19.10.2008

О сапожниках без сапог

Все, наверное, помнят шум о конференции по персданным, которая проходила 24 сентября. Там выступало много компаний и организаций, которые предлагали свои продукты и услуги в части выполнения ФЗ-152. И я подумал, если все так упоительно поют дифирамбы требованиям ФЗ и считают их давно назревшими, то сколько компаний, из выступавших на конференции, сами являются зарегистрированными операторами персданных? Насколько эти компании понимают, ЧТО они советуют своим потенциальным заказчикам.

Список выступавших немаленький - среди них российские и западные компании, коммерческие и государственные структуры. В этот список можно добавить и множество других компаний, которые активно продвигают себя на данном рынке.

Затем я зашел на сайт Россвязькомнадзора и по реестру операторов персданных осуществил поиск. Вы, наверное, уже догадались о результате... Из большого перечня организаций только ИнфоТехноПроект имеет статус оператора персданных. Ни одна другая компания, которая так много говорит о необходимости выполнения Федерального закона №152 сама не выполняет требований, о которых ратует ;-)

Что не может не вызывать вопросов, так это тот факт, что и ни один из регуляторов персданных не зарегистрировался как оператор ПДн - ни ФСТЭК, ни ФСБ, ни Минкомсвязь. В реестре есть Россвязьохранкультуры (но не Россвязькомнадзор).

"И эти люди запрещают мне ковыряться в носу" (с) не помню чей

89 коммент.:

e1am0 комментирует...

а если ты обрабатываешь перс.данные только своих сотрудников в соответствии с трудовым законодательством, разве нужно заявку подавать?

Алексей Лукацкий комментирует...

Если своих сотрудников, то не нужно. А к чему ты это? Я называл компании, которые работают с посторонними людьми.

e1am0 комментирует...

мне показалось, что не все там работают с посторонними людьми. ну да ладно, думаю этот факт свидетельствует не только о необязательности выполнения закона, но и о непонятности закона тоже ))

b-oberon комментирует...

Алексей, позвольте узнать, какие данные посторонних людей обрабатывает, например, НПО Эшелон?

oldman sysadmin комментирует...

Алексей! Откуда у продвигающих компаний есть обработка персональных данных субъектов персональных данных, кроме своих сотрудников? Озвучьте источник информации плиз.

Анонимный комментирует...

Доброго времени суток, Алексей!

"ИнфоТехноПроект, Oracle СНГ, Гротек, УК "Металлоинвест", ИВК, Министерство обороны, Россвязькомнадзор, ФСБ, ФСТЭК, Росинформтехнологии... НПО Эшелон, Информзащиту, Диалог-Науку, Элвис+, НПП ИТБ..."

Ну насколько мне известно только ИнфоТехноПроект имеет собственное кадровое агенство и всеми ногами и руками вляпывается под требования об уведомлении. Что касается остальных, то они разве что по программам лояльности(т.н. CRM и тп) могут попасть под эти требования. И то спокойно отмазываются п.2,4,5 в ст.22 ч.2, а именно договорными отношениями и их условиями.
Само по себе уведомление об "операторстве" даже по словам регуляторов не сильно-то кому нужно, особенно в свете отсутствия ответственности за это. Короче, чисто формальное требование. Идея в том что уведомление не первично, первична организация соответствующего уровня защиты, нетехнической и технической, а вот за это драть могут уже сейчас.
Интересно, кстати что группу по разработке закона возглавлял мелкософтовский юрист Якушев
http://www.privacy-journal.ru/temanomera.html. Т.е. я не против, они ребята грамотные, но то ли их торопили, то ли одно из двух...

С уважением,
Иван

Алексей Лукацкий комментирует...

b-oberon'у: Эшелон, например, на странице контаков (http://www.npo-echelon.ru/about/contacts.php) собирает персданные. И так делает большинство упомянутых компаний.

oldman sysadmin'у: Они работают с клиентами, а при заключении договора у вас, как минимум, персданные того, с кем вы заключаете договор, в договоре фигурирует. Отсылка меня к ст.22.2 здесь не подходит, т.к. в договорах Эшелона я не видел пункта про то, что субъект ПДн согласен с тем, что его ПДн будут переданы третьим лицам (налоговой, например).

анонимному: На этапе подготовки законопроекта Якушев еще в Минсвязи работал, если я ничего не путаю.

Но дело даже не в этом, а в том, что все рассказывают КАК НАДО, но никто сам эту процедуру не проходил ;-(

Иван Клименко комментирует...

Добрый день, Алексей!
1. "..http://www.npo-echelon.ru/about/contacts.php) собирает персданные.."
Верифицируемость таких данных равна 0, причём как в буквальном так и в юридическом смысле т.е. доказательств того, что оставлял какие то данные тот или иной конкретный гражданин нет ни одного. Более того под определение персданных не попадает. Вспоминаем определение - информация, однозначно определяющая конкретного человека (если коротко).. Того набора, который они запрашивают для этого явно не хватает. Т.е. в лучшем случае это общедоступные персданные (хотя бы на том основании, что интернет это в терминах закона "сеть общего доступа".. хотя и это не обязательно - достаточно не соответствия определению).
Кстати, Министерство обороны, Россвязькомнадзор, ФСБ, ФСТЭК просто не обязаны этого делать по закону, хотя ради приличия ну и просто, чтобы как то популиризовать закон, могли бы и уведомить. Сапожниками без сапог они стали ещё 26 июля 2006 года, законом освободив себя от таких обязанностей.

2. Якушев до и после я так понял работал на мелких и мягких. http://www.peoples.ru/state/lawyers/michail_yakushev/index.html Я собсно тому и удивляюсь, что такой закон родили.. Вроде замечательные люди руки приложили.

3. про КАК НАДО.
Пока не надо никак. Пока весь пакет документации не готов. Нет административного регламента и статей КоАП, а без этого составлять нормальные сметы по ИБ не получится. Не понятно, чем рискуешь, а ведь ИБ это прежде всего управление рисками. Из того, что готово, многого не сделаешь. Осталось недельку подождать посмотреть как 687ПП госорганы выполнят.. По идее гриф должен появиться, будет тогда счастье на предмет бумажек и других материальных носителей (ГОСТ 28388—89 хороший документ)... Может до НГ появятся документы для сертификации, а пока их нет, можно лишь на свой страх и риск аттестовывать по 1Д(2Б,3Б), что означает соответствие лишь СТР-К, а не документам ФСТЭК по персданным.
В общем получается, что "как надо" - вопрос пока ещё более риторический, нежели практический. Но время есть, смотреть бум..

С уважением,
Иван

oldman sysadmin комментирует...

Алексей!
При заключении договора между юридическими лицами передаются персональные данные руководителей или представителей юридических лиц. Передаваемая информация передается для исполнения Федерального закона (Гражданского кодекса) и настоящего договора. С учетом выше изложенного каждая из сторон не обязана регистрироваться как оператор персональных данных.
Также замечу, что данный ресурс тоже нарушает законодательство РФ, поскольку не зарегистрирован как электронный СМИ.
Ивану Клиенко: Аттестация по 1Д для ИСПДН 1 и 2 класса некорректна, поскольку ссылка на СТР-К работает до принятие федерального закона 152-ФЗ.
В данном случае корректно относить совокупность информации как персональные данные и служебную тайну
С Уважением

b-oberon комментирует...

Алексей, на странице контактов НПО Эшелон из того, что может попасть под перс. данные - только имя. Имя никоим образом не позволяет идентифицировать конкретного человека (если не согласны - попробуйте для записей в своей телефонной книге использовать только имена).

Для обработки перс. данных сотрудников уведомление не обязательно (п.2.1 ст.22).

По поводу договоров с клиентами - во-первых, это чаще всего общедоступная информация (п.2.4 ст.22), публикуемая при объявлении тендеров и конкурсов. Во-вторых, договор заключается и хранится в бумажном виде, что формально не подпадает под действие Закона в соответствии со ст.1 (также см. п.2.8 ст.22). Кроме того, договоры обычно начинаются с фразы "Фирма такая-то в лице такого-то и фирма такая-то в лице такого-то..." - могу ссылаться, что договор заключен с фирмой, но в лице субъекта перс. данных (п.2.2 ст.22). Ну и, наконец, п.2.5 ст.22 - с натяжкой, но проходит.

PS Перс. данные клиентов в налоговую не предоставляются.

Иван Клименко комментирует...

Уважаемый oldman sysadmin!

Прошу внимательней фамилию перепечатывать.. Просто хоть и общедоступные персданные, но нарушение целостности на мой взгляд не допустимо)..
Что касается аттестации и вашей поправки, то я говорил ссылаясь на регулятора с гротековской конференции.. Ессно, никто под такими глупыми мыслями не подписывался и я специально отметил, что "..лишь на свой страх и риск аттестовывать по 1Д(2Б,3Б), что означает соответствие лишь СТР-К, а не документам ФСТЭК по персданным". Перевожу - делать не имеет смысла.

С уважением,
Иван

Алексей Лукацкий комментирует...

Иван Клименко: Согласно ФЗ персданные - это "любая информация об определенном или поддающемся определению физическом лице (субъект данных)". ФИО и почта уже однозначно идентифицируют субъекта. Если сюда еще приплюсовать телефон и компанию, то вероятность ошибки практически сведена к нулю.

А давно у нас ФСТЭК, МО и т.п. перестали быть федеральными органами государственной власти?

Что касается СТР-К, то все просто... По мнению ФСТЭК (!) СТР-К - это базовый документ по защите любой конфиденциальной информации. А документы по ПДн ориентированы на защиту КОНКРЕТНОГО вида конфиденциальной информации. Отдельные требования есть для коммерческой тайны; отдельные - по КСИИ. Это ИХ точка зрения и так они и будут делать. Не говоря уже о том, что это логично (хотя и реализовано через одно место).

Алексей Лукацкий комментирует...

oldman sysadmin'у: Посмотрите подраздел 2 п.2 ст.22. Там написано "не предоставляются третьим лицам без согласия субъекта персональных данных". Вот если бы в договоре Эшелона появился раздел про согласие субъекта ПДн на передачу его ПДн конкретным (а не просто кому-то) третьим лицам, то вы были бы правы.

Насчет данного ресурса. Он вообще не подчиняется российским законам - это западная площадка, зарегистрированная за американскую компанию ;-)

Алексей Лукацкий комментирует...

b-oberon'у: Посмотрите мой ответ Ивану и oldman'у. Там как раз все четко. А договор вы ОБЯЗАНЫ предоставить при проверках. Кроме того вы пытаетесь трактовать закон (как и я, правда). Но я его трактую дословно, а вы самовольно ;-) Ведь в законе нигде нет ссылок на то, от чьъего имени можно, а от чьего имени нельзя договор заключать. Является это ПДн или нет и т.п.

Иван Клименко комментирует...

to oldman sysadmin

Если можно в студию внятное объяснение почему "..ссылка на СТР-К работает до принятия федерального закона 152-ФЗ..", а после выпуска такового не работает. Желательно, в каком НД сказано, что СТР-К отменён или не применим по отношению к персданным.

