02.08.2011

Размышления о новом ФЗ-152

Вчера я писал про погружение в ФЗ-152 и появление ряда интересных мыслей по новой редакции. Решил поделиться ими.

Начну с того, что закон четко делится на две части - связанную с защитой прав субъектов и с защитой самих ПДн. Жесткое неприятие вызывает именно вторая часть; в отличие от первой части, которая действительно стала более гармонизирована с Евроконвенцией и стала больше отвечать интересам операторов персданных, найдя определенных баланс между интересами операторов и субъектов. Но пойдем по порядку.

Одно из мощнейших изменений коснулось статьи 6. В ней расширен перечень условий, при которых возможно обрабатывать персданные без согласия субъекта. Это не только преддоговорная работа, но и обработка ПДн для осуществления прав и законных интересов оператора. Иными словами, теперь можно вести черные списки мошенников и неплательщиков, привлекать внешние службы безопасности для проверки клиентов и выполнять другие не менее важные задачи, ранее невозможные в рамках закона.

Второе важное изменение коснулось уточнения термина "обезличивания". Если раньше оно вызывало вопросы, то сейчас, на мой взгляд, двойных толкований быть не должно. Нельзя без дополнительной информации определить, что это за пользователь с номером 123456, который обладает миллионным состоянием, значит это обезличивание и обработка таких данных выпадает из под действия ФЗ.

В закон введение определение автоматизированной обработки, которое исключает двойственное толкование, а следовательно теперь четко делит всю обработку на автоматизированную и ручную. Уход по ПП-687 с обработкой на средствах вычислительной техники сегодня уже не убедителен.

Уточнены понятие трансгранички и условий ее осуществления. И за составление списка "адекватных" стран для трансгранички теперь законодательно отвечает РКН.

Очень интересна формулировка в ст.4. "На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных". Не значит ли это, что ЦБ все-таки может придать официальный статус своему СТО? Тут есть над чем поразмыслить. Вторая часть формулировки этой статьи "такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию" говорит нам о том, что пресловутое ПП-330 может скоро потерять свой гриф "ДСП" и тогда вопрос о том, что такое "оценка соответствия в установленном порядке" перестанет быть тайной за семью печатями.

Срок хранение персданных теперь может быть установлен договором. Это было возможно и раньше, но теперь это четко зафиксировано в законе. Поэтому на запросы недоумевающих пользователей "А почему у Ингостраха в договоре написано, что они могут хранить мои персданные 75 лет?" есть четкий ответ - "по закону". С хранением связан и другой интересный момент - теперь по достижению целей или срока их обработки данные можно не уничтожать - достаточно их обезличить.

Введено так нелюбимое Роскомнадзором понятие "обработчика". И получать ему согласие на обработку от субъекта, которого он и в глаза не видел, теперь не надо. Зато выполнять требования ст.19 по безопасности порученных ему для обработки ПДн он обязан. Специально для РКН в законе закреплена норма из ГК, что третье лицо не отвечает по обязанностям по сделке. Если у обработчика произошла утечка, то отвечать все равно оператору. Обработчик будет отвечать только за невыполнение условий договора между оператором и обработчиком (если он есть).

Форма согласия субъекта теперь может быть любой, а не только письменной, как это раньше считал РКН. На отзыв согласия теперь можно закрыть глаза, если обработка осуществляется при наличии оснований для обработки без согласия (на основании ФЗ, договора или преддоговорной работы и т.д.). Также электронная подпись и собственноручная подпись под электронным или бумажным согласием теперь равнозначны. Учитывая, что вид электронной подписи (простая или усиленная) в законе не указан, то теперь одноразовые коды или просто пароли в Web-формах вполне легитимны для получения согласия.

Информацию о состоянии здоровья сотрудников теперь можно обрабатывать без письменного согласия. Эта же информация в целях страхования также не требует подписания никаких бумажек.

Красиво новый закон обходит проблему получения письменного согласия на обработку фото и видео субъекта ПДн. Если раньше под это определение попадали почти все фото и видео (исключая уход под ГОСТ 19794), то сейчас биометрией будет признаваться только то, что используется для идентификации личности. Вот сканирую я паспорт на входе в здание, но не планирую использовать фото для удостоверения личности, значит никакого письменного согласия на обработку биометрических ПДн мне не надо.

14-я статья, часто применяемая для конкурентной борьбы, тоже претерпела изменения. Теперь прежде что-то просить у оператора, субъект обязан доказать, что он имеет это право и у него есть или были правоотношения с оператором. Срок ответа на запрос субъекта увеличен, как и причины для отказа на такой запрос. Например, можно сослаться на ФЗ-115 и не отвечать на запрос субъекта.

Интересны ст.18 и ст.18.1. Например, если ПДн получены не от субъекта напрямую, то раньше требовалось обязательного его уведомление. Сейчас это можно не делать, если оператор попадает в исключения в новой редакции ФЗ. Новая статья 18.1 определяет меры, направленные на выполнение оператором обязанностей, предусмотренных ФЗ-152. Например, в ней зафиксировано, что оператор обязан опубликовать свою политику по работе с персданными. Также оператор может самостоятельно определять состав и перечень необходимых мер по выполнению ФЗ, если иное не предусмотрено ФЗ-152. Вот в этой приписке "если иное..." и кроется основная проблема, на мой взгляд, с защитой ПДн. Если без нее текст был гармонизирован с Евроконвенцией и оператор действительно сам определял, что и как ему делать (правда, по запросу РКН он был обязан представить доказательства этого), то по новой формулировке в самостоятельность оператора внесены ограничения. Они, в частности, ограничивают его право на самостоятельность в отношении защиты ПДн (это все регламентируется ст.19).Правда, есть мнение, что ст.19 - это всего лишь разъяснение п.1.3 статьи 18.1.

19-я статья требует отдельного обсуждения. Пока только могу отметить, что:
  • требования по защите разрабатывают ФСТЭК и ФСБ и никто иной
  • меры по защите вытекают из уровней защищенностей, которые должно разработать Правительство (а оно эту функцию не делегировало ФСТЭК и ФСБ, в отличие от выработки требований по защите).
  • уровни по защите зависят не только от актуальности угроз, но и от объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные. Как Правительство будет это делать, не совсем понятно. Да и времени осталось совсем мало.
  • У нас исчезает понятие класс ИСПДн. Ему на смену приходит уровень защищенности. Следовательно на смену "приказу трех" придет какой-то другой документ и вообще вопрос классификации ИСПДн подвисает в воздухе.
  • Модель угроз может быть разработана различными органами госвласти, а также ЦБ, что позитивно и позволит учесть отраслевую специфику. Правда, мер по нейтрализации этих угроз никто кроме ФСТЭК и ФСБ разрабатывать не может. 
  • Ассоциации и союзы могут также разработать модель угроз для своих членов. Правда, ее надо согласовать с ФСТЭК и ФСБ в порядке, которого пока нет, - Правительство его пока не выпустило.
  • На сегодняшний день ФСТЭК и ФСБ не могут проверять коммерческие структуры - ст.19 ограничивает их полномочия только государственными информационными системами. Правда, есть и подвох. В п.9 полномочия ФСТЭК и ФСБ могут быть расширены по отдельному решению (не распоряжению и не постановлению) Правительства. Думаю, что оно не заставит себя ждать и до 1-го ноября такое решение появится.

Наверное, из ключевых моментов все. Есть конечно и другие изменения, но они не столь значительны, как описанные выше.

