17.11.2010

Незамеченное изменение ФЗ-152

Совершенно незамеченным прошло изменение в ФЗ-152, проведенное ст. 23 Федерального закона от 27.07.2010 N 227-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об организации предоставления государственных и муниципальных услуг" (спасибо коллегам на bankir.ru).

Дословно ст.23 звучит так: " Внести в статью 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

1) в части 4:

а) абзац первый изложить в следующей редакции:

"4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:";

б) дополнить пунктом 7 следующего содержания:

"7) собственноручную подпись субъекта персональных данных.";

2) дополнить частью 4.1 следующего содержания:

"4.1 . Порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, определяется Правительством Российской Федерации.
"

Это изменение, кстати, в очередной раз показывает, что уполномоченный орган в лице РКН совершенно не в курсе про то, что письменное согласие может быть не только на бумаге. Да и ЭЦП рекомендуется, но не является единственным механизмом. Достаточно описать механизм АСП (аналог собственноручной подписи) и вы можете подписывать им сообщения электронной почты, получая тем самым письменное согласие... хотя оно и не нужно во многих случаях - можно обойтись устной или конклюдетной формой.

35 коммент.:

Саша комментирует...

на данный момент по закону 152 нет не устного согласия не конклюдентных действий, что печально

Надеюсь в скором времени таки пропишут это в ФЗ-152

Алексей Лукацкий комментирует...

Кто вам это сказал?

borio комментирует...

Федеральный закон от 27 июля 2010 г. N 227-ФЗ
Изменения вступают в силу с 1 января 2011 г.

Егор комментирует...

зачем? как потом подтвердить наличие конклюдентного согласия.

Борис комментирует...

ну так ведь измененный абзац "4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных."
как раз и отсеивает все остальные варианты, кроме аналогов приведенных тут же..

Алексей Лукацкий комментирует...

Этот абзац как раз говорит, что не любое согласие должно быть письменным, а только те, которые явно указаны в ФЗ. И таких случаев в ФЗ ЯВНО указано ровно 5 - трансграничка, спецкатегории, биометрия, юрпоследствия, включение в общедоступные.

Алексей Лукацкий комментирует...

Конклюдетность согласия вытекает из самих действий - в этом и есть смысл. Когда я вас спрашиваю "Вы кто?" и вы мне отвечаете "Егор", вы те самым даете согласие на обработку мной ваших ПДн в виде имени (цель и сроки пока не обсуждаем). Никакого дополнительного согласия тут не нужно. И таких ситуаций сотни. Когда у меня берут интверью на ТВ, я тем самым даю свое согласие на то, что его покажут по тому каналу, который это интервью брал. И опять никакой письменной формы тут не надо. Ну и т.д.

Spanky комментирует...

Самое интересное, чтобы получить ЭЦП (которым можно подписать согласие на обработку ПДн в виде ЭД), надо внести ПДн в реестр УЦ, на что надо тоже получить согласие. :-) Вот тут, похоже, только бумажное прокатит.

Spanky комментирует...

Кстати, изменения вступают в действие только с 01.01.2011

Саша комментирует...

"Конклюдетность согласия вытекает из самих действий - в этом и есть смысл."
я знаю что такое конклюдетность, и что таких ситуаций сотни, но по закону 152 у меня нет права использовать конклюдетность, что печально. а говорить о том как это удобно и что это круто можно бесконечно. юридических оснований нет тчк.

Саша комментирует...

на счет письменных согласий получился замкнутый круг

Согласие не нужно когда определены сели сроки круг субъектов (например не нужно брать с Работников, так как ТК РФ устанавливает и цели и сроки и субъектов)
НО
Письменное согласие нужно в случае обработки биометрических данных (фотографии, сканы документов с фотографией в личных делах работников)

вот и получается по закону и нужно и не нужно письменное согласие с работников :)

Алексей Лукацкий комментирует...