Есть мнение, что не найдёте вы такого объяснения. Хотя бы по той причине, что СТР-К касаются конфиденциальной информации вообще (там кстати и определение КИ есть), а персональные есть часть КИ по перечню 1997 года. Проблема их с документами ФСТЭК совмещения только в терминологии, например любимый всеми интеграторами пункт 5.1.7 СТР-К говорит лишь об автоматизированных системах, в то время как 781ПП говорит об информационных системах. И таких примеров масса. Здесь проблема. Но что СТР-К нельзя применять в ПДн это ерунда. Очень даже можно.

В общем маленько мы друг друга не поняли. Предлагаю указанные документы перечитать.. Благо на форуме itsec.ru документы есть..


Алексею Лукацкому
Что касаемо
"Согласно ФЗ персданные - это "любая информация об определенном или поддающемся определению физическом лице (субъект данных)". ФИО и почта уже однозначно идентифицируют субъекта. Если сюда еще приплюсовать телефон и компанию, то вероятность ошибки практически сведена к нулю."

Я могу допустить, конечно, что беседует с нами тут именно Алексей Лукацкий, но, честно говоря, юридическим доказательством вашей подлинности наличие лишь в подписи вашей ФИ, и с тем же успехом это может быть и клон пользующийся вашим добрым именем. Надеюсь я действительно беседую с тем, с кем хотел бы, но верифицировать я это не могу с точностью 100%. Тем не менее я надеюсь, что отвечающий тут хозяин блога и есть Алексей Лукацкий.
Собсно, я к тому что Интернет - территория доверия. Сервер доверяет клиенту, клиент - серверу, не доверяешь - не пишешь, не оставляешь, не общаешься. Закон 152ФЗ по большому счёту инета не касается, по крайней мере его публичные формы (как предложенный вами линк). Его касаются другие более жёсткие законы..

Указанные органы относятся к органам правопорядка и работают по другим правилам. Хотя я уже сказал, что могли бы и уведомить просто из популистских соображений. Сутра будет закон под рукой - найду дословно.

Не совсем понял, зачем вы меня про СТР-К убеждаете, я то как раз иной от вашей по этому поводу точки зрения и не придерживался. Выше я это уже и написал oldman sysadmin'y. Единственно, нельзя ли конкретную ссылку на общедоступный ресурс, на котором ФСТЭКвский руководитель расписался в том, что вы сказали... про базовый документ и тп... Я то исходил из того, что это логично, а вот мнение ФСТЭК я так и не понял, они как то замяли эту тему на конференции..

С уважением,
Иван

oldman sysadmin комментирует...

Ивану Клименко: Иван приношу Вам свои извинения, что неправильно указал Вашу фаимилия в ответе.
Что касается СТР-К - схожу в режимную библиотеку и посмотрю официальный текст со всеми изменениями. документ имеет пометку ДСП вообще-то и работать с официальными текстами. Результат отпишщу.
Алексею Лукацкому - при проверке догоров сошлемся на гражданский кодекс, 687 постановления правительства и предоставим доуступ к договорам только согласно действующего законодательства проверяющему из ФНС, но вот иностранному акционеру еще подумаю - он сам проводить финансовую проверку не имеет право - у него нет лицензии на финансовый аудит на территории РФ.
Теперь что касается обработки персональных данных - Вы получили визитку человека с деловыми контактами и работаете на территории РФ - почему не зарегистрировались как оператор персональных данных?

Анонимный комментирует...

Что касается того, что обрабатываешь ПД субъектов, с которыми компания связана договорными отношениями - все равно компании приходится подавать сведения в пенсионный фонд, налоговую, соцстрах - а это уже не прописано законом как исключение...
так что добро пожаловать в операторы ПД ;-)

Алексей Лукацкий комментирует...

Иван Клименко: А вы верифицировать меня на 100% не можете даже если я вам паспорт покажу. Нет гарантии, что это паспорт ПОДЛИННЫЙ.

Где в ФЗ-152 написано, что не касается интернета? И где написано, что ФСТЭК является органом правопорядка, а не органом государственной власти или просто госорганом?

А позиция ФСТЭК была озвучена на InfoSecurity.

oldman sysadmin'у: А я беру как визитку, как частное лицо или как представитель компании? Если первое, то на меня ФЗ в этом случае не распространяется. Если второе, то регистрироваться должен работодатель, а не я.

Иван Клименко комментирует...

Алексею Лукацкому

"А вы верифицировать меня на 100% не можете даже если я вам паспорт покажу. Нет гарантии, что это паспорт ПОДЛИННЫЙ"
Насколько я понимаю, вы отталкиваетесь в своей позиции от слова любая из определения
"любая информация об определенном или поддающемся определению физическом лице (субъект данных)".
Я так же понимаю, что последней цитатой вы отсекли вторую часть (поддающемся определению) и настаиваете на первой (любая информация об определенном)..
Я отталкиваюсь от следующего http://www.vseslova.ru/index.php?dictionary=ushakov&word=opredelenniy
где чёрным по белому написано
"Определённый - 1... Прич. страд. прош. вр. от определить. 2. ... Точно, твердо установленный, не подвергающийся изменениям, переменам... 3. ... Точный, ясный, понятный, не оставляющий места сомнениям, колебаниям... 4. ...Явный, очевидный... 5. ...Предполагаемый известным... 6. ... Несомненный, безусловный, бесспорный (разг.)...". Т.е. согласно определению слова определённый (извините за тафтологию), в случае с вашим примером и кучей других (гостевая книга и тп) ведётся сбор неких реквизитов НЕОПРЕДЕЛЁННОГО ЗАРАНЕЕ субъекта персданных, что попадает под определение общедоступных персданных в части добытых из общедоступных источников (с натяжкой),т.к. письменного согласия точно нет и быть не может, хотя по мне так вообще не попадает под определение персданных.
Если же попробывать вернуться ко второй части определения персданных, то имеем проблему верификации, о которой я уже говорил, и проблему проверки подлинности, о которой сказали вы.

"Где в ФЗ-152 написано, что не касается интернета? "
Нигде не написано, что касается. Более того, используется термин "сети общего доступа" т.е. факт произвольного доступа в интернете к опубликованной инфе, а также к средствам обратной связи.. т.е. звонок из телефонной будки например без записи камеры видеоналюдения, отпечатков с трубки и тп никак не может верифицировать звонившего, если он представится, например, Путиным, а на самом деле будет Пупкиным или, действительно Путиным. Более того, если достаточно было бы такой ерунды http://calve.ru/pers.html, то вас бы это устроило? думаю нет. Меня тоже, т.к. юрсилы не имеет, просто маркетинговый ход.

"И где написано, что ФСТЭК является органом правопорядка"...
Нигде, признаю, что был не прав, отнеся их к органам правопорядка. ФСТЭК России является федеральным органом исполнительной власти. Регулятор. И на гротеке, они достаточно ясно дали понять, что их это не касается. Думаю, чтобы тут попусту не бодаться по поводу наших доблестных регуляторов, предлагаю в письменном виде накатать на них в РСКН, благо закон позволяет, и подождать письменного ответа, и вот ответ можно будет обсуждать тогда предметно..

А пока вернусь к началу дискуссии и замечу, что напирать на наличие уведомления не будет никто, во первых потому, что ответственности за отсутствие нет, во вторых если предписание будет то за день готовится и отправляется, в третьих важно обеспечить защиту, а не кричать об этом на всех углах.. И это мнение, которое я слышал от регуляторов в личных беседах. Логика есть, а что ещё надо?

С уважением, Иван.

Анонимный комментирует...

Уважаемый Алексей!
На конференции заместитель начальника управления по ПДн Роскомсвязьнадзора - руководитель отдела по ведению реестра привел следующие данные (не дословно но очень близко): "из присутствующих на конференции 200 организаций только 4 подали уведомления в реестр" и он зачитал наименование этих организаций. ZZubra

Алексей Лукацкий комментирует...

Zubbra: Какие ЭТИ? Перечисленные мной? Но это не так. В реестре их нет.

Иван Клименко: Извини, но когда в форме на сайте указано ФИО, телефон, название компании и e-mail, то это "любая информация об определенном лице". Что не так-то? Не могу понять. И почему эти данные общедоступные? Кто это сказал? И почему этот источник общедоступный?

Что касается того, что "их это не касается" (простите за тавтологию), то это ИХ мнение и я их понимаю. И про себя тоже могу сказать, что меня ФЗ-152 не касается. Но в законе четко сказано, на кого ФЗ-152 распространяется. Там написано "органы государственной власти и государственные органы". Т.е. названные мной ведомства сюда попадают. А они могут говорит, все что угодно. Они считают, что их 4 документа легитимны. А любой юрист скажет, что нет. Но они будут твердить (и твердят) свое. Потому что им это выгодно.

ригель комментирует...

2 Алексей:

Прочитал.
Колеблюсь между подсунуть тебе марктвеновское "чтобы разбираться в омлетах необязательно быть курицей" и "а не считаешь ли ты, что нужно иметь за спиной пару внедрений 27001, чтобы его критиковать?".
Выбери сам, что тебе оптимистичнее кажется.

Алексей Лукацкий комментирует...

Ригелю: Ну я мог бы ответить, что, чтобы быть против наркотиков, не надо их пробовать ;-) Или что я могу себе позволить критиковать, т.к. мои слова не расходятся с делом - я при общении с заказчиками говорю примерно тоже самое. Или что мы сейчас с нашими юристами прорабатываем все вопросы, связанные с ПДн и поэтому я знаю, о чем говорю.

Выбери сам, что тебе больше нравится ;-)

ригель комментирует...

Нельзя ли почетче и на более явном примере с 27001?

Анонимный комментирует...

Zubbra: Какие ЭТИ? Перечисленные мной? Но это не так. В реестре их нет.

Я не помню какие - не интересно. Точно запомнил наш университет ))). Но это факт. ZZubra

Алексей Лукацкий комментирует...

Ну какой же это факт ;-) Это всего лишь трактовка регуляторами документа так, как это ИМ выгодно.

Анонимный комментирует...

Я про факт того, что главный по Реестру озвучил 4 организации из 200 присутствовавших на конференции, которые подали уведомления об обработке. Не верить ему оснований вроде нет ))) Кроме того, его посыл и РЕЗУЛЬТАТ не отличаются от Вашего ))))) ZZubra

Алексей Лукацкий комментирует...

Разница есть ;-) Я назвал только одну компанию. А этот представитель, якобы 4. И я так понял, что оставшиеся 3 - это регуляторы ;-) А это не так.

Анонимный комментирует...

Точно тогда называю еще одну: Курский государственный технический университет. Не регулятор.Так, еще вспомнил: Министерство образования (какое и чего не помню). Так что 2 минимум ))))
ZZubra

Анонимный комментирует...

Доброго времени суток!