    113 коммент.:

    Ruslan Permyakov комментирует...

    Алексей, сильно смущает ссылка на 115-ФЗ в контексте отказа в праве доступа к субъекта к своим персональным данным.
    Честно скажу в данной области не компетентен, но в п.5 14 статьи сказано, что субъекту можно отказать в доступе к своим ПД "полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности". Что из этих мероприятий проводят коммерческие банки в рамках исполнения 115-ФЗ?
    Насколько я понимаю 115-ФЗ, его основанная задача " создания правового
    механизма противодействия легализации (отмыванию) доходов, полученных
    преступным путем, и финансированию терроризма…". Об ОРМ там речи не идет.
    Оставшиеся две причины: обработка ПД при задержании и интересы третьих лиц как-то не коррелируют со 115-ФЗ.

    angry_fix комментирует...

    Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

    3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

    Ruslan Permyakov комментирует...

    2 angry_fix: Спасибо. Черт попалась старая версия. :(

    Александр Бондаренко комментирует...

    Алексей, небольшое уточнение. Правительство устанавливает и уровни и требования.

    Вот выдержка из закона:
    "Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
    1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
    2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;"

    А ФСТЭК И ФСБ устанавливают (далее из ФЗ) "состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных"

    sany комментирует...

    Перечень условий, при которых не нужно получать согласия вроде расширился. НО из него убрали, то что было в прошлой редакции:
    - при почтовых сообщениях
    - у жителей многоквартирных домов(ТСЖ, УК...)
    ПОЧЕМУ это убрали из закона???
    ____________
    Формы согласия теперь в законе могут быть любыми! НО далее написано, что согласие должно содержать ФИО, НОМЕР ОСНОВНОГО ДОКУМЕНТА удостоверяющего личность. Бред - это в веб формы теперь и паспортные данные запрашивать???

    ___________
    Вы пишите, что при обработке состояния здоровья своих работников не нужно согласия! Откуда вы это взяли???

    ZZubra комментирует...

    Алексей! Я подготовил комментарий к изменениям в виде правки ФЗ и сформировал PDF. Готов выслать, если напомните куда. Сразу оговорюсь - то, что Вы в этой своей статье называете достижениями, я у себя называю нарушением конституционных прав. Очень признателен был бы, если бы Вы в качестве альтернативного взгляда выложили и этот PDF :)

    Ну и еже ли кто еще захочет разместить у себя - говорите куда - вышлю.

    Алексей Волков комментирует...

    ZZubra: вышлите мне, я с удовольствием размещу!

    Сергей комментирует...

    Ну вот и 1-й подписант наконец взглянул на изменения более менее трезво, а не эмоционально...

    Алексей комментирует...

    Теперь, скорее всего, все будут спорить на конференциях:
    - ст.19 сама по себе?
    - или всё-таки это всего лишь разъяснение п.1.3 статьи 18.1?

    Интересно, а рассмотрение кредитной заявки (после неё не всегда следует договор) - это преддоговорная работа или нет?

    ZZubra комментирует...

    Но-НО! Я НЕ подписывал письмо!!!!

    ZZubra комментирует...

    Волкову выслал.

    ZZubra комментирует...

    Да простит меня хозяин этого дома: http://fz152.blogspot.com/

    Там и выложил.

    VAVT комментирует...

    sany,

    1. Это убрали, потому что теперь есть более широкий п. 7 ст. 6: "обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных"
    2. Требования по содержанию есть только для согласия в пиьсменной форме. А оно требуется в ограниченных случаях - трансграничка, биометрия и специальные ПДн и т.п.
    3. п. 2.3 ст. 10

    Сергей Ерохин комментирует...

    "Нельзя без дополнительной информации определить, что это за пользователь с номером 123456, который обладает миллионным состоянием, значит это обезличивание и обработка таких данных выпадает из под действия ФЗ."

    Алексей, на чем Вы основываетесь говоря о том, что обезличенные ПДн выпадают из области действия ФЗ? В статье 1 п.2. четко прописаны отношения, на которые не распространяется действие ФЗ. И среди них нет "обезличенных ПДн"!?

    sany комментирует...

    VAVT,

    1. Все равно не понятно - каким боком к п. 7 ст. 6 относятся УК, ТСЖ... у них вроде общественно значимых целей - нет, и законные интересы не прописаны
    2. Согласен
    3. п. 2.3 ст. 10
    "обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;"
    в ТК про медицину не сказано!

    Алексей Волков комментирует...

    Сергей Ерохин: поддерживаю, утверждение не соответствует действительности.

    Сергей комментирует...

    ИМХО пережевывать новую редакцию до выхода подзаконников бессмыслено. Анекдот: Конференция медиков. Американцы - мы вырастили из стволовых клеток и пересадили пациенту новую почку - аплодисменты. Японцы - а мы вырастили и пересадили сердце - бурные аплодисменты. Русские - а мы научились удалять гланды - тишина - через ж... - бурные продолжительные аплодисменты.
    С выходом подзаконников все может перевернуться с ног на голову, в том числе и положения, которые к тех. защите отношения не имеют.

    VAVT комментирует...

    Sany,

    1. "Законное право" организации почтовой связи - осуществлять оправку почтовых сообщений, операторов электросвязи - расчет с пользователями услуг, ТСЖ - учитывать жителей дома и т.п.

    3. Речь идет о тех данных о здоровье, которые обрабатываются в соответствии с ТК. По трудовому законодательству работодатель учитывает отпуска временной нетрудоспособности, и если в обычных больничных листах диагноз не указывается с недавних пор, то беременные сотрудницы предоставляют справку, в которой четко описано их состояние здоровья. Раньше это были специальные ПДн, сейчас они обрабатываются в соответствии с трудовым законодательством. Тоже касается обработки сведений о здоровье работника, занимающего должность, которая по ТК подразумевает прохождение обязательного медицинского осмотра.

    Алексей Волков комментирует...

    Сергею: точно. Поэтому я пока наблюдаю за процессом со стороны :)

    sany комментирует...

    VAVT,

    все вроде стало ясно
    И еще вопросик в догонку:
    Сведения о беременности и инвалидности это сведения о состоянии здоровья или свдения о социальном положении?

    VAVT комментирует...

    Sany,

    мое личное мнение - это данные о здоровье, но обосновать (привести источник классификации) не смогу

    Сергей Ерохин комментирует...

    VAVT: "2. Требования по содержанию есть только для согласия в пиьсменной форме. А оно требуется в ограниченных случаях - трансграничка, биометрия и специальные ПДн и т.п."

    Интересно, а как вы интерпритируете статью 9 п.4. "В случаях, предусмотренных ФЗ, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн".
    статья 9 п.3. Доказательство факта получения согласия возлагается на оператора. Я знаю только два способа, письменный с подписью и письменный с электронной подписью.

    Сергей комментирует...

    sany
    инвалидность - социальный статус.
    беременность - статус работника - отпуск по беременности и родам

    Сергей комментирует...

    2 Сергей Ерохин
    Письменное согласие может быть по форме установленной в 152ФЗ для случаев, определенных этим законом, и по произвольной форме - для остальных случаев.
    +вариант - пока не поставишь галочку о согласии в электронной форме на сайте и т.п. (по аналогии невозможности инсталяции софта без принятия лицензионного соглашения) ПДн не будут переданы - доказательство - код (алгоритм).

    Сергей Ерохин комментирует...

    Сергей: и по произвольной форме - для остальных случаев.