Саша: Вы можете привести норму закона, в которой написано, что вы не имеете права использовать конклюдетность?

Spanky комментирует...

Алексей, нет там такой нормы. Но и нормы, запрещающей воровать тоже нет. :-) Но делать, почему-то, этого нельзя.

Алексей Лукацкий комментирует...

Вы ошибатесь. Воровать у нас запрещено Конституцией и УК. Что же касается согласия, то в ФЗ-152 не случайно не указана форма согласия. Это соответствует духу и букве европейской Конвенции и общеюридической практике, которая говорит, что согласие может быть в любой форме, если не оговорено иное. В законе "иное" оговорено только для 5-ти случаев. В остальных вы вправе выбирать любую форму согласия - письменную, устную и конклюдентную. И это НОРМАЛЬНО. Особенно если подумать. Тогда сразу станет понятно, то получить НА ВСЕ СЛУЧАИ письменное согласие невозможно. Как вы будете получать письменное согласие на передачу ПДн через Интернет или по телефону? Никак.

ЗЫ. Сразу отмечу, что я говорю не только с точки зрения здравого смысла, а как сотрудник европейского офиса компании Cisco. Я, наверное, немного лучше знаю, как эта норма применяется в Европе согласно Евроконвенции.

ZZubra комментирует...

Эх... А как же быть с аутентификацией? Если про нее забыть - получим огромное количество угроз совершаемым действиям. А вот письменное согласие и есть попытка реализовать тот самый механизм аутентификации. А если еще глубже смотреть - чем он принципиально отличается от выдачи удостоверяющим центом ЭЦП лично пользователю (с аутентификацией)? Я про суть говорю. Ведь по Конституции (а в Европе она ДРУГАЯ) данные о человеке может дать ТОЛЬКО ОН САМ, а не его, например, работодатель исходя из своих, как ему кажется, благих для работника целей.

ZZubra комментирует...

Про здравый смысл: допустим, я начну от имени Алексея Лукацкого рассылать порноспам, давать бредовые интервью и т.д.? На кого плохо подумают? Проигнорируете ли Вы такие действия.
А вопрос, кто ответил по телефону - вообще мега ВОПРОСИЩЕ. Ошиблись номером - я и ответил от Вашего имени. А потом Вам скандал - закупили не того оборудования на 99999999$ по Вашей рекомендации.

Не все действия (взаимоотношения) можно подвддить под ту же конклюдность.

А про получение согласия по Интернет - вопрос (почти) закрыт. АСП - сами писали.

Алексей Лукацкий комментирует...

А кто говорит, что ВСЕ подпадает под конклюдентность? В ГК написано, что под него подпадает. Не надо смешивать все в одну кучу.

Алексей Лукацкий комментирует...

Ошибочно считать, что гражданин только сам может дать о себе информацию. Работодатель о вас все передает в ПФ, ФМС, ФНС и т.п. И ему все равно, что вы об этом думаете. Ибо закон ему велит это делать.

Сторонникам письменной формы согласия рекомендую хотя бы один свой день проанализировать на предмет ваших действий с этой точки зрения. Попадание в офис, выход из него, звонки по телефону, работа в Интернет и т.п. Как вы под это все письменное согласие подведете?..

ZZubra комментирует...

Госорганы пусть передают мои персональные данные, если это им предписывает закон. И работодатель - коль ему велели законом. Тут возражений нет. Лишь бы не нарушали. (Вам вопрос, а предписано ли минобру законом осуществлять передачу, автоматизированную обработку, а может и исключительно автоматизированную данных об школьниках. Или если пришел на экзамен - дал согласие?)