Посмотрел тут вашу презентацию на тему реальности всех требований закона о персональных данных на 127 страниц. Возник вопрос про наличие Типовая программа повышения квалификации специалистов по информационной безопасности «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных».
Не сложно сцылку кинуть на неё или выложить при наличии. Очень интересно посмотреть, кто автор, чем отличается от Информзащитовской КП32. Идет подбор заведения для обучения персонала.

Семен.

Алексей Лукацкий комментирует...

ZZubra: Я не спорю, что были те, кто прошел это. Я говорю о том, что те, кто ратуют за защиту ПДн, сами не проходили по этому пути.

Семену: Она отличается тем, что разработана самим ФСТЭКом и утверждена им (а не просто якобы согласована).

Анонимный комментирует...

Доброго времени суток, Алексей!

Вы заявили, что такая программа есть. Вопросы: где есть, видели ли вы её в глаза, есть ли в открытом доступе или также надо как и с СТР-К и 4хкнижьем запрашивать.

Ведь если в ближайшем будущем понадобится получать отдельную лицензию на защиту ПДн, то наверняка там будет требование о наличии обученных сотрудников. Следовательно, надо понимать, насколько соответствуют типовой программе фстэка существующие программы, для упреждения возможных требований...

Что касается уведомления, то мне кажется, что указанные вами структуры, включая государственные, ещё сделают это.. В конце концов мигалки же они в своё время снимали публично)

Семен.

Алексей Лукацкий комментирует...

Семену: Программа есть, но она ДСП. Если вас захотят нагнуть на обучение по ней, то вам скажут, где и как - думаю не стоит раньше времени заниматься дополнительной тратой денег и времени. Пока обученные сотрудники требуются для лицензии на ТЗКИ и достаточно 72 часов курса по программе, утвержденной ФСТЭК, по которым читают многие УЦ (та же упомянутая Информзащита).

А что касается регистрации со стороны регуляторов, то я в это не верю ;-) Если уж ты проповедуешь что-то, то будь добр сам этому следовать. А иначе грош цена тебе/

Олег комментирует...

Уважаемый Алексей!
К сожалению, увидел Вашу эту статью только сейчас. Но очевидно, что ее выводы ошибочны, поскольку основаны на неверной посылке. Согласно дефису 2) ст. 3 ФЗ-152 от 27.07.2006 "оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных".
Совершенно очевидно, что болшинство компаний, упоминаемых в Вашей статье (как-то: Гротек, Диалог, ИВК, Элвис+, Эшелон и т.д., в соответствии с данным определением, не являются операторами персональных данных, а просто занимаются их защитой. Поэтому Ваше сравнение этих предприятий с "сапожниками без сапог" является, по меньшей мере, неправомерным. А поскольку, блог (согласно последним веяниям) являетмя СМИ, то Вам следовало бы, по крайней мере, тут же извиниться перед ними всеми в допущенной неточности. А в дальнейшем, точнее выражать свои мысли.
С уважением
О.А. Беззубцев

Алексей Лукацкий комментирует...

Уважаемый Олег Андреевич!

Вынужден с вами не согласиться, т.к. упомянутые мной компании являются операторами персональных данных по определению, данному в 152-ФЗ.

Вопрос должен быть сформулирован немного иначе. Обязаны ли эти компании, уведомлять РСКН? Если мы говорим о собственных сотрудниках, то уведомление необязательно. Но как быть с ситуациями, когда такая информация передается третьим лицам? Например, Элвис+ страхует своих сотрудников или передает информацию об их зарплате в налоговую и пенсионный фонд? Или Элвис+ организует семинар и приглашает на него своих заказчиков, которые предоставляют свои персональные данные. Все эти случаи требуют уведомления РСКН. Это если следовать закону.

По сути же, я считаю, что прежде чем предлагать кому-то услугу или продукт, желательно их протестировать на себе ;-) Иначе как заказчик может быть уверен, что продавец знает, что предлагает.

Вихорев комментирует...

Уважаемый Алексей. Давайте проблему разобьем на части. (Слона лучше есть по частям).

К проблеме персональных данных нельзя подходить узко, как Вы себе это позволяете. Здесь, впрочем как и везде, при решении комплексной задачи, необходим системный и, главное, взвешенный подход. Безусловно, вопрос ЗАЩИТЫ персональных данных – важнейший, Но соблюдение формальной стороны не менее важно. В связи с этим хотел бы сказать следующее.

Первое. Упомянутые вами Компании, впрочем как и другие, имеют отношения со своими сотрудниками с одной стороны и с внешними представителями с другой. Это ясно. Если Компания обрабатывает ТОЛЬКО персональные данные своих сотрудников – то это, согласно ст. 22.2 пп.2 ФЗ 152, является обработка персональных данных субъектов, которых связывают с оператором трудовые отношения и в этом случае уведомления не требуется. Я думаю, что это не вызывает сомнения. Далее. Компания обязана предоставлять некоторые данные в Пенсионный фонд и Налоговою инспекцию. И это не вызывает сомнения. НО, я Вам советую внимательно просмотреть ст. 86 ТК РФ. и, в частности, пп.1: « Обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения Законов и иных нормативных правовых актов, содействия работника в трудоустройстве ….и пр….» . Предоставление необходимой и строго регламентированной информации в Налоговую службу и Пенсионный фонд является ОБЯЗАТЕЛЬНЫМ исполнением законов и иных нормативных правовых актов, в частности, НК РФ и Закона «О персонифицированном пенсионном учете». Это является ОБЯЗАННЬОСТЬЮ работодателя, с которой, в силу правомочности законов на всей территории России, ОБЯЗАН быть знаком КАЖДЫЙ сотрудник. Таким образом, передача персональных данных в данные органы, даже без отсутствия соответствующего согласия обладателя этих ПДн (читай сотрудника), не является нарушением Закона «О персональных данных». К этому я хотел бы добавить еще один промежуточный вопрос: Вы уверены, что в Копании «ЭЛВИС-ПЛЮС» не приняты меры по защите информации в целом и персональных данных в частности? Если нет, то зачем Вы об этом оповещаете в открытой печати (я думаю, что Вы не будете возражать, что Ваш блог – открытый?)

Втрое. Что касается работы с заказчиками, то, кто Вам сказал, что наша ( или какая либо другая компания) накапливает и обрабатывает информацию об их сотрудниках? Работая более 8 лет в коммерческих структурах могу сказать однозначно: мне еще никто из сотрудников Компании, на все мои запросы не предоставил информацию о своих контактах за последнее время (правильно это или нет – это не предмет не сегодняшнего обсуждения). В этой связи я хотел бы задать Вам вопрос. Можно ли считать сотрудника моей Компании, который ведет учет своих ЛИЧНЫХ контактов оператором персональных данных? Если да, то по каким критериям? В противном случае правомерно применение ст. 2 Закона «О персональных данных», в частности п.2 пп. 1: «. Действие настоящего Федерального закона не распространяется на отношения, возникающие при: 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных…»

Третье и, наверное, последнее. По сути, я, лично, считаю, что каждый имеет право на изложение в открытой прессе своих взглядов и своей точки зрения на те или иные процессы. Более того, если бы Вы обратились лично ко мне или еще к кому-либо с данными вопросами и обсуждали эту проблему в этом кругу – у меня лично не было бы никаких возражений, Но, Вы решили это озвучить в открытой прессе. Это Ваше законное право, но в этом случае, прежде, чем высказывать обвинения или, даже просто высказывания, затрагивающие репутацию любой другой коммерческой компании, целесообразно свериться с УК РФ. В этой связи, я хотел бы обратить Ваше внимание на то, что публикации на Вашем болге практически полностью содержат состав преступления, предусмотренный дефинициями ст. 129 УГ РФ (Клевета), п.2 «Распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию, содержащаяся в публичном выступлении, публичном демонстрирующемся произведении и или СМИ».

С глубоким (действительно глубоким) уважением,

С. В. Вихорев

Алексей Лукацкий комментирует...

Уважаемый Сергей Викторович!

Действительно интересное обсуждение таких непростых вопросов получается.

1. Я не совсем понял из чего вытекает, что передача персональных данных в данные органы, даже без отсутствия соответствующего согласия обладателя этих ПДн (читай сотрудника), не является нарушением Закона «О персональных данных»? Да, это обязанность работодателя. Но никто не говорит, что он должен делать это с нарушением иных законов, например, принятых ПОСЛЕ опубликования ТК, НК и т.п. В ст.4 ФЗ-152 сказано, что нормативные акты не могут содержать положений, ограничивающих права субъектов ПДн. Поэтому работодатель, с момента принятия ФЗ-152, должен получить согласие от сотрудников о направлении их ПДн третьим лицам. По сути, существующее законодательство должно было быть приведено в соответствие с ФЗ-152, но это сделано не было.

2. С чего вы сделали вывод, что я утверждаю, что в Элвис+ не приняты меры по защите? Я таких слов не говорил и не мог сказать. Я всего лишь задал риторический вопрос о том, передаете ли вы данные третьим лицам. Если да, то это выпадает, на мой взгляд, из исключений ст.6 ФЗ-152. И, следовательно, компания, делающая это, является оператором ПДн. А именно это было причиной нашей дискуссии с Олегом Андреевичем, а не то, как Элвис+ защищает свои и чужие тайны.

3. Что касается обработки данных ваших клиентов или иных лиц, то я могу привести вам конкретный пример. Вы организуете семинар и запрашиваете у потенциальных участников их ПДн. Для этого вы используете средства автоматизации - почту или телефон. Вы вносите эти данные в список, который затем сверяете на регистрации участников семинара. Обрабатываете ли вы ПДн в такой ситуации? Я считаю, что да. Следовательно вы являетесь оператором.

4. Что же касается 129-й статьи УК, то хочу заметить, что эта статья говорит только о клевете, направленной на физических лиц. Если уж настаивать на том, что я говорю неправду, да еще и в порочащей форме (чего и в мыслях у меня не было), то этот факт подчиняется ст.152 ГК, т.е. подрыве деловой репутации.

ЗЫ. Еще раз подчеркиваю, что дискуссия идет только о том, кто является оператором, а кто нет; в каких случаях надо уведомлять РСКН, а в каких нет. Я не ставлю под сомнение умение Элвис+ защищать свои и чужие тайны.

Олег комментирует...

Уважаемые коллеги!
Как Вы все сами заметили, вопрос о защите ПД очень непростой. Здесь пока много неопределенного. Вот Алексей полагает, основываясь на тексте закона, что передача любым предприятием данных на своих сотрудником в налоговую инспекцию попадает под определения ФЗ-152. А Сергей Викторович, основываясь также основываясь на текстах российских законодательных актов, считает, что нет. В общем, нормальная и интересная дискуссия.
Все бы хорошо, если не звучали всуе конкретные имена и названия.
Я ведь и призывал Алексея в своем комментарии, толкуя что-любо, быть аккуратнее. Одно дело обсуждение неясных вопросов законодателсьва, а совсем другое обсуждение в свете этих неясностей поведения соседей.
Ведь в части законов окончательное толкование дает суд, но нужно ли до него всегда доводить, вот в чем вопрос?
Я все-таки полагаю, что все неясности законодательства лучше выяснять без указаний на конкретные имена и названия, проведения основанных на личных мнениях пристрастиях параллелий и ассоциаций и т.д.
С уважением
О.А. Беззубцев
P.S. иначе это не научный спор, а просто выяснение личных отношений.
Олег

Алексей Лукацкий комментирует...