    Уж извините за формализм, но где вы увидели такую фразу? Если Вы это сами додумали, то тогда логичный вопрос: кто и как определяет эти "остальные случаи" и какие "остальные случаи" не попали в поле зрения ФЗ?

    ZZubra комментирует...

    Сергею Ерохину

    Респект! Именно так и читают законы. И судят по ним.

    ZZubra комментирует...

    А всякие расширительные толкования очень часто судом не допускаются.

    VAVT комментирует...

    Сергей Ерохин,

    п. 1 ст. 9: "Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом." Это диспозитивная норма - если прямо не указано, что требуется письменная форма, то разрешена любая. Простой поиск по тексту закона слова "письменное" позволит выявить исключения. Вариантов получения "неписьменного" согласия немало (можно включить в политику оператора в отношении обработки персональных данных, к которой должен быть предоставлен неограниченный доступ), а вот доказательство их обоснованности - другой вопрос.

    Сергей Ерохин комментирует...

    VVAT:

    я же у вас спросил выше?
    статья 9 п.4. "В случаях, предусмотренных ФЗ, обработка ПДн осуществляется только с согласия в !!письменной!! форме субъекта ПДн".

    VAVT комментирует...

    Сергей Ерохин,

    Так а в чем противоречие? 152-ФЗ четко определяет случаи, когда необходимо пиьсменное согласие - создание общедоступных справочников, передача ПДн на территорию стран, не обеспечивающих адекватную защиту ПДн, обработка биометрических и специальных категорий ПДн если нет оснований делать это без согласия. ВСЕ! В остальных случаях - любая форма. Или я не правильно понимаю Ваш вопрос?

    ZZubra комментирует...

    VAVT

    Явно норма затрагивающая права человека должна быть охранительной-императивной. Т.к. это право ОХРАНЯЕТСЯ основным законом и самим государством.

    А приведите пример, выполняющий указанную норму, пожалуйста. А я попробую с Вами согласиться, что Вы привели случай дачи согласия в форме, позволяющей подтвердить факт его получения. При этом не забываем об автоматизированной обработке.

    Сергей комментирует...

    Порядок подачи уведомления в электронном виде:
    после заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Уполномоченного органа по защите прав субъектов персональных данных, Вам необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

    Я ознакомлен(ознакомлена) с порядком подачи уведомления в электронном виде

    Я подтверждаю своё согласие на передачу информации в электронной форме уведомления (в том числе персональных данных) по открытым каналам связи сети Интернет.
    Источник: сайт РКН

    ZZubra комментирует...

    И как доказать, что согласие дал субъект, а не кто-то за него?

    ZZubra комментирует...

    Уточню. Не просто за него. А без его на то согласия или даже уведомления.

    Объективно: существует только один способ подтверждения - доверенность в широком смысле. Милиция доверяет миграционной службе, которая выдала паспорт; я доверяю удостоверяющему центру, регистрационная служба доверяет нотариусу и т.д.
    Тут же вопрос КОНСТИТУЦИОННЫХ и ВООБЩЕ ПРАВ ЧЕЛОВЕКА. Тут с доверием надо быть особенно аккуратным.

    Сергей комментирует...

    Оператору доказывать надо факт получения согласия. Если субъект обнаружит, что его ПДн были переданы не им лично, это уже ему нужно будет доказывать, что он не верблюд и не был в Зензибаре.

    ZZubra комментирует...

    Или Вы (или РКН) за паспортизацию при входе в Интернет. Тогда другое дело. Только механизмы реализовать, законы подправить и сразу начинаем верить никам в Интернете.
    Только тогда уже не ФСБ - страшный поработитель, а РКН и другие либерализаторы.

    ZZubra комментирует...

    Эка Вы махнули! Таким макаром можно сказать, что у продавца БД на рынке есть все согласия от всех устные. Сами пришли и сказали. И пусть теперь граждане доказывают, что не приходили. Так?

    ZZubra комментирует...

    И вообще - как это главное факт согласия от все равно кого, за человека на обработку его персональных данных, а не факт РАЗРЕШЕНИЯ автоматизированной обработки конкретных данных человека от него самого???
    Эдак Вы до отмены ПРАВ ЧЕЛОВЕКА дойдете!

    ZZubra комментирует...

    А ссылочку на РКН не дадите? Мне кажется прокуратура по ним плачет. Ей богу!

    Сергей комментирует...

    Не совсем. В случае согласия в интернет-форме возможно определить адрес отправки (конечно это может быть и интернет кафе, и похищенный мобильник), но оператор закон не нарушает. А в случае продажи баз, во-первых у них есть хозяин (ГИБДД, ПФР и т.д.), во-вторых распространение возможно только с письменного согласия.

    Сергей комментирует...

    http://www.rsoc.ru/personal-data/forms/notification/
    сайт РКН

    ZZubra комментирует...

    Как он не нарушает? Ему СУБЪЕКТ права не давал! Ему дал какой-то ник.

    ZZubra комментирует...

    А хозяина нет! Есть люди, которые пришли и все сами дали. Какие письменные согласия??? Вы начинаете сами себе противоречить.

    ZZubra комментирует...

    Согласие-то которое Вы привели на передачу не персональных данных! Что за подлог?! :)

    Сергей комментирует...

    В данном случае отправленная информация будет позже подтверждена бумагой с печатью. Но по-любому нарушителем является тот, кто отправляет чужие ПДн.
    Никто не помешает мне запоститься как Медведев Д.А., президент РФ.
    А оператор исходит и должен исходить из презумпции добросовестности отправителя.

    Сергей комментирует...

    Почему подлог. В конце формы, в желтом прямоугольнике, в скобках: в том числе персональных данных.

    ZZubra комментирует...

    Э нет! Тут право человека-субъекта выше принципа добросовестности (в том числе мошенника).

    Сергей комментирует...

    2ZZubra, поверьте честных людей больше, если никому не верить, то как жить

    ZZubra комментирует...

    Кстати ФИО исполнителя в форме не обязательно для заполнения. Хотя конечно РКН фигню спороли. Они приказ свой по уведомлениям перевыпустили? Если нет, то это уже совсем противозаконные действия. Сами нарушают свой приказ по подаче уведомлений. Нонсенс!

    ZZubra комментирует...

    Сергей!

    Скажите это тем, кого обворовали, убили, взорвали, изнасиловали и т.д. Или спросите у милиции (за бутылочкой пива во вне рабочее время).

    Сергей комментирует...

    Знаете, читаешь в местной газете криминальную сводку: 100 преступлений, из них 60 - неработающими, 20 - ранее судимыми неработающими, 50- в состоянии опьянения, 10 - подростками. ИМХО это системный кризис, не все ладно в королевстве Датском.

    Gin комментирует...

    Про биометрию с мнением Алексея не согласен.
    1) Для чего у Вас сканируют на входе паспорт? Чтобы в случае чего можно было установить вашу личность, и Вас найти.
    2)Точно также остается вопрос всех фотографий в корпоративных справочниках, если на внутреннем сайте я могу увидеть фотографию Ивана Ивановича, то достаточно очевидно, что висит она там не для красоты, а для возможности идентификации Ивана Ивановича при личной встрече.
    3)Фотографии, которые делают в банках при выдаче кредитов(кредиток). Очевидно, тоже для возможности дальнейшего установления личности человека взявшего кредит(кредитку) в случае, если с кредитом дело пойдет не очень.
    4)А фотография в личном деле сотрудника, она ведь для чего, тоже для идентификации по сути.