А вот в своем рабочем дне я проблем с персональными данными не вижу. Вообще. С работодателем вопросы решены, по телефону никому мои персданные не нужны (если и нужны, то ксерокопии для заключения договора, где нужна собственноручная подпись). Интернет - а кому и зачем тут нужны мои данные? Достаточно, что мы общаемся и не требуем подтверждения личности. Приведите пример, когда у меня могут возникнуть проблемы с выдачей бумажного согласия на обработку моих данных :)

Вообще точка зрения "приверженцев" бумажного согласия (хотя суть не в этом, а в понимании закона - я то полностью за широкое внедрение законной АСП (не ЭЦП)) лежит в плоскости защитника действующего ТК в этом ролике: http://www.1tv.ru/sprojects_edition/si=5691&fi=6138

ZZubra комментирует...

И слова одинаковые: "баланс интересов"

Алексей Лукацкий комментирует...

Примеры следующие:
- вход на территорию бизнес-центра
- вход на территорию ЛЮБОЙ организации, требующей предъявления паспорта при входе
- регистрация на ЛЮБОМ Интернет-ресурсе
- общение со страховыми компаниями, которые привлек мой работодатель
- общение (в моем случае) с кучей изданий по телефону
- интервью для ТВ
- пользование банкоматом
- регистрация на семинарах
- и т.д.

ZZubra комментирует...

По-порядку:
- вход на территорию бизнес-центра - ПП687 этот случай оговаривает. Вдогонку вопрос: какие есть юридические основания ограничивать ВХОД на территорию, если это не жилище?

- вход на территорию ЛЮБОЙ организации, требующей предъявления паспорта при входе - аналогично первому ответу. Паспорт имеют право требовать только те, кому такое право предоставил Закон - милиция, банк и т.д.

- регистрация на ЛЮБОМ Интернет-ресурсе - да. согласен ))) не все еще убрали незаконные требования ))) Достаточные для идентификации данные (на случай нарушения законодательства) предусмотрены нашим законодательством (СОРМ). А так нет (пока) закона идентифицироваться и аутентифицироваться в Интернете - это не требуется.

- общение со страховыми компаниями, которые привлек мой работодатель - что мешает общаться? Наверное это общение (передача Ваших данных) предусмотрена трудовым договором? Ну на крайний случай можно составить доп. соглашение.

- общение (в моем случае) с кучей изданий по телефону - а где автоматизированная обработка? В случае, если Вы имеете гражданско-правовые отношения с издательством - наверное заключаете договор?

- интервью для ТВ - статья 6 пункт 2 пп 6 ФЗ 152-ФЗ

- пользование банкоматом - банку достаточно изменить условия договора с Вами с учетом применения в таком случае АСП. Как дополнительная мера - начать применять карточку как средство ЭЦП/АСП

- регистрация на семинарах - а какая Вам разница, какая фамилия у того, кто зарегистрировался. Если платный - бухгалтерские документы в бумаге. Контакт с человеком есть.

- и т.д. - готов обсудить.

Промежуточный вывод 1: пока все случаи можно свести к физическому контакту с субъектом персональных данных - возможность получения письменного согласия есть.
Промежуточный вывод 2:все привести в соответствие с действующими требованиями можно - но лень.

ZZubra комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Ну давай подисскутирием ;-)

1. Вход в бизнес-центр. А причем тут ПП-687? Согласие требуется В ЛЮБОМ случае, т.к. это требование ФЗ.

2. Паспорт в любую организацию. Мне не запрещено просить предъявить паспорт на входе в здание. Посетителю разрешено его не показывать. Только тогда его не пустят. И кому лучше? Это то, что называется обычаями делового оборота по ГК.

3. Интернет-сайты. Тоже самое. Я, например, книги заказываю через Интернет. Как Интернет-магазину получить согласие на обработку моих ПДн? Ответ: курьер привезет бумажку для подписи не прокатывает. Обработка начинается с момента ввода моих ПДн на сайте, а не с момента привоза мне заказа. А если мнеоткажут в заказе? ПДн то обрабатываются все равно. И физического контакта НЕТ и не будет.