Коллеги! Хорошо, я соглашусь с высказанной позицией и удалю из текста заметки конкретные имена компаний.

Вихорев комментирует...

Уважаемый Алексей. Отрадно, что Вы соглашаетесь с высказанной позицией. Но я бы хотел вернуться на шаг назад. В этой связи, отрадно и то, что Вы признаете компетентность упомянутых выше компаний в вопросах защиты информации в целом и ПДн в частности. Судя по ответу на мои комментарии, можно констатировать также и то, что Вы также соглашаетесь с выдвинутым мною тезисом о том, что проблема защиты персональных данных и проблема регистрации операторов персональных данных – суть разные проблемы. Поэтому предлагаю перейти непосредственно к обсуждению положений Закона и вытекающих из этого последствий и оставить в стороне эмоции.

1. Для начала предлагаю рассмотреть вопрос: КОГДА некое гипотетическое лицо становится ОПЕРАТОРОМ ПДн и какие из этого следуют последствия. Позволю себе процитировать Закон, точнее ст. 3 п. 2): «оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Обратите внимание: в определении НЕТ упоминания о какой-либо регистрации оператора. Таким образом, любое гипотетическое лицо, как только организует и начнет обработку ПДн становится оператором ПДн. И для этого не требуется никаких дополнительных действий (в том числе и регистрации). Вы, конечно можете сказать: «Ну и что? Что из этого следует?». А следует из этого многое, в частности, как только некое гипотетическое лицо ПРИНИМАЕТ решение о необходимости обработки ПДн и НАЧИНАЕТ такую обработку оно АВТОМАТИЧЕСКИ подпадает под юрисдикцию самого Закона «О персональных данных» и, в частности, его главы 4. В нашей дискуссии, как мне кажется, наиболее значима, в этой связи, ст. 19. «Меры по обеспечению безопасности персональных данных при их обработке». То есть КАЖДЫЙ оператор ОБЯЗАН выполнить комплекс установленных Правительством РФ мер защиты ПДн как организационных, так и технических (я пока не вдаюсь в содержание этих мер – это выходит за рамки настоящей дискуссии). Обратите внимание, что эта статья пока не требует никакой регистрации самого оператора, но требует исполнения им своих обязательств по защите ПДн. Кого это касается? Да практически всех: от детского садика, где ведется список детей и их родителей с указанием адреса и телефона и консьержа в жилом доме, до серьезных больших компаний, которые ведут работу со многими смежниками, заказчиками, дистрибьюторами и пр. Все они, дружными рядами должны выполнить требования закона по защите ПДн.

2. Далее. Далее вступает в силу ст. 22 этой главы, п.1 которой гласит: «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи». И вот тут-то начинается самое интересное: какие это случаи, предусмотренные частью 2 данной статьи? Я позволю себе немного в сокращенной форме процитировать закон в этой части: «Регистрация оператора ПДн не требуется если оператор обрабатывает ПДн:

a. ПДн субъектов, которые связаны с оператором трудовыми отношениями;
b. ПДн получены в связи с заключением договора с обладателем ПДн;
c. ПДн относятся к членам (участникам) общественного объединения
d. ПДн являются общедоступными;
e. ПДн включают в себя только фамилии, имена и отчества субъектов;
f. ПДн необходимы в целях однократного пропуска на территорию оператора;
g. ПДн включены в ИС ПДн, имеющие в соответствии с федеральными законами статус федеральных АИС, а также в государственные ИС ПДн для защиты безопасности государства и общественного порядка;
h. ПДн обрабатываются без использования средств автоматизации.

И что из этого следует? А следует вот что: ИС Пенсионного фонда и Налоговой инспекции относятся к разряду государственных ИС ПДн, в силу статьи 22. п. 2 пп. 7 Закона, регистрация оператора ПДн при передаче данных в эти системы о начислении пенсий и передаче информации в налоговые органы не требует регистрации оператора ПДн в реестре. Почему?, Да потому, что это самый налоговый учет и персонифицированный учет определяется законодательством РФ (я это уже упоминал ранее, это НК РФ и ФЗ № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

Итак вывод. Некое гипотетическое лицо, обрабатывающее ПДн своих сотрудников и направляющее соответствующие уведомления в Пенсионный фонд и Налоговую инспекцию, работая, при этом, со своими заказчиками в рамках заключенных договоров, однозначно в соответствии со ст.3 является оператором ПДн, обязано принимать меры к защите этой информации, но в соответствии со ст. 22 п. 2 не обязано проходить регистрацию в реестре операторов ПДн.

3. Пошли дальше (а, чем дальше, тем страшнее). Рассмотрим ситуацию, когда организуется конференция и пр. Положим, есть некое гипотетическое лицо, которое хочет провести конференцию. К сожалению, как правило, такое лицо не имеет ни возможности но и прав организовать такую конференцию (Просто-напросто у него в основных видах деятельности в Уставе не прописана такая деятельность и он ей не может заниматься). НО! Это самое гипотетическое лицо может на всех законных основаниях выступить либо спонсором, либо инициатором этой конференции. При этом, никто (в силу закона) не может ему помешать сформировать программу этой конференции и решить вопросы ее идеологической направленности. Однако, это не означает, что это гипотетическое лицо выступает в понимании Закона «О персональных данных» организатором этой самой конференции. Как показывает практика, для организации нанимается некое ТРЕТЬЕ лицо в виде организации, имеющей и соответствующие права и полномочия на организацию таких мероприятий. В этом случае, естественно, это самое третье лицо ОБЯЗАНО быть зарегистрированным в реестре операторов ПДн. Точка. Дальше все идет по накатанной дорожке. Именно это самое третье лицо собирает сведения об участниках и, при необходимости, на основе договора передает эти сведения спонсору. А спонсор, связанный с этой организацией ДОГОВОРНЫМИ обязательствами, в силу ст. 22, п. 2 пп.2) обрабатывает эти данные и использует в своих целях. Правда, при такой постановке вопроса, это самое ТРЕТЬЕ лицо ОБЯЗАНО уведомить участников конференции для каких целей и кому будут переданы собранные ПДн. (Хочу заметить, что меня в этом плане очень порадовал мой автосервис: подписывая в очередной раз заказ-наряд на исполнение неисправностей, я обратил внимание на то. что в договоре, вернее в заказ-наряде, появился отдельный пункт о том, что я даю согласие на то. что мои персональные данные могут быть использованы в маркетинговых исследованиях и в целях рекламы следующими компаниями (далее шел список этих компаний). Вот и все, закон соблюден.)

Вывод. Существуют и правовые механизмы и нормы, регулирующие отношения с третьими лицами, являющимися операторами ПДН. Надо их правильно использовать.

4. Теперь по поводу УК РФ. (Это уже немного личное.) Ссылка на ст. 152 ГК РФ – это, конечно правильно, Но. ГК не УСТАНАВЛИВАЕТ меры ответственности, а только декларирует ПРАВО каждого отстаивать право за защиту своего достоинства, чести и деловой репутации, относя всю процедуру к Суду. А вот когда Вы приходите в суд, встает вопрос по какой статье требовать сатисфакции. И вот тут то и появляется злополучная ст. 129 УК РФ. Кстати, в дефиниции этой статьи нигде не сказано, что под «лицом», которому нанесен вред, понимается исключительно «физическое лицо». Поэтому эта статья применима и к юридическим лицам о чем, кстати, свидетельствует и судебная практика.

С уважением,
С. Вихорев

Анонимный комментирует...

С интересом прочитал коментарии и обсуждение.
Ну во первых, хочется сказать, что состав ст. 129 ГК РФ как-то не усматривается в данных постах :)

Впрочем вернемся к теме.
К персональным данным по 152-ФЗ можно отнести любую информацию (не будем забывать что по закону об Информации информация это сведения) об физическом лице.
Исходя из ст. 1 152-ФЗ становится видно, что данный закон расспространяет свое действие на ОБРАБОТКУ персональных данных которая вклучает в себя действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
п. 2. ст. 22 152-ФЗ установленны случаи при которых обератор вправе не уведомлять уполномоченный орган по обработке данных. Данный список носит исчерпывающий характер.
Соответственно относительно каждой конкретной организации, нужно смотреть поподают ли действия организации по обрабоке персональных данных под это исключение или нет.

Анонимный комментирует...

Прошу прощения описался..
Конечно 129 УК РФ.

Давайте обратимся к первоисточнику.
"Статья 129. Клевета
1. Клевета, то есть распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию, -"

1 что следует из диспозиции данной статьи, то что при предъявлении обвинения должно быть доказаны следующие моменты:
1. Сведения должны порочить честь и достоинства дрцугого лица или подрывать его репутацию.
2. Сведения должны быть ЗАВЕДОМО ЛОЖНЫЕ

Что например мной не усматривается в постах выше..
Так же не будем забывать, что любой участник обсуждения вправе высказывать свое мнение, которое является оценочным мнением.
О чем например прямо говорится в

п. 9. ЛЕНУМ ВЕРХОВНОГО СУДА РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЯ т 24 февраля 2005 г. N 3
О СУДЕБНОЙ ПРАКТИКЕ ПО ДЕЛАМ
О ЗАЩИТЕ ЧЕСТИ И ДОСТОИНСТВА ГРАЖДАН,
А ТАКЖЕ ДЕЛОВОЙ РЕПУТАЦИИ ГРАЖДАН
И ЮРИДИЧЕСКИХ ЛИЦ

В силу пункта 1 статьи 152 Гражданского кодекса Российской Федерации обязанность доказывать соответствие действительности распространенных сведений лежит на ответчике. Истец обязан доказать факт распространения сведений лицом, к которому предъявлен иск, а также порочащий характер этих сведений.
Вместе с тем исходя из пункта 3 названной статьи в случае, когда гражданином, в отношении которого средством массовой информации опубликованы соответствующие действительности сведения, ущемляющие его права и охраняемые законом интересы, оспаривается отказ редакции средства массовой информации опубликовать его ответ на данную публикацию, истец обязан доказать, что распространенные сведения ущемляют его права и охраняемые законом интересы.
В соответствии со статьей 10 Конвенции о защите прав человека и основных свобод и статьей 29 Конституции Российской Федерации, гарантирующими каждому право на свободу мысли и слова, а также на свободу массовой информации, позицией Европейского Суда по правам человека при рассмотрении дел о защите чести, достоинства и деловой репутации судам следует различать имеющие место утверждения о фактах, соответствие действительности которых можно проверить, и оценочные суждения, мнения, убеждения, которые не являются предметом судебной защиты в порядке статьи 152 Гражданского кодекса Российской Федерации, поскольку, являясь выражением субъективного мнения и взглядов ответчика, не могут быть проверены на предмет соответствия их действительности.
Судам следует иметь в виду, что в соответствии со статьями 3 и 4 Декларации о свободе политической дискуссии в СМИ, принятой 12 февраля 2004 г. на 872-м заседании Комитета Министров Совета Европы, политические деятели, стремящиеся заручиться общественным мнением, тем самым соглашаются стать объектом общественной политической дискуссии и критики в СМИ. Государственные должностные лица могут быть подвергнуты критике в СМИ в отношении того, как они исполняют свои обязанности, поскольку это необходимо для обеспечения гласного и ответственного исполнения ими своих полномочий.
Лицо, которое полагает, что высказанное оценочное суждение или мнение, распространенное в средствах массовой информации, затрагивает его права и законные интересы, может использовать предоставленное ему пунктом 3 статьи 152 Гражданского кодекса Российской Федерации и статьей 46 Закона Российской Федерации "О средствах массовой информации" право на ответ, комментарий, реплику в том же средстве массовой информации в целях обоснования несостоятельности распространенных суждений, предложив их иную оценку.
Если субъективное мнение было высказано в оскорбительной форме, унижающей честь, достоинство или деловую репутацию истца, на ответчика может быть возложена обязанность компенсации морального вреда, причиненного истцу оскорблением (статья 130 Уголовного кодекса Российской Федерации, статьи 150, 151 Гражданского кодекса Российской Федерации).


