07.10.2010

Как полезно иногда читать "старые" законы или что такое общедоступные ПДн

Перечитывал на днях трехглавый ФЗ-149 и наткнулся на определение, которое сильно помогает операторам персональных данных. Речь идет о понятии "общедоступная информация". Очень часто во время приведения себя в соответствие с ФЗ-152 возникает вопрос о том, как оптимизировать свои усилия. Одним из сценариев является перевод обрабатываемых ПДн в разряд общедоступных, что позволяет не обеспечивать для них конфиденциальность и даже не заниматься их защитой. Если читать только ФЗ-152, то для перевода ПДн в разряд общедоступных необходимо получить письменное согласие субъекта, а это непросто. И соотношение выгод и затрат на смену статуса уже не так очевидно.

Ждать законопроекта Минкомсвязи долго. Но если обратиться к ст.7 ФЗ-149, то мы увидим, что "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Вот и получается, что, например, мой мобильный телефон, должность или e-mail относятся к общедоступным ПДн на том основании, что это информация доступна не только в Интернет, но и на визитках, которые я сам и раздаю всем желающим.

38 коммент.:

tiger-66 комментирует...

Алексей, удивили..т.к. ИМХО вы неправы.
Вы раздаете визитки с определенной целью.. а не бесцельно и бессистемно;-). Т.е. принцип цели - один из основополагающих во всей проблеме ПДн.
Кроме того, вы раздаете их определенному кругу лиц, который по-любому ОГРАНИЧЕН.. Он может быть очень велик, но все равно ограничен;-)
Если же рассуждать так как вы.. то тогда уж не стоит возмущаться, если вам звонит представитель некой компании и втюхивает свои услуги без вашего на то желания.. (сюда же можно отнести спам и т.п.)

Алексей Волков комментирует...

> Вот и получается, что, например, мой мобильный телефон, должность или e-mail относятся к общедоступным ПДн на том основании, что это информация доступна не только в Интернет, но и на визитках, которые я сам и раздаю всем желающим.

А если не доступна на визитках? Или я визиток никому не давал? Или давал, но совсем не тому, кто мне звонит? И вообще, кто сказал, что передача визитки одному человеку автоматически означает перевод этих сведений в общедоступные? У меня в визитнице, например, очемь много визиток весьма уважаемых людей, которые голову мне оторвут, если я начну их контакты распространять в Интернете только на том основании, что они когда-то дали мне визитку. Все зависит от воли субъекта и от целей, которые он преследует, раздавая свои визитки. И такой подход, хоть и применим в ряде случаев (например, для парикмахеров или распространителей), но далеко не во всех. Так что с tiger-66 я согласен.

Алексей Лукацкий комментирует...

А кто вам сказал, что речь идет о "всем тзвестной" информации? Речь идет об общеизвестной информации, доступ к которой не ограничен. Визитка доступна не всем? Ну и что? Вы же в своей воле ее отдали. Вот если вы при передаче ограничили ее распространение ограничениями, то это не общедоступная информация. В противном случае увы.

Что касается использования этих данных с целью рекламы, то тут вступает в силу ст.15 ФЗ-152, о том что на рекламу нужно согласие. Именно на рекламу.

pushkinist комментирует...

"Кроме того, вы раздаете их определенному кругу лиц, который по-любому ОГРАНИЧЕН.. Он может быть очень велик, но все равно ограничен;-)"

странная логика однако.

1) никто не может контролировать круг лиц, которым когда-то были розданы визитки.

2) по такой логике корпоративные справочники содержат не общедоступную инфу.
ну давайте, защищайте их, ставьте аккорды, континенты, лол.

Алексей Волков комментирует...

> Визитка доступна не всем? Ну и что? Вы же в своей воле ее отдали. Вот если вы при передаче ограничили ее распространение ограничениями, то это не общедоступная информация.

Алексей, Вы действительно считаете что, получив визитку, например, помощника губернатора области или полпреда РФ в каком-нибудь регионе, где указан его мобильный телефон, Вы автоматически получаете право на неограниченное распространение указанных в ней сведений в том случае, если при ее получении Вам не были оговорены какие-либо ограничения?

> никто не может контролировать круг лиц, которым когда-то были розданы визитки

Вот я картину представил: даю я на конференции в приватной беседе человеку визитку свою. И вдруг он, сияя от счастья и размахивая ей над головой, побежал проч с криком: Кому нужны данные Волкова, подходим, записываем, не стесняемся! Следуя этой логике, такое поведения обладателя визитки вполне адекватно.

> по такой логике корпоративные справочники содержат не общедоступную инфу.

Нет, если было получено согласие на размещение ПДн в общедоступных источниках. Обратите внимание - не сделать ПДн общедоступными, а разместить их в общедоступных источниках. Чтоб потом в любой момент их оттуда изъять.