4. Страховые. Ты опять упускаешь, что это работодатель МОЖЕТ иметь мое согласие на передачу моих ПДн третьим лицам. Но у третьих лиц моего согласия нет. По твоей трактовке ФЗ они обязаны у меня его взять в письменной форме. И так каждое лицо, которому страховая мои ПДн передаст (поликлиника, стоматологии и т.п.).

5. Телефон. Чем телефон - не автоматизированная обработка? И договора с изданиями у меня в большинстве случаев нет. Особенно если речь идет об Интернет-комментах.

6. Банкомат. Ты опять упускаешь из ввиду тот факт, что мы обсуждаем ПИСЬМЕННОЕ согласие. Попробуй твою рекомендацию применить в ситуацию, когда я деньги снимаю в ЧУЖОМ банкомате ;-) У меня с его владельцем никакого договора нет ;-) Как будешь письменное согласие получать?

7. Семинары. И опять ты не учитываешь, что обработка началась с момента регистрации, а не с момента передачи мне бухгалтерских документов. А если семинар бесплатный и документов никаких нет? Вот тебе еще один пример. Я на твоем семинару свою визитку отдал. Как ты себе представляешь получение письменного согласия на обработку визитки? А ГК на эту тему четко говорит - обычаи делового оборота. Согласие конклюдентное ;-)

Резюме: куча сценариев, в которых физический контакт невозможен.

ZZubra комментирует...

1. Вход в бизнес-центр. А причем тут ПП-687? Согласие требуется В ЛЮБОМ случае, т.к. это требование ФЗ. - тут не понял. Читаю ФЗ160 и ФЗ152 - написано, что они имеют сферу действия только автоматизированная обработка и неавтоматизированная с характером автоматизированной. В ФЗ152 написано, что могут быть НПА по неавтоматизированной обработке - и они должны УЧИТЫВАТЬ требования ФЗ. В ПП687 я не увидел никаких ссылок на РКН. Это ПП вне сферы действия ФЗ152, но в рамках "законодательства в области персональных данных". Это же могло быть и не ПП, а отдельный ФЗ.

2. Паспорт в любую организацию... - я тут курсы проводил и услышал пример из жизни: в гос организацию заходит человек. Девушка у него требуют паспорт. Тот с улыбкой спрашивает основание на такое требование. Она - мол внутренний приказ. Он - а я должен подчиняться всем внутренним приказам всех организаций??? Потом он усмехнулся и со словами "только ради вас/вашей красоты" предъявил удостоверения прокурора области (с должностью могу ошибаться). Еще раз прошу Вас попробовать найти юридические основания на ограничение ВХОДА на территорию коммерческих организаций.

3. Интернет-сайты. Интернет-магазины - механизм есть: АСП. В ближайшее время правительство узаконит како-то способ для госуслуг по Интеренту, а сайты (магазины) пропишут, что то-же АСП и для них приемлемо. Тут просто подождать. Или самим установить такое АСП.

4. Страховые. - вы в мед. полюсе расписываетесь? Это раз. И второе: работодатель берет ДВА согласия - себе и на передачу (обработку) страховой компании. а может три - еще ЧОПу. И передает его вместе с данными. А те без такой бумажки просто не берут. За бумажными согласиями страховые приедут лично - это их бизнес (всеравно агенты ездят).

5. Телефон. Чем телефон - не автоматизированная обработка? И договора с изданиями у меня в большинстве случаев нет. Особенно если речь идет об Интернет-комментах. - Алексей. Изданию (абоненту на другом конце провода) всеравно кто автор в реальности (они могут опознавать Вас просто по набраному номеру). Может "Алексей Лукацкий" - это псевдоним. И под ним может скрываться 30 человек. Если! не производится оплата. По закону - с налогами.

