tag:blogger.com,1999:blog-4065770693499115314.post5639943725978564026..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Размышления о новом ФЗ-152Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger114125tag:blogger.com,1999:blog-4065770693499115314.post-74270876778980547542020-08-20T07:55:54.925+03:002020-08-20T07:55:54.925+03:00Этот комментарий был удален администратором блога.dr danielshttps://www.blogger.com/profile/02365355769809060689noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-87220611786659330622011-10-03T13:45:39.146+04:002011-10-03T13:45:39.146+04:00Я прошу прощения за вторжение в дискуссию.
А как...Я прошу прощения за вторжение в дискуссию. <br /><br />А какой пример обработки ПД по поручению может иметь место?<br /><br />Вот, скажем, работодатель заключает договор с банком на открытие зарплатных счетов для сотрудников. Передача ПД, безусловно, происходит. Как без этого?<br /><br />Но что происходит в данном случае? Поручение на обработку? Или же просто передача ПД? А уже банк сам обрабатывает ПД как оператор.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-91359676507205106422011-09-13T02:07:25.817+04:002011-09-13T02:07:25.817+04:00Именно так - передача ПДн только с согласия (или б...Именно так - передача ПДн только с согласия (или без согласия, если это попадает в исключения).Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-704978626075027812011-09-12T23:23:51.420+04:002011-09-12T23:23:51.420+04:00В п.3 ст.6 сказано "Оператор вправе поручить ...В п.3 ст.6 сказано "Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных".<br />Получается чтобы поручить обработку ПД, нужно сначала спросить у субъекта ПД разрешение на передачу данных обработчику?<br />И еще должен обработчик быть оператором ПД или нет?Гаврилин Алексейhttps://www.blogger.com/profile/05491758963333592025noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33571552037287423652011-09-02T12:28:54.258+04:002011-09-02T12:28:54.258+04:00Проблема не в банке, а в коллекторе - он не может ...Проблема не в банке, а в коллекторе - он не может ссылаться на законные права банка, т.к. именно у коллектора нет взаимоотношений с субъектом. Там совершенно другие основания для обработки ПДн коллекторамиАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33314504279784352552011-09-02T12:02:43.157+04:002011-09-02T12:02:43.157+04:00Перечитав ст.6 закона, убедился, что она дает прав...Перечитав ст.6 закона, убедился, что она дает право коллекторам<br />обрабатывать ПДн. <br />Первый часть статьи говорит:"..... Обработка ПДн допускается в<br />следующих случаях;"И далее идет пронумерованный список разных!!! случаев:"1)обработка персональных данных осуществляется с согласия субъекта персональных данных .....2).....<br /> "7)обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;....."- а этот случай относится не к тому, кому субъект должен, а к коллектору, который, получив от Кредитора ПДн должника, немедленно сообщит должнику о том, что он, получив от Кредитора ПДн на основании ч8 ст9 и имея подтверждение о наличии оснований по п.7 ч1 ст6, начинает обработку его ПД с целью осуществления прав и законных интересов третьего лица, а именно<br />Кредитора. Одно такое сообщение ускорит погашение задолженности.<br /><br /><br />Как то так.<br /><br />Однако: http://www.dni.ru/economy/2011/9/1/218062.html<br />И это уже в августеAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-18584880641868409252011-08-18T12:42:34.243+04:002011-08-18T12:42:34.243+04:00"...С хранением связан и другой интересный мо..."...С хранением связан и другой интересный момент - теперь по достижению целей или срока их обработки данные можно не уничтожать - достаточно их обезличить..." <br /><br />Утверждение либо неверно, либо коллизия в законе - статьи 5 и 21. В статье 21 говорится только про уничтожение.Андрей Абрамовhttps://www.blogger.com/profile/08961818555467073608noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70188575109333912802011-08-03T16:19:34.418+04:002011-08-03T16:19:34.418+04:002 Oleg Vinokourov