-)гоист комментирует...

"по такой логике корпоративные справочники содержат не общедоступную инфу."
Конечно не общедоступную. Общедоступные ПДн - круг лиц должен быть не ограничен.

"Вот если вы при передаче ограничили ее распространение ограничениями, то это не общедоступная информация. В противном случае увы."
Я думаю, это неверно. Нужно рассматривать цель, с которой была дана визитка. В общем случае, цель была - сообщить свои контактные данные тому, кому визитка была передана. Как этот факт можно считать проявлением того, что человек дал свое согласие на общедоступность таких данных? Никак.
Последствия этого - это уже совсем другая история. акорды, континенты, причем здесь это? это уже следствие, наличие прав человека от этого не зависит.

pushkinist комментирует...

"помощника губернатора области"

у помощников губернатора обычно рабочие номера публикуются в открытый доступ.
а если он на визитке указал личный мобильный, то ССЗБ.

pushkinist комментирует...

"акорды, континенты, причем здесь это?"
при том, что
"Конечно не общедоступную."
извольте защитить-с

pushkinist комментирует...

мне после каких-нить конференций обычно привозят гору визиток чьих-нибудь, ими там обычно сыплют как из ведра.

но если вы для своих визиток ведете журналы поэкземплярного учета и приема-передачи, то тогда я не буду спорить, мне просто этот факт не был известен ранее :D

Алексей Лукацкий комментирует...

Коллеги-противники, вы упускаете из ввиду один факт. Использование общедоступной информации и получение этого статуса - это не одно и тоже.

О том, что я сотрудник Сиско, у меня такой-то телефон и мыло, знают многие. Это общеизвестная информация и она общедоступная, даже если я не давал письменного согласия на включение ее куда-либо.

dmsa комментирует...

Очень важный вопрос. Вы как-будто мои мысли читали.
Считаю этот вопрос краеугольным камнем всех ПДн.
Общедоступная информация – доступ к которой не ограничен.
Статус общедоступности, как мне видится, присваевается автоматически если я собственными руками передал информацию куда-либо, не заботясь о её дальнейшей судьбе и о том как её будут дальше защищать. И визитка и различные блоги-журналы-контакты тоже сюда попадают. Если я разместил в открытом доступе сведения о себе, то я автоматически присвоил им сатус общедоступности. Даже если априори я обязан их защищать!
Единственный способ сделать обрабатываемые в системе ПДн защищаемыми – это доказать, что они не являются общедоступными в следствии какого-либо ограничения. А ограничение какое может быть? Гос.тайна, коммерческая тайна. Что еще? Так вот считаю что все ПДн общедоступные, если не оговорено иное. У нас, я так понимаю, обратная система. Всё защищаем, за исключением того, что оговорено как общедоступная информация. Что-то тут не правильно или это я запутался.

Алексей Волков комментирует...

> Коллеги-противники, вы упускаете из ввиду один факт. Использование общедоступной информации и получение этого статуса - это не одно и тоже.

Согласен полностью.

> но если вы для своих визиток ведете журналы поэкземплярного учета и приема-передачи, то тогда я не буду спорить, мне просто этот факт не был известен ранее

Не будем забывать о том, что общедоступные ПДн - это те, которым не требуется обеспечение конфиденциальности. Необходимость защиты от модификации и уничтожения (целостность и доступность) никто еще не отменял.

Так же не будем забывать о том, что если в организации есть некий общедоступный источник - например AD, то данные, размещенные в нем, доступны не всем кому попало, а только пользователям, зарегистрированным в AD.

Кроме того, некоторые эксперты полагают, что размещенные в общедоступных источниках ПДн и общедоступные ПДн - это понятия несколько разные, так как ПДн, размещенные в общедоступных источниках, могут считаться общедоступными на период присутствия в них. Не зря же согласие дается на размещение, а не на перевод в категорию общедоступных, и не зря предусмотрена процедура отзыва.

Алексей Волков комментирует...

> О том, что я сотрудник Сиско, у меня такой-то телефон и мыло, знают многие. Это общеизвестная информация и она общедоступная, даже если я не давал письменного согласия на включение ее куда-либо.

Алексей, речь не об этом. Визитка визитке - рознь, и цель визитки распространителя гербалайфа и визитки директора Юганскнефтегаза сильно отличаются. Вообще визитки - это пример тривиальный. В общем случае, для сотрудника какой-то фирмы, на них печатается информация, дублирующая ту, что размещена в общедоступном источнике (адресной книге) и как правило утрачивающая свою актуальность при его увольнении и соответствующем удалении из ОДИ.

Вопрос в другом: формула закона - "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Кем не органичен? Субъектом? Оператором на основании согласия субъекта? Как ставится такое ограничение и как снимается? Как доказать что его не было? И не значит ли это, что однажды "обобщедоступленная" информация теперь обречена быть навеки общедоступной?