6. Банкомат. - нет. мы обсуждаем закон ))))) А согласие там уже в 2-х видах. Пока этого небыло - я придерживался больше Вашего мнения (о несовершенстве ФЗ). Теперь - все стало на места. Вы воспользовались чужим банкоматом - а разве все межбанковские платежи не идут через ЦБ? А ЦБ имея механизм АСП влегкую решает этот вопрос с подчиненными банками. Главное захотеть, а не пытаться накрыть ФЗ своим СТО ИББС.

7. Семинары. И опять ты не учитываешь, что обработка началась с момента регистрации, а не с момента передачи мне бухгалтерских документов. - Ну ЗАЧЕМ(???) Вам во время регистрации персональные данные? Вам достаточно знать КОЛИЧЕСТВО (чтобы оценить прибыльность/моральное удовлетворение). А пока Вы читаете лекцию бухгалтер печатет ДОГОВОРЫ на семинар. В конце концов Вход на семинар по предъявлении платежки из банка на указаный Вами счет и назначение платежа - чем не вариант?

Давайте по-обсуждаем :)

ZZubra комментирует...

Написал ответ. Посмотрел, что он опубликовался. А теперь нет ((((

ZZubra комментирует...

Еще раз :(

1. Вход в бизнес-центр. А причем тут ПП-687? Согласие требуется В ЛЮБОМ случае, т.к. это требование ФЗ. - сфера действия ФЗ152 и ФЗ160 только автоматизированная и не автоматизированная с характером автоматизированной обработки персональных данных. А ПП687 всего лишь относится к "законодательству в области персональных данных" и написано с УЧЕТОМ требований ФЗ152 (что логично).

2. Паспорт в любую организацию. Мне не запрещено просить предъявить паспорт на входе в здание. Посетителю разрешено его не показывать. Только тогда его не пустят. И кому лучше? Это то, что называется обычаями делового оборота по ГК. - Э нет. С обычаи к делу не подошьешь :) Мне рассказали такой случай: сидит девушка на входе в гос. организацию. Заходит человек. Она ему - паспорт. Он - на каком основании? Она - вот у меня приказ руководителя. Он - а я должен исполнять все приказы руководителей всех организаций??? Потом улыбнулся и со словами "только ради Вас/из-за того, что Вы такая красивая" показал удостоверение прокурора области (могу немного ошибиться с должностью). Попробуйте выяснить законные основания для запрета входа на территорию коммерческой фирмы (при условии, что дверь не надо ломать и это не жилище). То же самое - могут ли посторонние люди ходить по дачному участку (по каменным дорожкам)?

ZZubra комментирует...

3. Интернет-сайты (магазины)... Теперь есть АСП. В ближайшее время (скорее всего до нового года) правительство скажет что это такое для госуслуг. Сайты/магазины могут прописать возможность использования этой же АСП для них. Или самим ввести АСП (хоть скан росписи - по ГК). Вариантов масса.

4. Страховые. Ты опять упускаешь, что это работодатель МОЖЕТ иметь мое согласие на передачу моих ПДн третьим лицам. Но у третьих лиц моего согласия нет. По твоей трактовке ФЗ они обязаны у меня его взять в письменной форме. И так каждое лицо, которому страховая мои ПДн передаст (поликлиника, стоматологии и т.п.). - Работодатель может взять 2 и более согласий сразу на передачу данных страховщику, ЧОПу и др. А вот поликлинике передавать не надо. Это поликлиника им будет передавать, если Вы к ним обратитесь. И вообще по программе "информационное общество" все эти проблемы снимаются.

ZZubra комментирует...

5. Телефон. Чем телефон - не автоматизированная обработка? И договора с изданиями у меня в большинстве случаев нет. Особенно если речь идет об Интернет-комментах. - Тем кто говорят по телефону все равно кто Вы на самом деле. Они верят "на слово" тому кто поднял трубку. Главное для них сама информация. Теперь с изданиями. Есть псевдоним "Алексей Лукацкий" под которым пишет бригада из 27 человек. Какая разница издательству кто это в реале. Им нужен материал с подписью "Алексей Лукацкий". Исключение составляет получение денег. Законное. С налогами. Тут без бумажек и физического контакта не обойтись.