>Либо уже написать требован...2 Oleg Vinokourov <br /><br />>Либо уже написать требования и для операторов, и для третьих лиц подробно<br /><br />Еще раз: третьи лица не несут никаких обязательств. Соответственно никаких обязанностей для третьих лиц просто не могет быть в природе.<br /><br />Обязанности для третьей стороны (ЛООПДППО) определяет оператор и больше никто. Оператор же и отвечает как за организацию обработки, так и за защиту ПДн. И это четко прописано в ЗоПД.<br /><br />И если это выполнять, то сразу же значительно облегчается борьба с утечками (даже в рамках существующих наказаний). Например появилась на рынке база паспортов или ГИБДД - согласно ст.13.11 КоАП назначается штраф в 500-1000 руб руководителю оператора (лично Нургалиеву)...<br />И сразу и виновных найдут, и расследование проведут, и меры по предотвращению дальнейших утечек примут :lol:<br /><br />А сейчас утекла база, а крайних "никак" найти не могут т.к. "почему-то" все территориальные управления и отделния МВД/ФМС/ГИБДД являются самостоятельными операторами (хотя они нифига не определяют цели и состав обрабатываемых ПДн). Соотвественно не "могут" найти откуда же утекла база ;-)<br /><br />Или по этому случаю http://www.e1.ru/news/spool/news_id-353042-section_id-107.html наказали бы Мебельщика, пусть даже на 500 рублей...<br /><br />И т.д. и т.п.<br /><br />>Практика показывает, что подпись ничего не гарантирует.<br /><br />Это уже другой вопрос. Напомню, что речь шла о том, что статус ЛООПДППО (как не оператора) рассмешит регуляторов. ;-DAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-86734140562060591532011-08-03T16:18:38.815+04:002011-08-03T16:18:38.815+04:002 Oleg Vinokourov
>вы знаете, что это из конт...2 Oleg Vinokourov <br /><br />>вы знаете, что это из контекста пред. постов про роли оператора в 95/46/EC<br /><br />Зря Вы про Евродирективу ;-)<br />Там как раз есть <b>в определениях</b> роли:<br />- контролера (у нас оператор ПДн)<br />- провайдера (у нас ЛООПДППО)<br />- третьей стороны (а не третьего лица как у нас)<br />- получателя ПДн<br /><br />Это как раз в Евроконвенции отделались лишь ролью контролера (при этом Евродиректива не противоречит Евроконвенции) :lol:<br /><br />>спешка и возня со вторым и третьим чтением<br /><br />Не-а<br />Там было то, что на языке обывателя называется "беспредел".<br /><br />В результате получили следующую аналогию: 2 года куча разных спецов рехтовала вставную челюсть, а потом "небудемтыкатьпальцемкто" выдрал один зуб и воткнул туда пулю от пистолета Макарова.<br />Еще раз подчеркну, что уже изначально это (вставная челюсть) инородный элемент. Далее рехтовали кто как мог и чем мог - кто надфилем, кто шрабером, а кто и рашпилем прошелся. Естественно о качестве столь компромиссного решения говорить трудно...<br />Ну, а теперь, всем этим "произведением" нам предстоит "жевать"... :-)<br /><br />>Надо было законотворцам тщательнЕе работать с текстом<br /><br />2-е, 3-е чтение, СФ и Гарант уже показали как админресурс влияет на все поползновения "тщательной работы с текстом"Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-38905775798513468232011-08-03T15:19:33.150+04:002011-08-03T15:19:33.150+04:00To toparenko:
1. Про роли не хитрите - вы знаете, ...To toparenko:<br />1. Про роли не хитрите - вы знаете, что это из контекста пред. постов про роли оператора в 95/46/EC.<br />Про ЛООПДППО - а чем помешал термин "уполномоченное лицо"? А частое произношение сокращений ЛООПДППО может вызвать Ктулху :)<br />Про полномочия ЛООПДППО:<br />Я сразу оценил попытки задним числом через поправки легализовать лицо, осуществляющее обработку - в старой редакции, 781-ПП и Приказе 58 термин употреблялся, но это лицо понималось как отдельный оператор. Однако, как вы уже неоднократно отметили, спешка и возня со вторым и третьим чтением привела к тому, что в новой редакции одни разделы противоречат другим или вносят дополнительную путаницу. Поэтому попытка снять ответственность с ЛООПДППО, ИМХО, не удалась.<br />Надо было законотворцам тщательнЕе работать с текстом:<br />- Доработать определение оператора, чтобы исключить простого обработчика - третье лицо.<br />- Дать определение ЛООПДППО :)<br />- Не писать (внимание-цитата) "Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом." - его автоматически приравнивают к оператору по обязанностям и ответственности!<br />- Поменять название Главы 4 на "Обязанности оператора и лица, ..."<br />- Не давать ссылку на статью 19 в п. 3 Статьи 9, так как требования в статье 19 ТОЛЬКО к оператору, про третьи лица ни слова. Либо уже написать требования и для операторов, и для третьих лиц подробно.<br />- доработать новую ст. 18.1 - как я понимаю, часть (если не все) пунктов уполномоченных лиц тоже касаются.<br />- ну и, наконец, не писать фигни в статье 24 (цитата) "Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность." Это прямо контрастирует с п. 5 Статьи 6 - получается, что за нарушение принципов и правил обработки ответственность несет и третье лицо тоже, и не только перед оператором.<br />- по поводу рекомендаций ЦБ, АРБ и иже с ними - вы их правовой статус прекрасно знаете (особенно в свете третьей редакции), согласующая подпись регулятора тоже имеет известную силу. Пойдут проверки ФТСЭК и ФСБ - я посмотрю, как они сразу так и начнут изучать документы ЦБ, стандарты и пр. :) Практика показывает, что подпись ничего не гарантирует.Oleg Vinokourovhttps://www.blogger.com/profile/04271328393416009055noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-69468912513544269542011-08-03T14:06:22.291+04:002011-08-03T14:06:22.291+04:00Oleg Vinokourov
>В ФЗ-152 есть только одна рол...Oleg Vinokourov <br />>В ФЗ-152 есть только одна роль - оператор персональных данных. <br /><br />Глубоко заблуждаетесь.<br />В ЗоПД есть следующе роли:<br />- субъект ПДн<br />- оператор ПДн<br />- ЛООПДППО<br />- третье лицо<br />- пользователь ПДн<br />- ответственный за организацию обработки персональных данных<br />- уполномоченный орган по защите прав субъектов персональных данных<br /><br />И только одна из этих ролей самостоятельно определена в ст.3 ЗоПД<br /><br />>Нет ни определения ЛООПДППО, ни его квалифицирующих признаков, ни даже отдельных требований к нему. <br /><br />См. части 3-5 ст.6 ЗоПД<br /><br />>ЛООПДППО (отвратительное сокращение). <br /><br />Если не лень, то можете пользоваться термином "лицо, осуществляющее обработку персональных данных по поручению оператора"<br /><br />>Везде, где в тексте ФЗ упоминаются третьи лица, <br /><br />Здесь вообще коллизия с частью 3 ст.308 ГК РФ: не может "третье лицо" иметь обязанности по обязательствам сторон. А, как минимум, обязанность обеспечить конфиденциальность ПДн уже не соответствует понятию "третье лицо".<br />Предлагалось же ввесте понятие "третьей стороны" как в Евродирективе - не прошло...<br /><br />>на ЛООПДППО не распространяются все статьи в ГЛаве 14, включая ст. 19 <br /><br />Не распространяется.<br />ЛООПДППО обязан выполнять лишь то, что ему определит опреатор. А вот оператор обязан транслировать все эти требования в поручение оператора и отвечать за то, что что-то не оказалось в поручении оператора ;)<br /><br />>Я полагаю, что регуляторов насмешит такое прочтение ФЗ :)<br /><br />Ну не насмешил же регуляторов п.22 Приложения 2 к Методическим рекомендациям ЦБ/АРБ - а там писалось еще по предыдущей редакции ЗоПД, где была лишь ч.4 ст.6...