    ZZubra комментирует...

    Сергей, а Вы прокатитесь ночью с нарядом милиции. Посмотрите, послушайте. Я и через 10 лет под впечатлением.

    А насчет системного кризиса - так не надо его законодательно поддерживать и усугублять.

    Oleg Vinokourov комментирует...

    От себя пять копеек:
    - понятия "обработчик" нет ни в старом, ни в новом ФЗ - даже формулировка "уполномоченное лицо" из 781-ПП не появилась. Согласно определению оператора и отсутствию вариантов/категорий продолжаем считать условного обработчика оператором со всеми вытекающими (с учетом отмеченных особенностей)
    - письменное согласие не является необходимым только для случаев, указанных в пп. 2-11 п.1 статьи 6. Для случая в п. 1 письменная форма ОБЯЗАТЕЛЬНА. Именно на эти случаи указывает п.4 статьи 9.

    Сергей комментирует...

    Есть понятие "лицо, которому оператор поручил обработку ПДн"

    Oleg Vinokourov комментирует...

    То Сергей:
    Лицо, которому поручена обработка, упоминается и в старой версии (см. статью 6 п. 4). Однако с точки зрения ФЗ нет такой юридической формы "обработчик".
    Касаемо нового ФЗ - "Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом".
    Закон устанавливает принципы обработки (статья 5), правила и ответственность ТОЛЬКО для оператора. Если предположить, что условный "обработчик" - это не оператор в полном смысле ФЗ, то на него практически не распространяются все нормы ФЗ, где указан термин "оператор".
    В европейской конвенции 95/46/EC определены разные роли оператора, а не отдельная категория "обработчик", и для каждой роли оператора установлены соотв. права и обязанности. У нас этот вопрос опять спустили на тормозах - РКН будет продолжать всех считать операторами, а консультанты будут придумывать интересные термины.

    alexniki комментирует...

    Правильно ли я понимаю, что "обработчик", не являясь, согласно определению, оператором ПДн, не должен отправлять Уведомление в РКН об обработке ПДн?

    toparenko комментирует...

    Алексей пишет...
    >Интересно, а рассмотрение кредитной заявки (после неё не всегда следует договор) - это преддоговорная работа или нет?

    5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

    Т.ч. "по инициативе" еще куда ни шло, можно подтянуть, а вот по выгодоприобретателям/поручителям тяжеловато. Предлагалось вместо выделенного "будет" дать "может быть" - не прошло.
    Было еще ряд формулировок, но результатом стала именно эта...

    toparenko комментирует...

    alexnikiпишет...
    >Правильно ли я понимаю, что "обработчик", не являясь, согласно определению, оператором ПДн, не должен отправлять Уведомление в РКН об обработке ПДн?

    Правильно. Уведомление - это обязанность оператора

    toparenko комментирует...

    Oleg Vinokourovпишет...
    >В европейской конвенции 95/46/EC определены разные роли оператора, а не отдельная категория "обработчик", и для каждой роли оператора установлены соотв. права и обязанности.

    Вообще-то Евроконвенция ETS N 108.
    А вот Евродиректива 95/46/EC - и именно в ней есть понятие "processor" (обработчик):
    Article 2 Definitions
    For the purposes of this Directive:

    (e) 'processor' shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;

    Oleg Vinokourov комментирует...

    To alexniki и toparenko:
    Если разделить обработчика и оператора, получается, что вся Глава 4, включая статьи 18, 18.1 и 19, к лицу, которому поручена обработка, не относятся. В этих статьях прямо предъявляются требования только к оператору.
    В рамках этой логики, никакой ФСТЭК и ФСБ, да и РКН, обработчику не страшен :) Открываем шампанское - найдено решение стопроцентно обойти все требования по техн. защите.

    Сергей комментирует...

    2 Oleg Vinokourov
    Тут очередные непонятки. Ответственность перед субъектом несет оператор, обработчик несет ответственность перед оператором - это понятно. А как насчет ответственности обработчика перед регуляторами?
    Я оператор (фирма). Создаю новую фирму "Рога и копыта" и я же поручаю ей обработку. ИЗ документов по защите ПДн у меня только договор. Как и чем будет защищать "Р и К" регуляторы проверить не могут - это не оператор и ответственность они несут только передо мной.

    alexniki комментирует...

    toparenko пишет...

    >alexniki пишет...
    >>Правильно ли я понимаю, что "обработчик", не являясь, согласно определению, оператором ПДн, не должен отправлять Уведомление в РКН об обработке ПДн?

    >Правильно. Уведомление - это обязанность оператора

    Тогда возможна и следующая ситуация: меня как оператора, пославшего уведомление, пришли проверять, а проверять почти и нечего, так как сама обработка ведется у "обработчика", который не включен в план проверок, так как от него не было уведомления.

    Oleg Vinokourov комментирует...

    То Сергей и alexniki:
    Мне нравится "преступный" ход вашей мысли. Именно так - либо все передаем через оператора-помойку, либо (более вероятно) - скидываем все операции на третье лицо (обработчика), а у себя назначаем ответственное лицо (новое требование), который лепит ОРД. Уведомление от оператора не требуется (неавт. обработка), вся авт. обработка у обработчика, только договор сваять нужно.
    Я думаю, не надо никого убеждать, что такой бред не прокатит :)

    Сергей комментирует...

    Мало того, я могу создать обработчика, узнав, что меня будут проверять, и ликвидировать после проверки.

    alexniki комментирует...

    Oleg Vinokourov пишет...

    >Я думаю, не надо никого убеждать, что такой бред не прокатит :)

    Ну помечтать-то можно :)
    Это, к сожалению, не бред, это такие законы у нас выпускают, которые сами в себе содержат "преступный ход мыслей" и т.п.

    vsv комментирует...

    Наверное не все так просто. Опреатор должен опубликовать политику обработки ПДн. В этом докаументе скорее всего будет указано, что обработка осуществляется "обработчиком" с соблюдением требований ст. 19 и политки оператора (это предприсано часть. 3 ст. 6 Закона), далее надо помнить, что наличие или отсутствие уведомления не явлется основанием, что бы не запланировать проверку (по закону не все операторы обязаны давать уведомление - см. часть 2 ст. 22), проверяться могут все. Далее, согласно части 3 ст. 22 оператор в уведомлении обязан сообщить "описание мер, предусмотренных статьями 18прим и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств" или выдать такую информацию по запросу регулятора (ст. 23, часть 3). Так что регулятор будет знать, ГДЕ обрабатываются ПДн и, естественно, может провенрить и "обработчика".

    vsv комментирует...

    Наверное не все так просто. Опреатор должен опубликовать политику обработки ПДн. В этом документе скорее всего будет указано, что обработка осуществляется "обработчиком" с соблюдением требований ст. 19 и политки оператора (это предприсано часть. 3 ст. 6 Закона), далее надо помнить, что наличие или отсутствие уведомления не явлется основанием, что бы не запланировать проверку (по закону не все операторы обязаны давать уведомление - см. часть 2 ст. 22), проверяться могут все. Далее, согласно части 3 ст. 22 оператор в уведомлении обязан сообщить "описание мер, предусмотренных статьями 18прим и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств" или выдать такую информацию по запросу регулятора (ст. 23, часть 3). Так что регулятор будет знать, ГДЕ обрабатываются ПДн и, естественно, может проверить и "обработчика".

    toparenko комментирует...

