13.12.2012

Как Роскомнадзор спамерам помогал

Есть такое требование ФЗ-152 - оператор должен уведомить РКН о начале обработки ПДн, а РКН должен внести такого оператора в реестр. Форма уведомления описана в приказе Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных", а сам реестр находится в открытом доступе на портале РКН. Это все присказка, сказка будет впереди ;-)

Среди прочего в данном уведомлении указывается "ФИО физического лица, ответственного за обработку персональных данных", а также номера их контактных телефонов, почтовые адреса и адреса электронной почты. А дальше самое интересное. Эта информация в неизменном виде попадает в публичный реестр РКН и затем светится на сайте без каких-либо ограничений. Я не говорю про то, что персональные данные ответственных лиц становятся общедоступными и не факт, что эти лица давали согласие на передачу своих ПДн Роскомнадзору (а Роскомнадзор получает эти ПДн не напрямую от субъекта). Это все лирика, которая не стоит внимания.

Проблема в другом. Указанные лица в соответствие со статьей 18.1 должны находится в подчинении исполнительного органа оператора ПДн, т.е. напрямую подчинятся гендиректору, президенту, совету директоров и т.п. Иными словами люди это, как правило, высокопоставленный и обеспеченные. А тут их контактные данные выложены в свободный доступ... Вот только один пример.



Идеальная база для спама ;-) Которой уже начали пользоваться, а указанные в уведомлениях руководители столкнулись с получением по почте и телефону (там где он прямой) предложений о приобретении колготок, посещении стоматологии, увеличении гениталий и других любимых у спамеров продуктов и услуг...

Главное, что теперь, эти ответственные люди, которые могли бы помогать решать вопросы защиты прав субъектов ПДн в своих организациях, в гробу видели и персданные, и РКН, и все повторные попытки придти к ним с какой-либо аналогичной инициативой.

Вообще РКН в последнее время умудряется своими замечательными инициативами делать, мягко скажем, всю черную работу за нарушителей. Ну вот не знал я, где в Интернет продаются наркотики (правда и не хотел знать). Но теперь вся эта информация сведена в единый реестр, который регулярно находится в открытом доступе. Ну вот не знял я, какие у нас самые экстремисткие материалы. Но теперь РКН их рекламирует путем их запрета (а запретный плод сладок). Ну вот сталкивались спамера с проблемой баз данных небедной целевой аудитории. Но теперь РКН предлагает такую базу на 300 тысяч адресов...  Наверняка хотели как лучше, а получилось...

16 коммент.:

Eugene S комментирует...

Но ведь далеко не у всех операторов эта информация засвечена в реестре. Почему у некоторых есть, у некоторых нет?

Алексей Лукацкий комментирует...

А фиг знает

mikech74 комментирует...

Странный какой-то пост. Вы, Алексей, вроде как специалист, эксперт. Являетесь членом консультативного совета при уполномоченном органе. Вот скажите, причем тут Роскомнадзор, если законодатель в ч.4 ст.22 закона о персональных данных положил, что сведения , содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. Высокопоставленные персоны, о которых Вы так печетесь, во-первых должны с законом быть знакомы и четко представлять себе, что "ответственный за организацию..." по определению человек публичный, а во-вторых, кто им мешает указывать электронный адрес организации, а не свой личный.

ZZubra комментирует...

У многих не указан, потому что подавали уведомление по старой форме, где не указывался ответственный. А вот те кто тянул - получите ))) Хотя, кто не тянул - тоже должны внести изменения.

А по поводу общедоступности - обратимся к ФЗ152. Общедоступными ПДн могут быть ТОЛЬКО по письменному согласию субъекта. В старой редакции в определениях было указано, что и по закону, а в новой определения убрали - осталась только статья, и невозможность сделать ПДн общедоступными по закону ))))) Даже по самому ФЗ152!

Привет всем кто бился за новую редакцию закона - Это Ваш косяк, ФСБ к этим статьям руки не прикладывала. Теперь все страдают.

Алексей Т. комментирует...

Я бы сказал, что здесь помощь не просто спамерам, а продавцам услуг по защите ПДн - обзванивай всех с вопросами "а Вам не надо?". Но в любом случае ничего странного в этом не вижу - для того и есть антиспам, чтобы со спамом бороться...

mikech74 комментирует...

2 ZZubra
Мне кажется здесь не 8 статья работает, а п.11 ст.6 №152-ФЗ - осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Никакого письменного согласия не требуется.

Михаил Емельянников комментирует...
Этот комментарий был удален автором.
Михаил Емельянников комментирует...