Эо если мы конечно не берем дзаказные дела, до чего вы надеюсь не опуститесь:)

С уважением,
Гальченко Павел.

Алексей Лукацкий комментирует...

Уважаемый Сергей Викторович!

Мы с вами немного ушли от темы, т.к. изначально Олег Андреевич писал, что упомянутые мной компании НЕ ЯВЛЯЮТСЯ операторами ПДн. Теперь мы пришли к тому, что они являются таковыми. Собственно на этом можно было бы и закончить дискуссию, но мы ее решили продолжить и перейти к вопросу, когда должны ли упомянутые ранее компании уведомлять РСКН или нет.

Я соглашусь с описанием ситуации про Пенсионный Фонд и налоговую. Но есть еще примеры, когда упомянутые мной компании заключают договора с коммерческими организациями на предоставление услуг сотрудникам. Например, перевод зарплаты на карточку или медицинская страховка. В этом случае работодатель передает ПДн третьим лицам и этот факт не подпадает под действие исключений из ст.22. Т.е. упомянутые мной ранее компании ОБЯЗАНЫ сообщить о себе в РСКН.

Далее. Переходим к рассмотрению ситуации с организацией мероприятий. Теоретически вы правы. Еще раз подчеркну - теоретически. Но на практике семинары (не очень крупные мероприятия) организуются немного иным способом. Т.к. мы решили не называть имен, то я сошлюсь на компанию "имярек" из ранее упомянутого списка, которая не далее как в марте прошлого года (уже после вступления ФЗ-152 в силу) пригласила сотрудников нашей компании для участия в загородном круглом столе по ИБ для крупного заказчика. Среди прочего мы должны были представить ФИО участников, контактные данные, номера автомобилей и т.п. Является ли это сбором и обработкой ПДн? Безусловно. Попадает ли данный факт в исключения по ст.22? Нет. Была ли зарегистрирована данная компания в реестре РСКН? Нет.

malotavr комментирует...

Для разнообразия соглашусь с оценкой Сергея Викторовича о необязательности уведомления для большинства компаний.

Пример из моей практики - банк. Работа с физ. лицами осуществляется по договорам с ними, за исключением валютно-обменных операций. Никакой договор клиентом в обменнике не подписывается, хотя паспортные данные обрабатываются.

Заключение юр. службы банка: при обработке ПД в рамках валютно-обменных операциях получение согласия на обработку ПД и отправка уведомления не требуются. Основание: операция обмена валюты - двусторонняя сделка (т.е. договор) между банком и субъектом персональных данных, совершенная в устной форме. Поскольку ФЗ 152 не ограничивает форму договора, в этом случае обработка ПД попадает в исключения, предусмотренные статьями 6 и 22 ФЗ.

Насчет организации конференций Сергей Викторович чуток поторопился - от организатора конференции, кто бы им ни был, не требуется ни уведомление, ни согласие по той же самой причине. Организатор конференции направляет вам предложение поучаствовать в конференции, в котором обговаривает существенные условия участия в конференции (включая публикацию списка участников с их регалиями) и условия принятия этого предложения (отправка заявки с ПД участника). Отправив заявку, вы заключаете с организатором договор, условия которого оговорены в предложении. Обработка ПД в целях исполнения этого договора - те же самые исключения. Согла

Ну а насчет клеветы Сергей Викторович, разумеется, погорячился.

Алексей Лукацкий комментирует...

malotavr'у: Боюсь, что ты слишком свободно трактуешь понятие оферты для сценария "конференция" ;-) Если так дальше пойдет, то почти любое общение двух лиц можно подогнать под это определение. Хотя для заказчиков это очень хорошо - можно забить на многие требования ФЗ-152.

Вихорев комментирует...

Алексей. Можно, конечно считать, что Вы меня «уели» с медстраховкой и зарплатными картами, но позволю себе заметить, что в этой ситуации любая компания ТОЛЬКО платит за сотрудника. Я не заключаю договор со своей компанией о медстраховке и о получении денег на карту, а основанием взаимоотношений между сотрудником и медицинским учреждением или банком является страховой полис или договор, то есть форма гражданско-правового договора, пусть и специфическая. По крайней мере у нас в Компании именно так: я подписываю соответствующий договор с банком или страховой компанией, а моя Компания только платит за это потому что я такой хороший (или плохой, без разницы). Тогда получается, что и я и моя компания вступили в договорные отношения со страховщиком и банком: компания гарантирует оплату договора, а я пользуюсь его благами (при этом я выступаю выгодоприобретателем в понимании ГК РФ). В данном случае оператором ПДн выступает именно банк или страховщик, а меня с ним связывают договорные отношения, то есть чистая ст. 22 п. 2., пп. 2) и еще ст. 10, п. 2., пп.3).

Теперь по поводу проведения семинара. Безусловно, то, что Вы дали свои ПДн – это факт их обработки. Вопрос в другом (именно на это я обращал свое внимание ранее): КОМУ Вы выдали эти ПДн? Я так понимаю, той самой организации, которая арендовала это самое загородное помещение и организовала Ваше прибытие туда (то есть пропуск на территорию и проживание, если таковое было). Вот эта-то организация и является в данном случае оператором ПДн, которая опять-таки на договорной основе и при уведомлении обладателя ПДн, может передать скопившиеся данные для использования некоему третьему лицу. При этом вступает в силу ст. 7, п. 1. («Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных …»). Вот, собственно и все.

Мне кажется, что эта дискуссия все-таки определила рамки, когда оператор ПДн, выполняя все требования по защите ПДн, обязан пройти регистрацию в Реестре операторов. Нам практике получается, что далеко не все операторы обязаны проходить эту процедуру….

И немного в ответ г-ну ГАЛЬЧЕНКО. (Пусть и не совсем по теме болга)

Уважаемый Павел. Дискуссия немного уходит в сторону, но я не могу не ответить. Я не считаю себя специалистом в уголовном праве и могу где-то ошибаться, но, позволю себе заметить, что Ваши ссылки на п. 9. Постановления Пленума Верховного Суда РФ от 24.02. 2005 г. № 3 «О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридических лиц» справедливы именно для правоприменительной практики ст. 152 ГК РФ. Дело в том, что в гражданском праве существует правило: бремя доказательства лежит на истце. Я же в своих комментариях применяю ссылку на ст. 129 УК РФ. А это совсем другая песня. Согласно ст. 21 УПК РФ, уголовное преследование от имени государства по уголовным делам публичного и частично-публичного обвинения осуществляет прокурор, а так же следователь и дознаватель. При этом, именно эти лица в случае обнаружения признаков преступления, обязаны принять меры по установлению события и изобличению виновных лиц. То есть, бремя доказательства в этом случае лежит не истце, а на органах дознания и прокуроре. Это первое.

Второе. В комментариях к ст. 129 УК РФ, подготовленных под редакцией профессора Ю. И. Скуратова и Председателя ВС РФ В. М. Лебедева мы читаем: «Честь, достоинство и репутация взаимно связаны, характеризуют личность, неотделимы от нее, и составляют важнейшее духовное богатство. Вместе с этим, честь, достоинство и репутация отражают определенные социальные отношения между гражданином и обществом, а поэтому, имеют большое общественное значение и охраняются, в том числе и уголовным правом». И далее: «Клевета выражается в активном действии, связанном с распространением заведомо ложных сведений, то есть сведений, не соответствующих действительности. При этом, под порочащими сведениями принято понимать сведения, которые умаляют честь и достоинство, подрывают репутацию в обществе. Эти сведения должны касаться фактов, но представлять собой оценочные суждения. Данное преступление является оконченным, если ложные сведения распространены в любой форме». Так что вся задача сводится к доказательству того, что некие сведения могут нанести ущерб репутации, а факт распространения – и так на лицо. Думаю, что это может доказать любой прокурор.

С. Вихорев

Алексей Лукацкий комментирует...

Сергей Викторович, наверное, в вашем случае действительно страховка и банковская карта не попадают в мой сценарий. Но в списке были компании, которые в этот список попадают на 100%.

Что же касается семинара, то компания из списка, которая занимается ИБ, и есть тот самый организатор. И именно она у меня спрашивала персональные данные. То, что она не может устраивать такие мероприятия, это неприятно и нарушение. Но это не освобождает ее от выполнения ФЗ-152. И опять же я не могу понять, почему оператор не должен в этих случаях уведомлять РСКН? То, что он должен обеспечить конфиденциальность, это понятно. Как и понятно требование уведомить субъекта ПДн. Но это требование не заменяет и не отменяет ст.22,

Мне кажется мы старательно пытаемся уйти от требования уведомлять РСКН. Хотя правильнее признать, что это требование есть и ситуаций, когда его надо выполнять немало (и описанные выше попадают туда же). Неудобное требование? Безусловно. Но многие требования в ИБ неудобны.

Алексей Лукацкий комментирует...

malotavr'у: Насчет сделок. Т.к. мы имеем сделку между юр.лицом и гражданином, то согласно ст.161 ГК такая сделка должна быть в простой письменной форме.

Согласно 434-й статье ГК такой договор может быть заключен в виде обмена документами посредством электронной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. А вот тут есть два тонких момента. Во-первых, e-mail (без согласованного сторонами механизма использования ЭЦП) не является механизмом, позволяющим достверно установить адресата. Любой эксперт по ИБ в суде это подтвердит. А, во-вторых, по e-mail, судя по статье, должен быть передан документ. Я не уверен, что текст письма e-mail является документом. А закон "Об электронном документе" у нас пока не принят.

Что скажешь?

Вихорев комментирует...