    >ZZubra
    >А приведите пример, выполняющий указанную норму, пожалуйста

    Даже до этих поправок см. п.21 Постановления Пленума ВС РФ - http://personal-data.livejournal.com/156703.html

    toparenko комментирует...

    Oleg Vinokourovпишет...
    >Уведомление от оператора не требуется (неавт. обработка), вся авт. обработка у обработчика, только договор сваять нужно.

    Не прокатит.
    Оператор может обрабаытвать и/или поручить обработку - но за все (в том числе за защиту и уведомление) отвечает оператор (в принципе то же самое было и раньше, но сейчас это просто более раскрыто).

    toparenko комментирует...

    Сергей пишет...
    >Я оператор (фирма). Создаю новую фирму "Рога и копыта" и я же поручаю ей обработку. ИЗ документов по защите ПДн у меня только договор. Как и чем будет защищать "Р и К" регуляторы проверить не могут - это не оператор и ответственность они несут только передо мной.

    Обработчика как раз будут проверять в рамках проверки оператора. А чем будет защищать "Р и К" как раз Вы __должны определить__, а не только указать требование об обеспечении конфиденциальности ПДн ;-)

    McH комментирует...

    Довольно сложно представить себе организацию, которая не является оператором ПД, ибо ПД своих сотрудников она в любом случае обрабатывает. Так что понятие "обработчика" возникает только относительно целей обработки.

    toparenko комментирует...

    alexnikiпишет...
    >Тогда возможна и следующая ситуация: меня как оператора, пославшего уведомление, пришли проверять, а проверять почти и нечего,

    А акт (поручение оператора), которым Вы поручаете обработку :lol:
    Здесь Вас выдерут по полной программе (если Вы не гос.). А птом еще и к обработчику наведаются т.к. он действует от Вашего имени

    toparenko комментирует...

    McHпишет...
    >Довольно сложно представить себе организацию, которая не является оператором ПД, ибо ПД своих сотрудников она в любом случае обрабатывает. Так что понятие "обработчика" возникает только относительно целей обработки.

    Легко.
    Любой работодатель по целям обработки ПДн сотрудников:
    - форма Т-2 - оператор Росстат
    - выполнение обязанностей налогового агента - оператор ФНС
    - выполнение обязанностей плательщика страховых взносов - операторы ФОМС, ФСС, ПФР
    - учет военнообязанных - оператор Минобороны
    - обработка медицинских данных лиц подлежащих периодическому медобследованию - оператор Роспотребнадзор
    - и т.д. и т.п.

    McH комментирует...

    2 toparenko
    А исполнение трудовых отношений? Трудовой договор?

    toparenko комментирует...

    McH
    >А исполнение трудовых отношений? Трудовой договор?

    Здесь опять надо смотреть на сколько работодатель в ТД прописал определяемые им цели (т.е. того, чего нет в поручении оператора в виде нормативно-правового акта под названием ТК РФ) ;-)

    Oleg Vinokourov комментирует...

    To toparenko:
    - проверяют только операторов, если "обработчик" не оператор, регуляторов может послать.
    - вчитаемся в статью 6 п. 3. Там расписано про поручение оператора. Так вот, требования статьи 19, которые должны быть в этом поручении, относятся только к оператору. Не выполняя их, обработчик, по вашей логике, нарушает положения договора, отвечая копейками, но не нарушает ФЗ.
    - а теперь самое сладкое - оператор несет ответственность за обработчика перед СУБЪЕКТОМ (прямо так и написано). Причем тут регуляторы, если все формальные требования ФЗ соблюдены - поручение есть, но не исполняется? Обработчика не проверишь - у него ответственность только перед оператором, на регламенты ему наплевать.

    Можно и дальше продолжать, но нет смысла - для меня ЛЮБОЕ юрид. лицо, обрабатывающее ПДн (своих работников или чужих субъектов) является ОПЕРАТОРОМ (согласно определению). Что и пытаюсь скудными силами донести до этих операторов.

    McH комментирует...

    2 toparenko
    Шутите все, ТК РФ уже оператором стал :) То, что прямо понятие "обработчика" в законе не ввели означает лишь одно, что РКН и далее будет всех рассматривать как операторов ПД, измениться подход к основаниям и целям обработки.

    ZZubra комментирует...

    для toparenko

    >Даже до этих поправок см. п.21 Постановления Пленума ВС РФ - http://personal-data.livejournal.com/156703.html

    Так это иные ситуации. На них есть исключения. Давным давно. Включая кодифицированность ГК. А вот из бизнеса что-нибудь. Или веб бизнеса. Иначе зачем такие заморочки?

    toparenko комментирует...

    Oleg Vinokourov пишет...
    > - проверяют только операторов, если "обработчик" не оператор, регуляторов может послать.

    А вообще нафига проверять? Задача Уполномоченного обеспечение прав субъектов, а не третирование операторов.
    Задача исключить утечки - и за них оператор должен отвечать по полной программе, тогда и поручение обработчику будет соответствующим.

    > - вчитаемся в статью 6 п. 3. Там расписано про поручение оператора. Так вот, требования статьи 19,

    19 статья была вснута в совершенно другую идею закона - т.ч. ее коллиии я разбирать не собираюсь (пусть разъясняют те, кто беспредельничал перед 2-м чтением)

    > Можно и дальше продолжать, но нет смысла - для меня ЛЮБОЕ юрид. лицо, обрабатывающее ПДн (своих работников или чужих субъектов) является ОПЕРАТОРОМ (согласно определению). Что и пытаюсь скудными силами донести до этих операторов.

    Внимательно читайте определение оператора - обработка не является определяющей для оператора.
    Да и согласно все той же ст.6 обрабатывать может ЛООПДППО

    toparenko комментирует...

    McH пишет...
    > Шутите все, ТК РФ уже оператором стал :)

    Не оператором, а поручением оператора :lol:

    >То, что прямо понятие "обработчика" в законе не ввели означает лишь одно, что РКН и далее будет всех рассматривать как операторов ПД,

    Обработчика не ввели, но ввели ЛООПДППО. Ну обозвали у нас контроллера оператором - ничего от этого не изменяется. Так и с ЛООПДППО - громоздко, но смысл тот же ;)

    toparenko комментирует...

    ZZubra пишет...
    > Так это иные ситуации.

    Чем они конклюдентное согласие (согласие действием) не нравится

    >А вот из бизнеса что-нибудь.

    Вы приходите в бизнес-центр. Выписывая пропуск у Вас попросили паспорт и у Вас на глазак сняли с него скан/ксерокопию. Вы получили пропуск и прошли в бенес-центр.

    Учитывая, что паспорт у Вас не крали/не забирали насильственно/Вы не возмутились можно полагать, что отдавая паспорт Вы дали согласие на его копирование

    Oleg Vinokourov комментирует...

    To toparenko:
    Про обработчика (ЛООПДППО - называйте как хотите) видимо уже все ясно - есть оператор с определенными ФЗ-152 особенностями, но отвечающий перед регуляторами как полноправный оператор. Хотите вы этого или нет, на практике так было, так и будет, вы и сами знаете.
    Про оператора был флейм в сообществе в ЖЖ, повторять не буду - читайте каждое слово в определении оператора (как в старой, так и в новой редакции). Юрид. лицо, осуществляющее обработку, является по двум редакциям оператором. И вторая часть определения ("определяющее цели обработки") является ОБЯЗАТЕЛЬНЫМ требованием согласно статье 5 для любого оператора, в том числе и обработчика. В новой версии есть неуклюжая попытка вывернуться с целями обработки (см. содержание поручения оператора), но это ЦЕЛИ ОПЕРАТОРА, организующего обработку, а цели ЛООПДППО - выполнение условий договора (поручения оператора), т.е. обработчик также имеет цели обработки.