ZZubra пишет .
Неправда. В законе есть:
персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
персональные данные, подлежащие опубликованию или в соответствии с федеральным законом;
персональные данные, подлежащие обязательному раскрытию в соответствии с федеральным законом.
Вот данные об ответственном лице - как раз подлежащие обязательному раскрытию (Сведения, содержащиеся в реестре операторов, за исключением ...являются общедоступными).
А вот что это серьезный косяк - полностью согласен. Как и требования согласия на передачу ПДн при уведомлении по открытым каналам, потому как ч.4 ст.23 152-ФЗ "В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных".

Шауро Евгений комментирует...

Мало ли что там написано:
б) фамилия, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;


В уведомлении можно указать:
Ответственный: Пупкин Василий Васильевич
тел (495) 123-45-67 (без окончания)
адрес info@bank.ru
почтовый адрес не секрет

Алексей Майоров комментирует...

Да уж косяк самый натуральный. А насчет липовых данных, это же предоставление заведомо ложных сведений в официальных документах.

ZZubra комментирует...

2Михаил Емельянников и mikech74

Готов немного поспорить, рассмотрев каждый из приведенных случаев:
1. персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- ну это как раз случай когда согласие дает сам субъект.

2. персональные данные, подлежащие опубликованию или в соответствии с федеральным законом;
и
3. персональные данные, подлежащие обязательному раскрытию в соответствии с федеральным законом.
- это из одного пункта, потому объединю. Итак, финт ушами: где написано, что "обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом" относится к "общедоступным данным"? Причем умом то я понимаю, что как бы так и есть, но очень часто государственные заказчики тыкают в обратное. Причем их юридические службы. Осмелюсь озвучить мысль, что "персональные данные, подлежащие опубликованию" могут быть НЕ общедоступными, это еще один статус персданных - "подлежащие опубликованию/раскрытию". И, к сожалению, вряд ли удастся по ФЗ поставить между ними знак равенства.

И раз уж зашел разговор про статусы и категории: относится ли фамилия к специальной категории персданных? И да и нет ))) как оператор/субъект захотят - зависит от ситуации. Доказываю:
"Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев..."
и
"Обработка персональных данных о судимости может осуществляться..."

Следуя формулировке получаем, что существует множество персданных, относящихся к специальной категории. Некоторые элементы этого множества (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) имеют особый порядок обращения, другой элемент (о судимости) имеет еще один сверхособый порядок обращения. Отсюда следует, что элементы множества, не перечисленные в законе просто не имеют особых правил обработки, но это не значит, что они не являются специальной категорией.

Конечно эта муть идет от неоднозначности формулировок, приведенных в законе. Написать ясно и однозначно или не могут или не хотят, оставляя описанную мной лазейку на случай необходимости определить еще один специальный порядок для другого элемента специальной категории, например, для биометрических персданных. Ах, он уже описан? Тогда осталось их отнести к спецкатегории и всего делов ))))

Алексей Лукацкий комментирует...

Резюмируя: операторы обязаны выполнять закон. Роскомнадзор ни причем, тк выполняет требования закона. Поменять закон некому, тк РКН не является субъектом законодательной инициативы. Это, правда, не помешало РКН стать инициатором внесения поправок в КоАП по увеличению штрафов и выпустить проект ПП по контролю и надзору. Но это случайность, конечно.

Реестр велся, ведется и вестись будет и будет оставаться публичным. Ну а интересы субъектов?.. А на них наплевать как всегда. Мы же в правовом государстве живем. Интересы одного субъекта - это такие мелочи по сравнению с миром во всем мире. То, что реестр никак не влияет на уровень защиты прав субъектов, тоже никого не волнует. Закон есть закон и РКН поставлен его выполнять и охранять. Точка. А операторам совет - указывать общие телефоны и мыло, а ФИО... Тут тоже варианты есть ;-)

vinograss комментирует...

Почта и телефон - с этим все понятно. Телефон кул центра, почта info@bank.ru. Но есть другое. Представим, что человек хочет решить свои проблемы, звонит в кул центр - ФИО знает - проблем нет. Кордон пройден. И начинает грузить ответственного. Все ничего, а если человек больной и хочет покончить с собой - а кто виноват. Ответственный. В предсмертной записке будет его винить. Во его по судам затаскают. Всё душу вывернут. И оправдывайся после этого, что информация на сайте РКН выложена. И он не причем тут.

Шауро Евгений комментирует...

Это тоже самое, что звонить в кремль и просить к телефону ВВП.

Svyazist комментирует...

Алексей, вот критикуете вы РКН, а они вот статью в т.ч. и вашего авторства сегодня опубликовали))) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве - Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.
http://rsoc.ru/news/rsoc/news17877.htm

Алексей Лукацкий комментирует...

Ну что ж мне теперь не критиковать их? Я и ФСТЭК критикую, хотя у нас вполне себе нормальное сотрудничество налажено. И с РКН такая же ситуация. По каким-то направлениям я их хвалю, по каким-то критикую. Это нормально