Вопросов больше чем ответов. Потому - как всегда, принцип добросовестности и баланс интересов.

Ну а визитки... Вот например уважаемый toparenko не афиширует свои фио и деятельность, хотя, как он сам говорит, все можно отыскать. И на это у него, видимо, какие-то свои причины. Но это совсем не значит, что я, отыскав его данные, после каждого его поста буду каментить who is who, или встану в метро с карточками, на которых напечатаны его и Ваши координаты, и начну их раздавать :)

Алексей Волков комментирует...
Этот комментарий был удален автором.
Алексей Волков комментирует...
Этот комментарий был удален автором.
pushkinist комментирует...

зачем такие крайности?
почему, если данные общедоступные, их надо сразу "стоять в метро и раздавать"?
я вот например не даю ничьи личные номера мобильных/асек/скайпов без спросу владельца, даже если знаю, что у него этот номер выложен в соцсетях или еще где.

tiger-66 комментирует...

>О том, что я сотрудник Сиско, у меня такой-то телефон и мыло, знают многие. Это общеизвестная информация и она общедоступная...

Она размещена на общедоступных источниках? Покажите где )
Многие это не все.. это не есть неограниченных круг лиц. Я не знаю например телефона.. ;-)
Далее.. эти многие почему знают то все что вы перечислили? Наверно это было сделано с целью установления взаимных контактов.. А не для использования по усмотрению получившего ее лица. Так ведь?

Алексей Волков комментирует...

> я вот например не даю ничьи личные номера мобильных/асек/скайпов без спросу владельца, даже если знаю, что у него этот номер выложен в соцсетях или еще где.

Правильно - равно как и я. Потому, что мы с Вами добросовестные и считаем, что своими действиями можем прямо или косвенно нанести ущерб субъекту - хэзэ, зачем кому-то телефон другого человека? Если надо было чтобы он знал - сам бы сказал. Ну или на крайняк перезваниваю владельцу запрашиваемой инфы за разрешением на передачу ;)

tiger-66 комментирует...

> pushkinist
>2) по такой логике корпоративные справочники содержат не общедоступную инфу.

Что вы имеете ввиду под корп.справочниками? Подозреваю, что некоторую информацию доступную всем сотрудникам в рамках вашей организации. Однако.. не бывает общедоступной информации в рамках вашей организации.
Информация может быть или общедоступной (в рамках определения ФЗ152) или НЕ общедоступной.
В ФЗ же написано:
Общедоступные персональные данные – персональные данные, доступ НЕОГРАНИЧЕННОГО круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Таким образом, утверждать общедоступность ПДн можно только согласно этому определению ;-)
В вашем случае круг лиц органичен сотрудниками вашей организации

tiger-66 комментирует...

На Датум в свое время обсуждали статью по этой тематике тут:

http://a-datum.ru/forum/viewtopic.php?f=52&t=358

Изложенный поход нашел понимание и согласие не у всех членов Датум ;-),хотя сделанные выводы там гораздо мягче предлагаемых Алексеем Л.
Почему статья и расположена только на форуме в Проблемных вопросах, а на сайте нет ;-).

pushkinist комментирует...
Этот комментарий был удален автором.
pushkinist комментирует...

"Подозреваю, что некоторую информацию доступную всем сотрудникам в рамках вашей организации. Однако.. не бывает общедоступной информации в рамках вашей организации."

дак не только в рамках нашей организации.
у меня в подписи в электронной почте содержится та же самая информация, что в корпоративном справочнике.
когда я пишу кому-то письмо в другую организацию, я не удаляю подпись.
и другие так же.
если кто-то звонит со стороны, то сотрудники представляются.
если позвонить на внешний номер, то есть возможность набрать внутренний номер сотрудника.
это все инфа как раз из корпоративного справочника.
вы предлагаете ее защищать?

в то же время совокупность всего этого мы не публикуем наружу, потому что это в этом нет надобности.
но тут причина не в законодательстве по персональным данным, а в иных интересах компании.

Алексей Волков комментирует...

> это все инфа как раз из корпоративного справочника.
вы предлагаете ее защищать?

Все зависит опять же от целей ее раскрытия, которые зависят от цели функционирования организации. Оперативный сотрудник ФСБ, например, или СВРовец, или ФСОшник по телефону Вам не представится. И по телеку их показывают спиной с измененным голосом. Хотя визитки у них имеются ;)

pushkinist комментирует...
Этот комментарий был удален автором.
pushkinist комментирует...

"Оперативный сотрудник ФСБ, например, или СВРовец, или ФСОшник по телефону Вам не представится."