    Алексей Лукацкий комментирует...

    О какая дискуссия завязалась... ;-)

    Отвечу по двум неотвеченным пока вопросам:

    1. Обезличивание. Это было еще в прошлой версии и осталось тут. Если посмотреть на определение обезличивания и персданных, то вы увидите, что процесс обезличивания делает данные НЕ персональными, ибо вы не можете идентифицировать субъекта.

    2. Про фото. Я не сказал, что любое фото - небиометрия. Но многие случаи теперь выпадают из под биометрии. Пропуск - да, попадает. А вот личное дело - не уверен; все зависит от целеполагания. Как и скан паспорта. Мне в нем важна не фото, а паспортные данные. Если вы посмотрите, что записывают сотрудники милиции в судах и иных объектах с ограниченным доступом, то им фото вообще не нужна.

    ZZubra комментирует...

    Конклюдное действие с компьютером? я же напомнил - мы обсуждаем ТОЛЬКО автоматизированную обработку! Насчет копии паспорта - где автоматизированная обработка? И вообще я паспорт сканировать/копировать не дам - зачем мне чужой кредит оплачивать?!

    Скажите,где в определении ПДн слово "идентифицировать"? в русском языке слово "определять" имеет более широкое значение, чем "идентифицировать", так что обезличенные ПДн коль их можно привязать к определяемому в соответствии с целями субъекту есть персональные.

    Oleg Vinokourov комментирует...

    Про обезличивание:
    Уже надоело повторять - в старой редакции "информация, относящаяся к определенному лицу" - где здесь идентификация? В новой редакции - "ЛЮБАЯ информация, относящаяся к определенному лицу" - то же самое. Идентификация появляется в 55/86/20, но никак не относится к обезличиванию, а в ФЗ нет такого термина.
    И в старой, и в новой редакции операция обезличивания, по определению, не позволяет определить ПРИНАДЛЕЖНОСТЬ ПДн - никто не говорит о том, что эти данные после обезличивания теперь не являются персональными, - ведь они все равно относятся к определенному лицу (которое невозможно или затруднительно опрелить без. доп. информации). Более того,в жизни эти данные почти всегда используются как ПДн при наличии конкретизирующей информации.
    Почитайте ЖЖ Ю.В. Травкина - у него это было разжевано.

    Breghnev комментирует...

    Алексей Лукацкий писал:
    "Про фото. Я не сказал, что любое фото - небиометрия. Но многие случаи теперь выпадают из под биометрии."
    Алексей, начнём с того, что любое фото (портрет) - это биометрия (п.1 ст. 11 - "...на основании которых можно установить его личность..."). Согласен, в том же пункте сказано, что согласие нужно на обработку такой биометрии, которая имеет целью для оператора установление личности субъекта ПДн. Но, как уже писал выше Gin, фотографии _всегда_ только с этой целью и обрабатываются. Что касается вашего примера про сотрудников милиции, которые сканят паспорт не ради фото, то смотрим п. 2, 4, 5 Принципов обработки (ст. 5). Если обработка фото не имеет цели - обрабатывать фото нельзя.

    toparenko комментирует...

    Oleg Vinokourov
    >Про обработчика (ЛООПДППО - называйте как хотите) видимо уже все ясно - есть оператор с определенными ФЗ-152 особенностями,

    Обоснуйте ;)

    Со своей стороны:
    Из поределения оператора следует, что оператор может как обрабатывать, так и не обрабатывать ПДн. Все определяющие оператора признаки идут после "а также" (что в русском языке обознаяает "и").

    Предлагал же я убрать нафиг обработку из определения оператора - но ответственные сказали, что и так поймут... Знал же, что опять будем ломать копья :lol:

    Теперь посмотрите на Евроконвенцию (ратифицирована РФ и имеет приоритет перед ЗоПД) - там четко стоит, что конролер это лицо которое в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться.
    И больше никаких слов про обработку или не обработку контролером ;)

    ЛООПДППО не является оператором т.к.:
    1. Не определяет цели, состав ПДн и действия с ними (т.е. не подпадает под определение оператора)
    2. Если бы он был оператором, то тогда бы часть 3 ст.6 начиналась бы "Оператор вправе поручить обработку персональных данных другому оператору".
    В ЗоПД написано лицо, а не оператор ;)

    >но отвечающий перед регуляторами как полноправный оператор

    Хде это написано?

    toparenko комментирует...

    >Насчет копии паспорта - где автоматизированная обработка?

    Сканирование.
    По новой версии ЗоПД оно уже подпадает под автоматизированную обработку

    >И вообще я паспорт сканировать/копировать не дам

    Вот это и будет отсутствие Вашего согласия :lol:

    >Скажите,где в определении ПДн слово "идентифицировать"? в русском языке слово "определять" имеет более широкое значение

    Не "определять", а "определенный" - не далее как вчера я говорил о широком занчении слова "определенный" :lol:
    А вот "определяемый" и "идентифицируемый" являются синонимами

    >так что обезличенные ПДн коль их можно привязать к определяемому в соответствии с целями субъекту есть персональные

    Внимательно посмотрите п.9 ст.3 ЗоПД - там четко сказано, что результаты обезличивания нельзя (без дополнительной информации) привязять к конкретному субъекту. Т.ч. если возможно (без дополнительной информации) привязать данные к конкретному субъекту, то процесс обезличивания не выполнен.

    toparenko комментирует...

    Oleg Vinokourov
    Уже надоело повторять - в старой редакции "информация, относящаяся к определенному лицу" - где здесь идентификация? В новой редакции - "ЛЮБАЯ информация, относящаяся к определенному лицу" - то же самое.

    Не выдирайте пож. фразы из контекста:
    любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу

    Breghnev комментирует...

    "Теперь посмотрите на Евроконвенцию (ратифицирована РФ и имеет приоритет перед ЗоПД)"
    Прошу прощения за оффтоп, но любопытство разбирает. Да, есть ФЗ о ратификации Евроконвенции. Но когда ещё на форуме itsec.ru обсуждали, какое слово фигурирует в этом документе, "хранение" или "накопление", я пытался найти перевод этой пресловутой Евроконвенции. Нашёл штук 5 разных. Официального опубликования не нашёл. Ратификационной грамоты тоже не нашёл. Писал в Госдуму - ответа не было. Киньте ссылку, пожалуйста, на грамоту и официальный перевод, если таковые имеются.

    toparenko комментирует...

    Breghnev
    >Но, как уже писал выше Gin, фотографии _всегда_ только с этой целью и обрабатываются.

    Неужели?
    Например я фотографирую памятник старины, а Вы нагло влезли в кадр - мне потом у Вас еще разрешения справшивать?
    Читатайте ст.152.1 ГК РФ - фотография (и не только, но и портрет, рисунок и т.п.) есть изображение гражданина. И биометрией фото становится лишь тогда, когда оно соответствует требованиям для идентификации (см. ГОСТ).

    Breghnev комментирует...

    >И биометрией фото становится лишь тогда, когда оно соответствует требованиям для идентификации (см. ГОСТ).

    ГОСТ касается автоматической идентификации, с помощью технических средств. А если идентификация производится визуально, то, по-вашему, никакой биометрии здесь нет? Личность-то установить можно.

    toparenko комментирует...