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79873982573761956572011-08-03T12:33:17.350+04:002011-08-03T12:33:17.350+04:00To toparenko по поводу определения "оператор&...To toparenko по поводу определения "оператор":<br />Я думаю, мы уходим в рекурсию :)<br />В ФЗ-152 есть только одна роль - оператор персональных данных. Нет ни определения ЛООПДППО, ни его квалифицирующих признаков, ни даже отдельных требований к нему. Нигде в обоих редакциях нет строгого разделения лиц на операторов и ЛООПДППО (отвратительное сокращение). Везде, где в тексте ФЗ упоминаются третьи лица, осуществляющие обработку, термин "оператор" употребляется для лица, по чьему поручению ЛООПДППО осуществляет обработку - не более. Если принять вашу точку зрения, на ЛООПДППО не распространяются все статьи в ГЛаве 14, включая ст. 19 (я начинаю повторяться) - ведь он не оператор, да и остальные статьи тоже, кроме нескольких? Я полагаю, что регуляторов насмешит такое прочтение ФЗ :)Oleg Vinokourovhttps://www.blogger.com/profile/04271328393416009055noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-80507791646736491042011-08-03T12:10:14.992+04:002011-08-03T12:10:14.992+04:00Breghnev
> Затем, чтобы _помимо_ визуального о...Breghnev <br />> Затем, чтобы _помимо_ визуального опознания (установления личности) можно было бы законным путём опознавать человека более быстрым и удобным способом.<br /><br />Помимо оценки комплекса параметров (в число которых входит сличение изображения гражданина с самим гражданином, а также удостоверяющего доверенного документа содержащего персональные данные) можно было бы произвести биометрическую идентификацию ;-)<br /><br />Breghnev <br />> Неужели в юридических разбирательствах мы будем оперировать англоязычным текстом? И в суде тоже?<br /><br />РКН обошелся неофициальным переводом - см. эпопею http://kad.arbitr.ru/?id=2E992633-13F9-450B-A9CC-177AA8A0C505<br /><br />>Oleg Vinokourov <br />>(логическое или), и понятие "любая информация" в равной степени относится и к тому, и к другому<br /><br />Вот потому я не оспариваю существование того, что понимают под "обезличенными ПДн" ;)<br /><br />Увы... Но вляпавшись в Евроконвенцию мы должны к ПДн относить и <b>не идентифицирующую</b> информацию относящуюся к субъектуAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64406903023962666522011-08-03T11:52:46.738+04:002011-08-03T11:52:46.738+04:00To toparenko:
Вы "или" в старой и новой ...To toparenko:<br />Вы "или" в старой и новой редакции видели? Вам не кажется, что по правилам русского языка и логики речь идет и о "определенном лице", и о "определяемом лице" независимо друг от друга (логическое или), и понятие "любая информация" в равной степени относится и к тому, и к другому?<br />ТАкой же анализ предложения можно сделать и для старой редакции определения - суть не меняется.<br />Я понимаю, что анализ термина "ПДн" и чтение WP136 "Opinion 4/2007 on the concept of personal data" окончательно рушит строгую картину ПДн как информации идентификации - слово до союза "или" не к месту :). Но помочь ничем не могу :)Oleg Vinokourovhttps://www.blogger.com/profile/04271328393416009055noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56270670965853544152011-08-03T11:52:21.846+04:002011-08-03T11:52:21.846+04:00>Посмотрите Федеральный закон 2005 года № 160-Ф...>Посмотрите Федеральный закон 2005 года № 160-ФЗ ;)<br /><br /> ФЗ есть. Ну и что? А где официальный текст документа? Неужели в юридических разбирательствах мы будем оперировать англоязычным текстом? И в суде тоже? :)Breghnevhttps://www.blogger.com/profile/06756307778803310634noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-7124194146845136112011-08-03T11:45:46.027+04:002011-08-03T11:45:46.027+04:00> Не подскажете зачем в чип нового загранпаспор...> Не подскажете зачем в чип нового загранпаспорта вшивается цифровая фотография? Вот там действительно биометрия - и требования к ней довольно жесткие<br /><br />Затем, чтобы _помимо_ визуального опознания (установления личности) можно было бы законным путём опознавать человека более быстрым и удобным способом. Благо развитие технологий на сегодняшний день позволяет это делать. А фотография в паспорте используется для установления личности вот уже около 100 лет.Breghnevhttps://www.blogger.com/profile/06756307778803310634noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48923082353133736042011-08-03T11:44:54.196+04:002011-08-03T11:44:54.196+04:00Этот комментарий был удален автором.Breghnevhttps://www.blogger.com/profile/06756307778803310634noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-30921500905637943532011-08-03T11:17:23.393+04:002011-08-03T11:17:23.393+04:00Breghnev