сославшись конечно же, на 152-фз, да
ведь, начиная с января 2007 года, иных законов у нас в стране нет.

tiger-66 комментирует...

>это все инфа как раз из корпоративного справочника.
вы предлагаете ее защищать?

То как именно я предлагаю с ней поступать как раз изложено в вышеприведенной статье ;-)
В любом случае, в соответствии с существующими в нашей с вами стране законами ;-),приведенная вами информация не является общедоступной только потому, что вы ее не скрываете.
Т.е. что вы называете общедоступными ПДн (мы ведь о них говорим?)
Я называю данные попадающие под их определение в ФЗ А вы? :-)

pushkinist комментирует...

я посмотрел вашу методику.
по ней можно защищать любые персональные данные.
но зачем-то в ней очень много лишних слов.
достаточно было бы ограничиться одним предложением: "берем письменное согласие субъекта на перевод в общедоступные и больше ничего не делаем, закон выполнен - празднуем WIN".

Алексей Волков комментирует...

> сославшись конечно же, на 152-фз, да ведь, начиная с января 2007 года, иных законов у нас в стране нет

Ну почему же. Имеются. Например ФИО действующих агентов СВР - гостайна ;)

> берем письменное согласие субъекта на перевод в общедоступные и больше ничего не делаем, закон выполнен - празднуем WIN

152-ФЗ не предусмотрена такая процедура. Им предусмотрена процедура размещения в общедоступных источниках, с возможностью изъятия их оттуда в любой момент. Это, согласитесь, разные вещи.

Алексей Волков комментирует...

>Коллеги-противники

Мы не противники, Алексей, мы оппоненты, что позволяет в ряде случаев, поплевавшись йадом, вместе пойти пить пиво и смотреть хоккей :)

avetjan комментирует...

Не читал всех комментов - много...

В глаза бросилось вот что:
"Но если обратиться к ст.7 ФЗ-149, то мы увидим, что "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен".

А если почитать дальше, то мы увидим:
"Статья 9. Ограничение доступа к информации
...
9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных."

149-ФЗ идет лесом когда речь идет о режиме доступа к персональным данным.

tiger-66 комментирует...

>"берем письменное согласие субъекта на перевод в общедоступные и больше ничего не делаем, закон выполнен - празднуем WIN".

Дык вот именно до этого можно дойти исходя из Ваших с А.Л. посылок !!!
Я же говорю о том, что с общедоступностью надо как минимум осторожней обращаться, а то бог до чего можно договориться.. ;-)

Алексей Волков комментирует...

> 149-ФЗ идет лесом когда речь идет о режиме доступа к персональным данным

Тему поста теперь ИМХО нужно перефразировать: "Как полезно иногда до конца читать старые законы" :)

doom комментирует...

2 Алексей Волков


Вопрос в другом: формула закона - "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Кем не органичен? Субъектом? Оператором на основании согласия субъекта?

Странно слышать такие вопросы - это все отражено в трехглавом законе. Вкратце ситуация такова - доступ к информации может ограничить только ее владелец, а оператор владельцем не является.

А чтобы однозначно разрешать указанную проблему - можно сделать доп. соглашение к трудовому договору с сотрудниками, где прописать, что содержимое корпоративного справочника является общедоступной информацией. Не надо забывать, что формально, если нет управления доступом к какой-то информации и нет регистрации и учета событий доступа к ней, то такая информация никак не может являться информацией ограниченного доступа.

Алексей Волков комментирует...
Этот комментарий был удален автором.
Алексей Волков комментирует...
Этот комментарий был удален автором.
Алексей Волков комментирует...

> доступ к информации может ограничить только ее владелец, а оператор владельцем не является.

Да, но у недобросовестного оператора может быть согласие, а субъект, давая его, может быть неадекватен :)

> Не надо забывать, что формально, если нет управления доступом к какой-то информации и нет регистрации и учета событий доступа к ней, то такая информация никак не может являться информацией ограниченного доступа.

Точно. Равно как и то, что если есть управление доступом и имеется система регистрации, то это совсем не значит, что в такой системе не может обрабатываться общедоступная инфа.

Знаете, очень много нюансов, все их в законе не пропишешь, пусть хоть тысячеглавом...

ЕвгенийКР комментирует...

Я склонен к мнению Алексея Волкова, инфа на визитках не общедоступная. И чтоб получателю ее распространить в каком нибудь журнале, будет нужно соотв. получить согласие от владельца визитки. А вот по жалобе в РосКомНадзор кто распространит инфу с визитки придется доказывать что есть где то согласие, что в итоге не сможет, т.к и не сможет доказать что именно владелец визитки ее дал

Александр комментирует...

Коллеги, а разве здесь не действует горизонтальная иерархия документов, т.е. закон выпущенный позже имеет приоритет над ранее выпущенный в случае разночтений?