6. Банкомат. Ты опять упускаешь из ввиду тот факт, что мы обсуждаем ПИСЬМЕННОЕ согласие. Попробуй твою рекомендацию применить в ситуацию, когда я деньги снимаю в ЧУЖОМ банкомате ;-) У меня с его владельцем никакого договора нет ;-) Как будешь письменное согласие получать? - Все в руках ЦБ. Им взяться за исполнение ФЗ и все кредитные организации выполнят. А не прикрывать ФЗ стандартом. Все равно межбанковские операции идут через ЦБ. Только захотеть. И нормотворческие возможности у них есть.

ZZubra комментирует...

7. Семинары. И опять ты не учитываешь, что обработка началась с момента регистрации, а не с момента передачи мне бухгалтерских документов. А если семинар бесплатный и документов никаких нет? Вот тебе еще один пример. Я на твоем семинару свою визитку отдал. Как ты себе представляешь получение письменного согласия на обработку визитки? А ГК на эту тему четко говорит - обычаи делового оборота. Согласие конклюдентное ;-) - Вам для проведения семинара (принятия решения о его проведении: деньги/моральное удовлетворение) необходимо количество людей. Пока Вы рассказываете бухгалтер оформляет договоры. Или еще проще: вход по платежке с номером счета назначения платежа и назначением платежа. А уж если Вы лично хотите с ними познакомиться - тут уже другая цель обработки ПДн. и совершенно другой разговор.

ZZubra комментирует...

Резюме 1: когда вводят новые правила дорожного движения (удобные/неудобные/на наш взгляд опасные) мы их ВЫПОЛНЯЕМ, а не спорим. Или выполняем, а параллельно спорим. А цель у обеих норм одна - права человека.
Резюме 2: госпрограмма "информационное общество" сильно изменяет то из-за чего весь сыр-бор.

ZZubra комментирует...

И последнее: права личности у нас заявлены превыше прав всех остальных. Это основа основ. Меняя ее получаем революцию. Пример - 60-часовая рабочая неделя - положительных комментариев на эту инициативу так и не нашел. Ни одного.

Сергей Б комментирует...

ZZubra - противоречишь себе в том что выполнять требования ФЗ необходимо уже сейчас, а всякие там госпрограммы которые всем помогут - будут реализованы дай бог через пару лет.

И никто не говорит что ФЗ не надо выполнять. Его обсуждают и предлагают внести в него поправки параллельно с выполнением. :)

ZZubra комментирует...

Противоречу???? Да только нетехническая часть выполнения ФЗ требует времени. А вот этим и не занимается никто (в основной массе), рассуждая о технических проблемах. Отталкиваясь от основных принципов и идей (цель обработки, законность обработки, безизбыточность), на которые указывают и мои опоненты, можно вполне изменить техпроцесс, в том числе значительно его упростив и удешевив. На это и направлен был ФЗ152 - не собирайте данных, если они вам не нужны. Реально не нужны, а не "удобно".

Сергей Б комментирует...

ТРИНАДЦАТЫЙ АРБИТРАЖНЫЙ АПЕЛЛЯЦИОННЫЙ СУД 191015, Санкт-Петербург, Суворовский пр., 65
http://13aas.arbitr.ru
Дело №А56-4788/2010

"
С целью отождествления личности пассажиров, пользующихся льготными персонифицированными проездными билетами, при проверке оплаты проезда кондуктор либо сам пассажир прикладывает к валидатору (ручной автоматизированный контролер) проездной билет. При этом на экране валидатора отражается фамилия, имя, отчество и паспортные данные пассажира, предъявившего проездной билет.
...
Договор перевозки пассажира носит публичный характер и заключается между Обществом и пассажиром с момента надлежащей и своевременной оплаты проезда пассажиром, действует до исполнения сторонами своих обязанностей по договору"