Алексей! Полностью поддрживаю Вас в этом вопрсое. Действительно, существует много ситуаций, когда компания ДОЛЖНА быть зарегистрирована как оператор ПДн, НО есть еще больше случаев, когда этого делать не надо (в каждои конкретном случае надо разбираться индивидуально). Наша сила (я мею ввиду консультантов по ИБ) состоит именно с в том, что зная законы, мы можем квалифицированно ответить на вопрос: надо ли регистрироваться. Думаю, что сегодня, к глубокому сожалению, не все готовы к трактовке закона.
Мы не стараемся уйти от небходимости регистрации. Но, понимая, что это при всей простоте, достаточно тсложная процедура, ищем пути свести этот процесс к минму.
Тепрерь Ваш случай с проведением семинара. Давайте стоять на позициях закона, а не на свих соображениях. Если Вы уверены, что компания организатор и компания, котрая проводит этот семинар одно и то же лицо, то, я, думаю, есть повод для судебной защиты Ваших ПДн. Если же Вы не уверены в этом - советую уточнить лицо, кому надо предъявлять иск. Понимаю, что Вы скажете, что не хотите вчинять иск по той или иной причине. Но это только свидетельствует о том, что мы все понимая проблему, не хотим втягиваться в судебные споры. А это не совсем правильно. Вы знаете, тут, намдни едучи на работу (буквально 2 дня назад, как говорится каждое лыко в строку) по радио "Вести ФМ" услышал сообщение, что в нашем заштатном городишке в Сибире (Красноверхотурск) численностью населения 60 тыс., имеется много неплательщиков за услуги ЖКХ. Это, конечно плохо. Но,местная газета, пытаясь разрешить эту проблему, опубликовала список из 300неплательщиков указав ФИО, адрес и сумму неплатежа. В принципе, это грубейшее нарушение закона о ПДн, но газета в данном случае не является ЗАРЕГИСТРИРОВАННЫМ оператором ПДн. К чему я это говорю? Да к тому, что согласно того же сообщения по радио, нашлась некая бабушка, которая засомневалась в правильности этих публикаций и обратилась в Россвязькомнадзор (все никак не приывкну к этой странной аббревиатуре). Итог: газете было выписано предупреждение от этой странной аббревиатуры о нарушении Закна о ПДн и о том, что в случе повтроного нарушения закона, газета будет закрыта, а лицензия на СМИ будет отозвана. Это уже круто! Это говорит о том что закон действует и имеет механизмы устранения нарушений. Но это свидетельствует и о том, что все готовы говорить, что закон плохой, но не все готовы защитить свои интересы в суде. А это - плохо.

В целом. я, наврное повторюсь, эта дискуссия.иницированная Вами, очень и очень полезна. Считаю, что в ее активе то, что мы максимально приблизились к определнию границ, где надо регистроваться как опреатроа ПДн. а где не надо....

Вихорев комментирует...

В поддержку malotavr'у: Алексей, Вы не правы, обратитесь к ст 434 ГК РФ " Форма договора" Договр может быть заключен в ЛЮБОЙ форме, если особо эта форма не оговаривется законом. Я пока еще не видел ни одного закона, предписывающего заключать договор в этой области в ПИСЬМЕННОЙ форме. Относительно ст. 161, советую просмотреть ссылку на ст. 159 ГК РФ. Она многое прояснит.
Кстати. если использовать п. 2 упомянутой вами ст. 434, то при согласии сторон, ничто не мешает заключить договор в электронной форме и ЭЦП здесь совсем ни причем

Алексей Лукацкий комментирует...

Сергей Викторович!

ФЗ-152 действительно не определяет форму договора. Это делает ГК в ст.161, определяя, что договор между юр.лицом и гражданином должен быть заключен в простой письменной форме.

п.1 ст.159 прямо говорит, что сделка, для которой не установлена письменная форма, может быть заключена устно. Но ст.161 обязывает заключать сделку в письменной форме.

Это косвенно подтверждается тем фактом, что в типовой программе проведения мероприятий по контролю и надзору за деятельностью, связанной с обработкой персональных данных с использованием средств автоматизации или без использования таких средств явно указано следующее: "Наличие в договоре условия, безусловно подтверждающего согласие субъекта персональных данных на указанную обработку".

Что же касается 434-й статьи, то в ней ключевой момент - достоверное подтверждение обоих сторон. И если оператора еще как-то можно определить, то достоверно определить субъекта по электронному письму нельзя. Т.е. обычного письма совсем недостаточно.

Вихорев комментирует...

Алексей. Вы и правы и не совсем. (Опять к вопросу о поедании слона по частям). Повторю, в ст. 434 ГК РФ говорится "Договр может быть заключен в ЛЮБОЙ форме, если особо эта форма не оговаривется законом".
То есть превалирует норма закона, ели таковая есть. Если же такой нормы нет, то действует норма ГК РФ и, в соокупностью со ст. 159 любая сделка, не оговоренная в законе СПЕЦИАЛЬНО, может быль заключена в устной форме.
Но, надо отметить, что Закон "О персональных данных", как Вы правильно заметили, оговаривает обязательность ПИСЬМЕННОЙ формы сделки договора на обработку ПДн. И тут, я думаю, никто не будет оспаривать Вашу правоту.
Но, в коммнетариях же malotavr'у речь идет совсем о другой сделке: о валютно-обменных операциях. А вот закона, говорящего, что именно эта сделка должна быть в письменной форме - нет, следовательно, такая сделка может быть заключена и в устной форме.

Вспомним так же, что в условиях примре сказано: "Никакой договор клиентом в обменнике не подписывается, хотя паспортные данные обрабатываются". Я думаю, что в этом случае в обменнике если обрабатываются, то только общедоступные персональные данные.

Анонимный комментирует...

Г-ну Вихореву.
В ответ на ваше цитирование комментариев, я прошу просто прочитать внимательнее мой первоначальный пост, где как раз я и говорил что требуется для того, чтобы привлечь по 129 статье к УО.
Все тоже самое только написано намного проще. ;)Относительно Гражданского и уголовного законодательства - это конечно совершенно разные отрасли, но...
Понятие что же является сведениями порочащими репутацию... идет именно из гражданского законодательства, так как это не определено в уголовном ;)
Относительно форм договора

ГК у нас четко определяет, в каких случая у нас может применяться устная, а в каких случаях письменная форма, так что ваши слова
"Повторю, в ст. 434 ГК РФ говорится "Договр может быть заключен в ЛЮБОЙ форме, если особо эта форма не оговаривется законом".
То есть превалирует норма закона, ели таковая есть. Если же такой нормы нет, то действует норма ГК РФ и, в соокупностью со ст. 159 любая сделка, не оговоренная в законе СПЕЦИАЛЬНО, может быль заключена в устной форме."
немного не соответствуют действительности
так например в соответствии со ст 161 ГК РФ
Статья 161. Сделки, совершаемые в простой письменной форме

1. Должны совершаться в простой письменной форме, за исключением сделок, требующих нотариального удостоверения:
1) сделки юридических лиц между собой и с гражданами;

то есть мы имеем, что любая сделка между юридическим лицом и гражданином должна быть заключена в письменной форме.


С уважением,
Гальченко Павел.

Анонимный комментирует...

Сергей.. ( надеюсь не будете в обиде если буду обращаться по имени).
Относительно обменника, как раз можно сказать, что в данном случае вы заключаете договор в письменной форме когда подписываете со своей стороны справку об обмене валюты.

malotavr комментирует...

О статье 161 ГК и обменнике - ну е-мое, ведь всех перепроверять нужно, даже собственную юр.службу! Меня извиняет только то, что это была исключительно их зона ответственности :)

Алексей, по поводу обмена по электронной почте (или публикации оферты на web-сайте), я все-таки настаиваю, что это письменная сделка. Если мы с тобой заключили сделку по переписке, и оба исполнили свои обязательства, то аргумент третьей стороны (проверяющего, например) "а письмо могли подделать, так что это не договор" звучит, мягко говоря, неубедительно - опровержением служит сам факт исполнения нами своих обязательств.

Вот если ты передумаешь и пойдешь на попятную, тогда да, у меня могут возникнуть сложности.

Анонимный комментирует...

malotavr
вы практически правы :))
Письменная форма договора считается соблюденной, если письменное предложение заключить договор принято в порядке, предусмотренном пунктом 3 статьи 438 настоящего Кодекса.
То есть :)
Совершение лицом, получившим оферту, в срок, установленный для ее акцепта, действий по выполнению указанных в ней условий договора (отгрузка товаров, предоставление услуг, выполнение работ, уплата соответствующей суммы и т.п.) считается акцептом, если иное не предусмотрено законом, иными правовыми актами или не указано в оферте.

Алексей Лукацкий комментирует...

malotavr'у: Ну как заметил анонимный пользователь, подписание справки о покупке/продаже валюты является письменной формой договора. Так что твои юристы как бы ничего и не нарушили ;-)

Что же касается e-mail, то я не спорю, что по ней можно заключить договор, но... имхо, не в описанном случае. Как обычная почта, например, на mail.ru может достоверно удостоверять участников договора? Никак. Абсолютно недостоверный механизм.

Павел, что думаешь? Можно приглашение на семинар по e-mail и мой ответ на него считать договором, заключенным в простой письменной форме?

Вихорев комментирует...

Г-ну Гльченко.

Уважаемый Павел, к сожалению, как мне кажется, мы немного отвлекаемся от темы, заторонутой г-ном Лукацким, но все же кое-что надо прояснить. По-моему, Вы немного заблуждаетесь относительно обязательности письменной формысделок, тем более сделок между юр. и физ. лицами. Следуя логике, которая выражена в вашем комментарии, получается, что в любом супермаркете или даже табачной лавке надо требовать подписания двустороннего ПИСЬМЕННОГО договора. (Чек здесь не пройдет, там нет ни одной подписи и признать его ПИСЬМЕННОЙ формой договора вряд ли получится).

Мне кажется, ГК РФ, как, кстати, и любой другой закон надо читать целиком, а не кусками. Форме сделок в ГК РФ посвящена не одноа 161 статься, а целый набор статей (ст. ст. 158-164), и именно ВСЯ совокупность этих статей определяет все установленные законом формы сделок. Так вот, устной форме сделки как раз и посвящена ст. 159 ГК РФ. Как правило, устные сделки совершаются путем словесного выражения воли лица. А если посмотреть еще и ст. 158 п. 2, то устная делка считается совершенной , когда из поведения лица явствует его воля совершить эту сделку. То есть к таким сделкам можно отнести и конклюдентные сделки. А п.2 ст. 159, четко сказано: если иное не установлено соглашением сторон, устно могут совершаться ВСЕ сделки, кроме тех, для которых установлена нотариальная форма или простая письменная форма. А это, как правило, оговоривается тем или иным законом. Напимер, продать дом без нотариального заверения сделки - невозможно, а продать авто - можно, но должна быть соблюдена письменная форма.