    Breghnev
    >Личность-то установить можно.

    С точностью "два локтя по карте (с)"
    Даже в СКУД и СФЗ требуется комплекс параметров по которым идентифицируется субъект.
    А уж про кличество случаев, когда милиция/полиция не в состоянии найти правонарушителя по результатам записи видеонаблюдения я вообще промолчу ;)

    Ну и см. http://personal-data.livejournal.com/227090.html

    Breghnev комментирует...
    Этот комментарий был удален автором.
    Breghnev комментирует...

    А фотография в паспорте? Она не предназначена для автоматической идентификации. Зачем же она там нужна? Есть соображения? А как же процедура опознания как часть следственных мероприятий? Свидетель при опознании каким ГОСТом руководствуется? Про юридические последствия опознания я уже молчу...
    К слову о Евроконвенции. Нашёл. http://www.coe.ru/news/convention/
    № договора 108 (пункт перечня). Конвенция не ратифицирована.

    toparenko комментирует...

    Breghnev
    >А фотография в паспорте? Она не предназначена для автоматической идентификации.

    Не подскажете зачем в чип нового загранпаспорта вшивается цифровая фотография? Вот там действительно биометрия - и требования к ней довольно жесткие

    >Свидетель при опознании каким ГОСТом руководствуется? Про юридические последствия опознания я уже молчу...

    Никаких юридических последствий одно только опознание не несет. Ни один суд не признает обвинение основывающееся исключительно на опознании

    >К слову о Евроконвенции. Нашёл. http://www.coe.ru/news/convention/
    № договора 108 (пункт перечня). Конвенция не ратифицирована.

    Посмотрите Федеральный закон 2005 года № 160-ФЗ ;)
    РФ не подписала и не ратифицировала Доппротокол к Евроконвенции (одним из положений которого является независимость Уполномоченного, которую так и не устранили в ЗоПД) - потому Европа не принимает ратификационные грамоты и не признает нас ратифицировавшими Евроконвенцию и обеспечивающими адекватную защиту ПДн

    Breghnev комментирует...
    Этот комментарий был удален автором.
    Breghnev комментирует...

    > Не подскажете зачем в чип нового загранпаспорта вшивается цифровая фотография? Вот там действительно биометрия - и требования к ней довольно жесткие

    Затем, чтобы _помимо_ визуального опознания (установления личности) можно было бы законным путём опознавать человека более быстрым и удобным способом. Благо развитие технологий на сегодняшний день позволяет это делать. А фотография в паспорте используется для установления личности вот уже около 100 лет.

    Breghnev комментирует...

    >Посмотрите Федеральный закон 2005 года № 160-ФЗ ;)

    ФЗ есть. Ну и что? А где официальный текст документа? Неужели в юридических разбирательствах мы будем оперировать англоязычным текстом? И в суде тоже? :)

    Oleg Vinokourov комментирует...

    To toparenko:
    Вы "или" в старой и новой редакции видели? Вам не кажется, что по правилам русского языка и логики речь идет и о "определенном лице", и о "определяемом лице" независимо друг от друга (логическое или), и понятие "любая информация" в равной степени относится и к тому, и к другому?
    ТАкой же анализ предложения можно сделать и для старой редакции определения - суть не меняется.
    Я понимаю, что анализ термина "ПДн" и чтение WP136 "Opinion 4/2007 on the concept of personal data" окончательно рушит строгую картину ПДн как информации идентификации - слово до союза "или" не к месту :). Но помочь ничем не могу :)

    toparenko комментирует...

    Breghnev
    > Затем, чтобы _помимо_ визуального опознания (установления личности) можно было бы законным путём опознавать человека более быстрым и удобным способом.

    Помимо оценки комплекса параметров (в число которых входит сличение изображения гражданина с самим гражданином, а также удостоверяющего доверенного документа содержащего персональные данные) можно было бы произвести биометрическую идентификацию ;-)

    Breghnev
    > Неужели в юридических разбирательствах мы будем оперировать англоязычным текстом? И в суде тоже?

    РКН обошелся неофициальным переводом - см. эпопею http://kad.arbitr.ru/?id=2E992633-13F9-450B-A9CC-177AA8A0C505

    >Oleg Vinokourov
    >(логическое или), и понятие "любая информация" в равной степени относится и к тому, и к другому

    Вот потому я не оспариваю существование того, что понимают под "обезличенными ПДн" ;)

    Увы... Но вляпавшись в Евроконвенцию мы должны к ПДн относить и не идентифицирующую информацию относящуюся к субъекту

    Oleg Vinokourov комментирует...

    To toparenko по поводу определения "оператор":
    Я думаю, мы уходим в рекурсию :)
    В ФЗ-152 есть только одна роль - оператор персональных данных. Нет ни определения ЛООПДППО, ни его квалифицирующих признаков, ни даже отдельных требований к нему. Нигде в обоих редакциях нет строгого разделения лиц на операторов и ЛООПДППО (отвратительное сокращение). Везде, где в тексте ФЗ упоминаются третьи лица, осуществляющие обработку, термин "оператор" употребляется для лица, по чьему поручению ЛООПДППО осуществляет обработку - не более. Если принять вашу точку зрения, на ЛООПДППО не распространяются все статьи в ГЛаве 14, включая ст. 19 (я начинаю повторяться) - ведь он не оператор, да и остальные статьи тоже, кроме нескольких? Я полагаю, что регуляторов насмешит такое прочтение ФЗ :)

    toparenko комментирует...

    Oleg Vinokourov
    >В ФЗ-152 есть только одна роль - оператор персональных данных.

    Глубоко заблуждаетесь.
    В ЗоПД есть следующе роли:
    - субъект ПДн
    - оператор ПДн
    - ЛООПДППО
    - третье лицо
    - пользователь ПДн
    - ответственный за организацию обработки персональных данных
    - уполномоченный орган по защите прав субъектов персональных данных

    И только одна из этих ролей самостоятельно определена в ст.3 ЗоПД

    >Нет ни определения ЛООПДППО, ни его квалифицирующих признаков, ни даже отдельных требований к нему.

    См. части 3-5 ст.6 ЗоПД

    >ЛООПДППО (отвратительное сокращение).

    Если не лень, то можете пользоваться термином "лицо, осуществляющее обработку персональных данных по поручению оператора"

    >Везде, где в тексте ФЗ упоминаются третьи лица,

    Здесь вообще коллизия с частью 3 ст.308 ГК РФ: не может "третье лицо" иметь обязанности по обязательствам сторон. А, как минимум, обязанность обеспечить конфиденциальность ПДн уже не соответствует понятию "третье лицо".
    Предлагалось же ввесте понятие "третьей стороны" как в Евродирективе - не прошло...

    >на ЛООПДППО не распространяются все статьи в ГЛаве 14, включая ст. 19

    Не распространяется.
    ЛООПДППО обязан выполнять лишь то, что ему определит опреатор. А вот оператор обязан транслировать все эти требования в поручение оператора и отвечать за то, что что-то не оказалось в поручении оператора ;)

    >Я полагаю, что регуляторов насмешит такое прочтение ФЗ :)

    Ну не насмешил же регуляторов п.22 Приложения 2 к Методическим рекомендациям ЦБ/АРБ - а там писалось еще по предыдущей редакции ЗоПД, где была лишь ч.4 ст.6...

    Oleg Vinokourov комментирует...

