послужило требование о прохождении дополнительной верификации, включающее запрос на предоставление документов, включая копии всех страниц паспорта, что выходит за рамки обоснованных требований.
Важно отметить, что сам факт проверки документов не вызвал бы нареканий, несмотря на его несвоевременность, так как большинство доменов были приобретены еще на этапе начала разработки, и некоторые из них находились во владении уже 2–3 года. Однако проблемы начались, когда «Рег.ру» потребовал расширенные персональные данные, выходящие за рамки не только оферты и иных договорных обязательств, но и самого законодательства РФ. В частности, у меня запросили копии всех страниц паспорта, включая информацию о семейном положении, детях и других личных данных, которые не имеют отношения к регистрации доменов.
3) Попытка урегулирования (скриншоты в конце)
В ответ на требование о верификации я направил компании разъяснение, в котором указал, что готов предоставить персональные данные в пределах, предусмотренных законодательством РФ и заключенным договором. В частности, я отказался передавать копии страниц паспорта, содержащие сведения о семейном положении, детях и других данных, не относящихся к идентификации клиента. Я уведомил «Рег.ру» о том, что их требования незаконны, а также я сообщил, что ПО включено в реестр отечественного ПО РФ, и что подобные действия создают препятствия для его работы. Кроме того, я запросил документальное обоснование необходимости такого сбора, а также объяснение целей и методов обработки этих данных.
Сложность ситуации усугубил еще и тот факт, что 30 августа 2024 года выпало на пятницу. Сотрудники Рег.ру заблокировали домены и спокойно ушли на выходные, это обычная практика у «лидера» среди регистраторов доменных имен. Ответ от компании поступил только 2 сентября, на третий день блокировки.
В ответ на мой отказ предоставить избыточные данные сотрудники «Рег.ру» продолжили настаивать на передаче полного комплекта документов, направлять мне формальные отписки, утверждая, что их действия соответствуют законодательству РФ, но не предоставляя ссылок на конкретные нормы права и честно говоря, общаясь абсолютно без ориентации на клиента, максимально непрофессионально. Цитата на мое требования предоставить обоснование сбора таких данных:
Все рекомендации для прохождения идентификации были предоставлены вам ранее.
Кроме того, хочу отметить, что компания «Рег.ру» неоднократно получала персональные данные, подписанные электронной цифровой подписью (ЭЦП) владельца данных, что исключает возможность недостоверности предоставленных сведений. Полученные «Рег.ру» данные логически легко подтверждаются с данными, содержащимися в реестре программного обеспечения.
4) Переписка с руководством
После нескольких дней бесполезной переписки с технической поддержкой и юридическим отделом «Рег.ру» я попытался напрямую выйти на руководство компании. Через общие контакты мне удалось получить личный Telegram генерального директора «Рег.ру» Кузьмичёва Андрея Юрьевича. Я направил ему детальное описание ситуации, включая все юридические обоснования неправомерности их действий.
Генеральный директор изначально проявил заинтересованность и запросил номер обращения в системе поддержки, однако после предоставления этой информации прекратил общение и проигнорировал дальнейшие сообщения, в том числе касающиеся ответа Роскомнадзора.
5) Вынужденная передача данных
На момент четвёртого дня блокировки ситуация стала критической: как было сказано ранее, программное обеспечение находилось на стадии тестирования и внедрения в одной из организаций партнеров, и дальнейшее ожидание в попытках юридически оспорить действия ООО «Рег.ру» ставило под угрозу его судьбу. Репутационный ущерб уже был нанесён, а задержка могла привести к еще более серьёзным последствиям.
В сложившихся обстоятельствах я принял решение направить компании требуемые данные, сопроводив их официальным заявлением. В обращении я чётко указал, что не предоставляю и не предоставлял согласия на обработку запрашиваемых персональных данных, а их передача осуществляется исключительно под давлением, в условиях шантажа и ультиматума, что прямо нарушает нормы действующего законодательства. В завершение сообщения, учитывая накопившееся за эти четыре дня напряжение, я позволил себе резкость в формулировках — и ни капли об этом не жалею.
После получения zip-архива с запрашиваемыми данными ООО «Рег.ру» провело их неправомерную проверку, так как не имело оснований ни на их запрос, ни на их обработку, после чего домены были разблокированы. Постепенно заработало ПО и все сопутствующие сервисы (хотя обновление DNS-записей может длиться до 72 часов).
6) Обращение в Роскомнадзор
После многочисленных попыток урегулировать вопрос непосредственно с Рег.ру, включая общение с генеральным директором, мной было подано три обращения в Роскомнадзор. Первые два обращения были проигнорированы ведомством, однако третье обращение инициировало полноценное разбирательство.
29 января 2025 года Управление Роскомнадзора по Центральному федеральному округу направило мне официальный ответ №5893-02-11/77, в котором указало, что у ООО «Рег.ру» отсутствовали законные основания для запроса копий всех страниц паспорта. Ведомство обязало компанию привести свою деятельность в соответствие с требованиями законодательства.
Как уже сообщалось Вам ранее, Управлением в адрес ООО «Регистратор доменных имен РЕГ.РУ» (далее – Общество) направлен запрос о представлении информации по существу доводов Вашего обращения.
В установленный ч. 4 ст. 20 Закона срок Общество представило ответ на запрос Управления. Ответ от Общества в Управление поступил, но при этом факт наличия правовых оснований сбора копий всех страниц паспорта не был подтвержден.
Исходя из изложенного, Управление приходит к выводу об отсутствии у Общества правовых оснований сбора копий всех страниц паспорта.
В связи с чем, Управлением направлено в адрес Общества требование о приведении своей деятельности в соответствие с требованиями законодательства Российской Федерации в области персональных данных. Исполнение требования поставлено на контроль Управления.
Ответ Роскомнадзора был отправлен в юридическую поддержку Рег.ру и проигнорирован что в моем понимании подтверждает тот факт, что компания осознает незаконность своих действий, но предпочитает игнорировать обращения пользователей и предписания надзорных органов, рассчитывая, что большинство пострадавших клиентов не пойдут дальше и не доведут дело до суда. Хотя, признаюсь откровенно, мое сообщение далеко не отличалось официальным тоном и скорее напоминало те, что часто приходят от самой компании Рег.ру — бессмысленные и раздражающие с ноткой злорадства и угроз (естественно в рамках закона, по типу подачи группового иска).
7) Подача иска и заключение для текущей статьи (вероятно будет продолжение).
В соответствии с выводом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), я намерен подать иск в суд по следующим основаниям:
Нарушение условий договора со стороны регистратора.
Незаконный сбор и обработка персональных данных.
Принуждение к передаче персональных данных путем введения ограничений на использование приобретенных услуг.
Моральная компенсация за понесенный моральный ущерб и ущерб репутации.
Дополнительно, я хочу инициировать подачу именно коллективного иска от всех пострадавших пользователей, которые столкнулись с аналогичными нарушениями со стороны компании «Рег.ру», если таковые наберутся. Судебные расходы по делу я беру на себя.
Если вы также стали жертвой требования о предоставлении избыточных персональных данных или других незаконных действий со стороны компании «Рег.ру», присоединяйтесь к коллективному иску. Контактный адрес: class_action_regru@bk.ru.
Я буду благодарен всем редакторам и пользователям, которые распространит данную информацию, а также благодарю всех, кто дочитал до конца.