Ст. же 161, на которую Вы ссылаетесь - это всего лишь описание одной из форм сделок, в частности именно простой письменной формы. Впрочем, так же как ст. 160 - дает общее описание письменной формы сделок, а ст. 163 - нотариально удостоверяемой формы сделок.

Впрочем, можно еще много говорить на эту тему. Главное то (думаю все соглаятся с этим), что обработка ПДн (но именно обработка, а не что-либо другое) должна вестись именно по письменной форме договора, как того требует Закон.

И два слова для А. Лукацкого о сделке по e-mail.

П. 2 ст. 160 не исключает возможности использования факсимильного воспроизведения подписи или использования ЭЦП или еще чего, но только если соторны предварительно догворились о такой форме. Кстати, аналогичное положение есть и в законе об ЭЦП. А если учитывать еще и п.2 ст. 434 ГК РФ, то договор может быть заключен путем обмена документами. Осталось только достоверно установить, что документ исходит от стороны по договору. Так как ГК РФ в даном случае не определяет процедуру установления достоверности, в данном случае можно, конечно использовать ЭЦП в рамках Закона "Об ЭЦП", но можно и просто договориться сторона о какой либо процедуре. Например, разместить в электронном письме скан собствнноручной подписи или особое кодовое слово или число(как, примеру, делают колл-центры банков и операторов связи для управления оперциями по телефону) и, если этот авриант устроит обе стороны - тем самым разрешить проблему.

По поводу примера с приглашением на семинар. На мой взгляд, здесь правильнее применить ст. 428 ГК РФ (Договор присоединения). Это обусловлено тем, что в приглашении организатор семинара, как правило, оговаривает условия участия в стандартных формах, которые не могут быть изменены другой стороной. Ей остается либо принять приглашение, либо отказаться. Кстати, в этих случаях, как правило, требуется заполенение некоей регитрационной формы. А это с одной стороны можно рассматривать как конклюдентное действие по присоединению к договору с одной стороны, а с другой стороны, как оговоренную в условиях участия в семинаре и удовлетворяющую сторону-организатора форму установления подлинности стороны-участника.

Анонимный комментирует...

Доброе утро Сергей.
Ну если уж отвлекаемся, то отвлекаемся по полной:)
По поводу договора розничной купли-продажи
Статья 493. Форма договора розничной купли-продажи

Если иное не предусмотрено законом или договором розничной купли-продажи, в том числе условиями формуляров или иных стандартных форм, к которым присоединяется покупатель (статья 428), договор розничной купли-продажи считается заключенным в надлежащей форме с момента выдачи продавцом покупателю кассового или товарного чека или иного документа, подтверждающего оплату товара. Отсутствие у покупателя указанных документов не лишает его возможности ссылаться на свидетельские показания в подтверждение заключения договора и его условий.


Вот например что говорится в коментарияъх..

. По общему правилу договор розничной купли-продажи считается заключенным в надлежащей форме с момента выдачи продавцом покупателю товарного или кассового чека либо иного документа, подтверждающего оплату товара. Однако это не означает, что для данного договора обязательна письменная форма. Ни кассовый, ни товарный чек, ни иной документ, подтверждающий оплату товара покупателем, не являются письменной формой договора, предусмотренной ст. 160 ГК, т.к. не отвечают предъявляемым к ней требованиям. По смыслу комментируемой статьи кассовый и товарный чеки - письменные документы, подтверждающие факт заключения договора и его условия (кассовый чек - цену, а товарный - предмет и цену). Если кассовый чек всегда подтверждает оплату товара, то товарный - только в том случае, если на нем стоит отметка об оплате (например, штамп "оплачено").
2. Договор розничной купли-продажи может заключаться в любой форме, предусмотренной для сделок, - устно, если он исполняется при совершении или путем конклюдентных действий (см. коммент. к ст. 498). Но для некоторых его разновидностей предусмотрена обязательная письменная форма. Так, согласно Правилам продажи товаров по образцам доставка товара покупателю оформляется квитанцией или иным документом установленной формы и содержания, а при продаже товаров в кредит составляется поручение-обязательство; эти документы в соответствии со ст. 160 ГК подпадают под письменную форму договора.

Относительно форм договора то существует:
1. устная форма.
2. Письменная. которая делится на
2.1. простую письменную
2.2. нотариальную..

К слову, дом тоже можно продать без нотариуса;)

Как уще писал выше, относительно розницы ГК установил особые правила....

Ну и давайте просто не забывать о последствиях несоблюдения письменной формы сделки...
Статья 162. Последствия несоблюдения простой письменной формы сделки

1. Несоблюдение простой письменной формы сделки лишает стороны права в случае спора ссылаться в подтверждение сделки и ее условий на свидетельские показания, но не лишает их права приводить письменные и другие доказательства.
2. В случаях, прямо указанных в законе или в соглашении сторон, несоблюдение простой письменной формы сделки влечет ее недействительность.
3. Несоблюдение простой письменной формы внешнеэкономической сделки влечет недействительность сделки.

Относительно семинара мне кажется что однозначно говорить о том, что это будет договор присоеденения нельзя. То есть возможно для Вас он будет договором присоеденения, а для меня например нет ;)
Да и само по себе признание семинара договором присоеденения важно лишь в случае когда
присоединившаяся к договору сторона хочет потребовать расторжения или изменения договора, если договор присоединения хотя и не противоречит закону и иным правовым актам, но лишает эту сторону прав, обычно предоставляемых по договорам такого вида, исключает или ограничивает ответственность другой стороны за нарушение обязательств либо содержит другие явно обременительные для присоединившейся стороны условия, которые она исходя из своих разумно понимаемых интересов не приняла бы при наличии у нее возможности участвовать в определении условий договор

Но не будем забывать, что
при наличии обстоятельств, указанных выше, требование о расторжении или об изменении договора, предъявленное стороной, присоединившейся к договору в связи с осуществлением своей предпринимательской деятельности, не подлежит удовлетворению, если присоединившаяся сторона знала или должна была знать, на каких условиях заключает договор.

С уважением,
Гальченко Павел.

Вихорев комментирует...

Павел, по моему, мы говорим об одном и том же. Вы сами подтвердили, что кассовый чек в сделке розничной купли-продажи не является письменным договором. но от этого сама сделка не перестала существовать. Это как раз и свидетельствует о том. что возможны как устные, так и письменные сделки, в том числе и валютно-обменные операции. Другое дело, и я тут полностью с Вамаи соглашусь, что при устной сделке возможностей защиты своих интересов меньше (вернее они сложнее), но это уже в компетенции того, кто заключает сделку - у нас свобода заключения сделки.

По-поводу примера с семинаром. Я просто выдвинул одну гипотезу возможного разрешения проблемы. Я на ней не настаиваю, но, думаю, что она имеет право на жизнь и кто-то ей воспользуется.

Хотя, конечно же в каждом конкретном случае надо решать заново...

Алексей Лукацкий комментирует...

Сергей Викторович, хотел бы добавить к тому, что написал Павел. Мы не должны забывать, что сделки могут осуществлять со стороны юрлица только уполномоченные лица. Т.е. предложение поучаствовать в семинаре (если уж мы предполагаем, что это была сделка) должно было исходить от сотрудника, имеющего право представлять работодателя по доверенности, Уставу, Закону или иному нормативному акту.

Разумеется, потом юрлицо могло одобрить данную сделку. А могло и нет... И в этом случае у нас вступает в действие ст.183 ГК. В устных же сделках ситуация ухудшается многократно, т.к. нет никаких доказательств совершения сделки (особенно если нет свидетелей) и я бы на месте уполномоченного лица, которое принимает на себя обязанности по сделке, тысячу раз подумал бы, принимать их или нет.

Именно поэтому между юрлицами и физлицами предусматривается только письменная форма сделки. Без нее любые доказательства представить практически невозможно. Даже при сделках межжу физлицами (например, в долговых спорах), суды предпочитают иметь дело не со свидетельскими показаниями, а с данными расписками. Без них доказать, что кто-то взял в долг малореально.

Алексей Лукацкий комментирует...

Сергей Викторович, ситуация с чеком четко регламентируется другими статьями ГК. Именно для того, чтобы не плодить письменные формы договоров между юрлицом и физлицом. В нашем же с вами случае, никаких отдельных статей нет.

Анонимный комментирует...

Сергей, жалко тут нет значка по пиву :)

Вообще насколькоя понял из переписки, у Вас с Алексеем какая-то конкретная ситуация по семинару, о которой я к сожалению не знаю подробностей, так что, судить тут о чем-либо увы, не могу :)

Единственное правды ради наверное стоит добавить к общему обсуждению вопроса по семинару, что в силу п. 1. ст. 182 ГК РФ.
полномочие может также явствовать из обстановки, в которой действует представитель (продавец в розничной торговле, кассир и т.п.).

Ну и конечно не будем забывать про правила оферты и акцепта. ;)
С уважением,
Гальченко Павел.

Алексей Лукацкий комментирует...

Павел, мы обсуждаем не конкретный семинар - там как раз все четко - ФЗ-152 нарушен ;-) Мы рассматриваем ключевой вопрос - когда надо/не надо регистрироваться в качестве оператора ПДн. Я пока склоняюсь к тому, что приглашение на семинар по e-mail и отправка в ответ ПДн не является договором и соответственно требует уведомления оператором РСКН. А Сергей Викторович утверждает, что это не так. Вот мы и ищем компромисс.

Анонимный комментирует...

Алексей, ну я наверное как юрист, задам простой вопрос:
- на чьей стороне я выступаю:)

Соответственно исходя из этого и буду строить логическую цепочку подводя ее под нужный мне результат.

Ну а так:)
1. Организация хочет провести семинар и направляет предложение другой организации или физ лицу..
Формально на мой взгляд данное предложение соответствует оферте.
(думаю, что вопрос полномочий обсуждать не будем).
В ответ на это другое лицо выражает согласие на участие... то есть формально акцептует. здачит сделка совершена.
Соответственно вторая сторона направляет персональные данные первой стороне и тут у нас вступает в силу п. 2. ст. 22 152-ФЗ.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:....
1. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

То есть мы имеем, что не трубуется в случаях, когда стороной договора является субъект персональный данных(что в случае если у нас организация, не происходит).

2. включающих в себя только фамилии, имена и отчества субъектов персональных данных;

То есть на мой взгляд в случае если организация предоставит лицу проводящему семинар, только эти сведения, то оно так же не обязано будет уведомлять уполномоченный орган.
3. Обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

То есть обрабатываемых без средств автоматизации...

2. Организация хочет провести семинар и направляет предложение другой организации или физ лицу..
другое лицо направляет подтверждение о возможном участии в семинаре, (оговорюсь сразу данное уведомление не будет являться акцептом, но которое устроитель семинара может к слову счесть именно за акцепт), но окончательно пока для себя еще не решило, будет ли оно участвовать или нет. Ну и отсюда опять идем к нашей любимой ст. 22 ;) правда у нас тут уже не будет пп.2. п.2. ;)

Алексей Лукацкий комментирует...