    To toparenko:
    1. Про роли не хитрите - вы знаете, что это из контекста пред. постов про роли оператора в 95/46/EC.
    Про ЛООПДППО - а чем помешал термин "уполномоченное лицо"? А частое произношение сокращений ЛООПДППО может вызвать Ктулху :)
    Про полномочия ЛООПДППО:
    Я сразу оценил попытки задним числом через поправки легализовать лицо, осуществляющее обработку - в старой редакции, 781-ПП и Приказе 58 термин употреблялся, но это лицо понималось как отдельный оператор. Однако, как вы уже неоднократно отметили, спешка и возня со вторым и третьим чтением привела к тому, что в новой редакции одни разделы противоречат другим или вносят дополнительную путаницу. Поэтому попытка снять ответственность с ЛООПДППО, ИМХО, не удалась.
    Надо было законотворцам тщательнЕе работать с текстом:
    - Доработать определение оператора, чтобы исключить простого обработчика - третье лицо.
    - Дать определение ЛООПДППО :)
    - Не писать (внимание-цитата) "Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом." - его автоматически приравнивают к оператору по обязанностям и ответственности!
    - Поменять название Главы 4 на "Обязанности оператора и лица, ..."
    - Не давать ссылку на статью 19 в п. 3 Статьи 9, так как требования в статье 19 ТОЛЬКО к оператору, про третьи лица ни слова. Либо уже написать требования и для операторов, и для третьих лиц подробно.
    - доработать новую ст. 18.1 - как я понимаю, часть (если не все) пунктов уполномоченных лиц тоже касаются.
    - ну и, наконец, не писать фигни в статье 24 (цитата) "Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность." Это прямо контрастирует с п. 5 Статьи 6 - получается, что за нарушение принципов и правил обработки ответственность несет и третье лицо тоже, и не только перед оператором.
    - по поводу рекомендаций ЦБ, АРБ и иже с ними - вы их правовой статус прекрасно знаете (особенно в свете третьей редакции), согласующая подпись регулятора тоже имеет известную силу. Пойдут проверки ФТСЭК и ФСБ - я посмотрю, как они сразу так и начнут изучать документы ЦБ, стандарты и пр. :) Практика показывает, что подпись ничего не гарантирует.

    toparenko комментирует...

    2 Oleg Vinokourov

    >вы знаете, что это из контекста пред. постов про роли оператора в 95/46/EC

    Зря Вы про Евродирективу ;-)
    Там как раз есть в определениях роли:
    - контролера (у нас оператор ПДн)
    - провайдера (у нас ЛООПДППО)
    - третьей стороны (а не третьего лица как у нас)
    - получателя ПДн

    Это как раз в Евроконвенции отделались лишь ролью контролера (при этом Евродиректива не противоречит Евроконвенции) :lol:

    >спешка и возня со вторым и третьим чтением

    Не-а
    Там было то, что на языке обывателя называется "беспредел".

    В результате получили следующую аналогию: 2 года куча разных спецов рехтовала вставную челюсть, а потом "небудемтыкатьпальцемкто" выдрал один зуб и воткнул туда пулю от пистолета Макарова.
    Еще раз подчеркну, что уже изначально это (вставная челюсть) инородный элемент. Далее рехтовали кто как мог и чем мог - кто надфилем, кто шрабером, а кто и рашпилем прошелся. Естественно о качестве столь компромиссного решения говорить трудно...
    Ну, а теперь, всем этим "произведением" нам предстоит "жевать"... :-)

    >Надо было законотворцам тщательнЕе работать с текстом

    2-е, 3-е чтение, СФ и Гарант уже показали как админресурс влияет на все поползновения "тщательной работы с текстом"

    toparenko комментирует...

    2 Oleg Vinokourov

    >Либо уже написать требования и для операторов, и для третьих лиц подробно

    Еще раз: третьи лица не несут никаких обязательств. Соответственно никаких обязанностей для третьих лиц просто не могет быть в природе.

    Обязанности для третьей стороны (ЛООПДППО) определяет оператор и больше никто. Оператор же и отвечает как за организацию обработки, так и за защиту ПДн. И это четко прописано в ЗоПД.

    И если это выполнять, то сразу же значительно облегчается борьба с утечками (даже в рамках существующих наказаний). Например появилась на рынке база паспортов или ГИБДД - согласно ст.13.11 КоАП назначается штраф в 500-1000 руб руководителю оператора (лично Нургалиеву)...
    И сразу и виновных найдут, и расследование проведут, и меры по предотвращению дальнейших утечек примут :lol:

    А сейчас утекла база, а крайних "никак" найти не могут т.к. "почему-то" все территориальные управления и отделния МВД/ФМС/ГИБДД являются самостоятельными операторами (хотя они нифига не определяют цели и состав обрабатываемых ПДн). Соотвественно не "могут" найти откуда же утекла база ;-)

    Или по этому случаю http://www.e1.ru/news/spool/news_id-353042-section_id-107.html наказали бы Мебельщика, пусть даже на 500 рублей...

    И т.д. и т.п.

    >Практика показывает, что подпись ничего не гарантирует.

    Это уже другой вопрос. Напомню, что речь шла о том, что статус ЛООПДППО (как не оператора) рассмешит регуляторов. ;-D

    Андрей Абрамов комментирует...

    "...С хранением связан и другой интересный момент - теперь по достижению целей или срока их обработки данные можно не уничтожать - достаточно их обезличить..."

    Утверждение либо неверно, либо коллизия в законе - статьи 5 и 21. В статье 21 говорится только про уничтожение.

    maxad комментирует...

    Перечитав ст.6 закона, убедился, что она дает право коллекторам
    обрабатывать ПДн.
    Первый часть статьи говорит:"..... Обработка ПДн допускается в
    следующих случаях;"И далее идет пронумерованный список разных!!! случаев:"1)обработка персональных данных осуществляется с согласия субъекта персональных данных .....2).....
            "7)обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;....."- а этот случай относится не к тому, кому субъект должен, а к коллектору, который, получив от Кредитора ПДн должника, немедленно сообщит должнику о том, что он, получив от Кредитора ПДн на основании ч8 ст9 и имея подтверждение о наличии оснований по п.7 ч1 ст6, начинает обработку его ПД с целью осуществления прав и законных интересов третьего лица, а именно
    Кредитора. Одно такое сообщение ускорит погашение задолженности.


    Как то так.

    Однако: http://www.dni.ru/economy/2011/9/1/218062.html
    И это уже в августе

    Алексей Лукацкий комментирует...

    Проблема не в банке, а в коллекторе - он не может ссылаться на законные права банка, т.к. именно у коллектора нет взаимоотношений с субъектом. Там совершенно другие основания для обработки ПДн коллекторами

    Гаврилин Алексей комментирует...

    В п.3 ст.6 сказано "Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных".
    Получается чтобы поручить обработку ПД, нужно сначала спросить у субъекта ПД разрешение на передачу данных обработчику?
    И еще должен обработчик быть оператором ПД или нет?

    Алексей Лукацкий комментирует...

    Именно так - передача ПДн только с согласия (или без согласия, если это попадает в исключения).

    romarius-2010 комментирует...

    Я прошу прощения за вторжение в дискуссию.

    А какой пример обработки ПД по поручению может иметь место?

    Вот, скажем, работодатель заключает договор с банком на открытие зарплатных счетов для сотрудников. Передача ПД, безусловно, происходит. Как без этого?

    Но что происходит в данном случае? Поручение на обработку? Или же просто передача ПД? А уже банк сам обрабатывает ПД как оператор.