Вот! Второй сценарий мне нравится ;-) Т.е. если приглашение пришло мне и я его принял и отправил ПДн, то мы попадаем под исключение в ст.22 и уведомлять РСКН не обязаны.

А вот если я сам принять участие в семинаре не могу и перенаправляю приглашение моим коллегам, то это уже не является акцептом и не подпадает под п.2 ст.22. Т.е. в этом случае организатор семинара обязан уведомить РСКН или отозвать свое приглашение или перенаправить его заново тем лицам, которые будут принимать участие в семинаре ;-)

Ригель комментирует...

Ну, раз вы немножко размялись, предлагаю начать доворачивать:
организатор семинара собирает c А.Лукацкого ПДн не для непосредственного получения удовольствия от оных, а для их передачи в агентство по продаже авиабилетов, которое, впрочем, тоже... В-общем, договор в форме билета будет а) с перевозчиком; б) за сутки до вылета.

Алексей Лукацкий комментирует...

Ты этот вариант к летнему мероприятияю прорабатываешь?

Ригель комментирует...

Hет, просто иметь королеву (целиком, что немаловажно) иногда продуктивнее, чем слона поедать ;)
В данном случае принципиально новая фишка возникает вот где: определение цели и содержания обработки отличает оператора от таковым не являющегося, а стрелять у авиапассажиров дату рождения и номер паспорта - прихоть не организатора семинара, он просто крайний в цепочке уполномоченных.

Анонимный комментирует...

Ригель
А меня вот достает, когда на каждом входе (углу) с меня требуют паспортные данные.
С уважением, Гальченко Павел.
К слову. недавно со мной приключилась такая история.

Изначально получил частное приглашение зарегистрироваться на одном ресурсе...
прошел долгую процедуру регистрации- чего только не спрашивали. Наконец отправил регистрационные данные. Меня попросили активировать запись с мыла, что я так же сделал. Потом я получил сообщение, что окончательная регистрация произойдет после одобрения моей анкеты модератором.....
Ну и в конце я получаю сообщение, что мня могут активировать только после того, как я укажу сое отчество и свой мобильный телефон на ресурсе.....

В итоге просто послал данный ресурс подальше.

Ригель комментирует...

Из этого ведь никоим образом не следует, что любой запрос персональных данных является безосновательным, правда?

Я не предлагаю поспорить, должна ли быть устанавливаема личность пассажира, способного под угрозой взрыва захватить триста других пассажиров, а лишь намекаю, что сборщик не всегда оператор, как это ни неожиданно.

Анонимный комментирует...

Ригель
Не могу с вами согласиться, так как на мой взгляд закон говорит иное
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

Ригель комментирует...

Осуществление обработки это необходимое условие операторства, но не достаточное - см. процитированную Вами же формулировку, начиная с "а также".

Есть еще такой вид обработчика, как уполномоченное лицо, которому оператор что-нибудь поручает, и на которого не действует то, что про оператора написано.

Анонимный комментирует...

"Есть еще такой вид обработчика, как уполномоченное лицо, которому оператор что-нибудь поручает, и на которого не действует то, что про оператора написано."
Прошу прощение, но как то не нашел, где такое написанно в законе о ПД.

Нашел только:
Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

То есть под уполномоченным лицом, закон понимает оператора.

С уважением,
Павел.

Ригель комментирует...

Очень плохо ищете. Посмотрите навскидку часть 4 статьи 6 ФЗ-152 и пункт 10 ПП-781.

Давайте заодно на всплывавшем уже примере добровольного медстрахования работников (странно, что Серей Викторович в упор приблизился, но не вскрыл): несмотря на то, что работнички Ваши, оператором их ПДн тут является страховая.
В договоре на обслуживание (допсоглашении?) достаточно бросить фразу, что она уполномачивает Вашу организацию их для нее собирать с соблюдением, кто бы мог подумать, конфиденциальности. Бинго!
Благодаря тому, что при переводе на русский обработчика почти везде потеряли, Вы впредь почти ничего не должны.

Анонимный комментирует...

Ригель
Например в п. 4. ст. 6 152-ФЗ я вижу только требование к договору, когда обработка данных может быть поручена третьему лицо - эти требования касаются того, что существенным условием по данному догоовру является условие о конфиденциальность ПД.
Но в данном случае на мой взгляд, третье лицо само становится оператором данных.
А вы так не считаете?

С уважением,
Павел.

Ригель комментирует...

Опять 25. Оператор - он, гад, цели и содержание определяет.

Анонимный комментирует...

да что вы зациклились на этих целях и содержаниях...
Вот к слову интересное постановление о ПД
ПОСТАНОВЛЕНИЕ
от 21 ноября 2007 г. N 09АП-15107/2007-ГК


В соответствии с п. 1 ст. 3 вышеназванного Закона оператором, осуществляющим обработку персональных данных, является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Согласно п. 3 ст. 3 Закона обработка персональных данных - это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Между тем, исходя из содержания данной статьи ЗАО "ДХЛ Интернешнл" не является оператором обработки персональных данных, поскольку ответчик, как юридическое лицо, на основании устава от 18.04.2005 г., осуществляет хозяйственную деятельность в области транспорта, экспедиторства, авиапересылки, экспресс-доставки, а также предоставления фрахтовых и курьерских услуг в Российской Федерации и за ее пределами.
Судебная коллегия также отмечает, что каждым воспользовавшимся услугой по доставке документов и/или грузов по всемирной сети DHL, частью которого является ЗАО "ДХЛ Интернешнл" оформляется стандартная накладная, где могут быть указаны, как фамилия фактического отправителя, так и фамилия лица, с которым возможна связь при возникновении каких-либо дополнительных вопросов связанных с отправлением, при этом документов, удостоверяющих личность при заполнении и подписании такой накладной не требуется. Оформление указанной накладной не является сбором, обработкой персональных данных в смысле ст. 3 Федерального закона "О персональных данных".
С уважением,
Павел.

Алексей Лукацкий комментирует...

Ригелю: Цели и задачи для обработчика - обеспечить передачу ПДн тому, кто их запросил. Не хочешь подпадать под ФЗ, попроси просителя самостоятельно связаться и не искать посредников. А раз ты посредник, то будь добр выполнять закон.

Что касается медстраховки, то цель у работодателя - предоставить страховку своим сотрудникам. С этой целью он нанимает страховую компанию, которой и поручает обработку ПДн своих сотрудников. В этом случае оператором является работодатель и страховая.

А вот еще вопрос с этим связанный. Страховая передает ПДн поликлинике. У работодателя договора с поликлиникой нет. Является ли поликлиника в этом случае оператором ПДн? Как этот вопрос регламентируется?

Алексей Лукацкий комментирует...

Ригелю: В случае с паспортом для авиакомпании, все равно организатор и является главным. Он поручает авиакомпании ряд работ для своей цели - организовать семинар. Авиакомпании для выполнения этой задачи нужны ПДн, что она и запрашивает у организатора, а тот у субъекта ПДн. Этот запрос реализуется в рамках первоначальной цели и задачи, а не новой. Поэтому организатор семинара не является просто обработчиком в данной ситуации. Мое имхо

Ригель комментирует...

Алексею Лукацкому:

Не цель обработчика, а цель обработки, ей в данном случае является оказание субъекту медицинской помощи при наступлении страхового случая (или что-то в этом роде - конец дня, голова уже устала). И содержание обработки (даже банально состав требуемых для этого ПД) отнюдь не работодатель определяет.
Но важно об этом правильно в договорчике написать.

Ригель комментирует...

Алексею Лукацкому:

Нужность авиакомпании ПДн задана не организатором мероприятия.

malotavr комментирует...

> Нужность авиакомпании ПДн задана не организатором мероприятия.

Непонятна логика.

У организатора есть цель: организовать конференцию и обеспечить приезд и проживание участников. Для этой цели организатор собирает, систематизирует и передает гостинице и авиакомпании персональные данные.

Организатор САМ обрабатывает персональные данные (есть сбор, систематизация, передача и публикация). Организатор САМ определил цель (организовать приезд и проживание). То, что у гостиницы и авиакомпании другие цели - это головная боль гостиницы и авиакомпании.

Что не так?

Ригель комментирует...

> организатор собирает,
> систематизирует

Т.е. участвует в обработке - несомненно. Но не является оператором.

> организатор САМ определил цель
> организовать приезд и проживание

Я уже почти проникся к нему симпатией - настоящий мужик. Такой и Алексея бы в самолет пустил без билета и паспорта, но вот загвоздка - правила НЕ ОН устанавливает.

Алексей Лукацкий комментирует...

Ригелю: А может нам вообще забить на авиабилеты? Обязанность передачи паспортных данных прописана в законе "О транспортной безопасности", что выводит данный случай из обязанности уведомлять РСКН, т.к. попадает в исключения ст.22. Но от этого организатор не перестает быть оператором ПДн - он же собирает ПДн в целях организации семинара. А кому он затем их передает - это не моя проблема, а его. Его задача - доставить меня на место семинара. Как? Его проблема. Не хочет быть оператором - пусть лично за мной приезжает и везет на машине ;-)

Ригель комментирует...

Согласен с тобой, что ситуацию нужно уточнить.

Если у тебя спрашивают "Леш, ты там у себя сейчас менеджер по чему? А то мы тебя хотели в программке упомянуть" - это одни цели и одна схема.

А если спрашивают отчество, дату рождения и номер паспорта, т.к. надо билет бронировать - это другие цели и другие схемы.

От этого все и зависит как для них, так и для тебя.

Алексей Лукацкий комментирует...

Не согласен. Все эти вопросы подчиняются одной цели - проведение мероприятия.

Анонимный комментирует...

Уважаемые знающие!
А такая ситуация: работник работал, уволился. Перечисления в ПФР и ФОМС, а также начисление и уплату НДФЛ производил работатель.
Через год приходят соотвественно ФОМС, ПФР, и налоговая на проверку и требуют документы на всё это дело, ну по всем перечислениям. А документы эти содержат персональные данные (вспомните хотя бы 2-НДФЛ). Таким образом, трудовых отношений нет, а ПД уволившегося обрабатываются. Получается, что всё-таки надо уведомлять РСКН?
С уважением, pr75.

Анонимный комментирует...

Вихорев комментирует...


"....И что из этого следует? А следует вот что: ИС Пенсионного фонда и Налоговой инспекции относятся к разряду государственных ИС ПДн, в силу статьи 22. п. 2 пп. 7 Закона, регистрация оператора ПДн при передаче данных в эти системы о начислении пенсий и передаче информации в налоговые органы не требует регистрации оператора ПДн в реестре. Почему?, Да потому, что это самый налоговый учет и персонифицированный учет определяется законодательством РФ (я это уже упоминал ранее, это НК РФ и ФЗ № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»)..."

В указанных Вами документах информация о государственных ИСПДн отсутствует. А системы, использующиеся в ФНС, не обладают статусом федеральных автоматизированных информационными системами в соответствии с федеральными законами, так как таких законов пока нет. Исключение - ГАС Выборы...