>А фотография в паспорте? Она не пред...Breghnev <br />>А фотография в паспорте? Она не предназначена для автоматической идентификации. <br /><br />Не подскажете зачем в чип нового загранпаспорта вшивается цифровая фотография? Вот там действительно биометрия - и требования к ней довольно жесткие<br /><br />>Свидетель при опознании каким ГОСТом руководствуется? Про юридические последствия опознания я уже молчу...<br /><br />Никаких юридических последствий <b>одно только</b> опознание не несет. Ни один суд не признает обвинение основывающееся исключительно на опознании<br /><br />>К слову о Евроконвенции. Нашёл. http://www.coe.ru/news/convention/<br />№ договора 108 (пункт перечня). Конвенция не ратифицирована.<br /><br />Посмотрите Федеральный закон 2005 года № 160-ФЗ ;)<br />РФ не подписала и не ратифицировала <b>Доппротокол к Евроконвенции</b> (одним из положений которого является независимость Уполномоченного, которую так и не устранили в ЗоПД) - потому Европа не принимает ратификационные грамоты и не признает нас ратифицировавшими Евроконвенцию и обеспечивающими адекватную защиту ПДнAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14760020249363754742011-08-03T10:57:59.136+04:002011-08-03T10:57:59.136+04:00А фотография в паспорте? Она не предназначена для ...А фотография в паспорте? Она не предназначена для автоматической идентификации. Зачем же она там нужна? Есть соображения? А как же процедура опознания как часть следственных мероприятий? Свидетель при опознании каким ГОСТом руководствуется? Про юридические последствия опознания я уже молчу...<br /> К слову о Евроконвенции. Нашёл. http://www.coe.ru/news/convention/<br />№ договора 108 (пункт перечня). Конвенция не ратифицирована.Breghnevhttps://www.blogger.com/profile/06756307778803310634noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-91574497003094134052011-08-03T10:57:10.335+04:002011-08-03T10:57:10.335+04:00Этот комментарий был удален автором.Breghnevhttps://www.blogger.com/profile/06756307778803310634noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-5834917716493468552011-08-03T10:29:36.702+04:002011-08-03T10:29:36.702+04:00Breghnev
>Личность-то установить можно.
С точ...Breghnev <br />>Личность-то установить можно.<br /><br />С точностью "два локтя по карте (с)"<br />Даже в СКУД и СФЗ требуется <b>комплекс параметров</b> по которым идентифицируется субъект. <br />А уж про кличество случаев, когда милиция/полиция не в состоянии найти правонарушителя по результатам записи видеонаблюдения я вообще промолчу ;)<br /><br />Ну и см. http://personal-data.livejournal.com/227090.htmlAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59228259965291311452011-08-03T10:15:20.250+04:002011-08-03T10:15:20.250+04:00>И биометрией фото становится лишь тогда, когда...>И биометрией фото становится лишь тогда, когда оно соответствует требованиям для идентификации (см. ГОСТ).<br /><br /> ГОСТ касается автоматической идентификации, с помощью технических средств. А если идентификация производится визуально, то, по-вашему, никакой биометрии здесь нет? Личность-то установить можно.Breghnevhttps://www.blogger.com/profile/06756307778803310634noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-92189494774721554912011-08-03T09:51:13.614+04:002011-08-03T09:51:13.614+04:00Breghnev
>Но, как уже писал выше Gin, фотограф...Breghnev <br />>Но, как уже писал выше Gin, фотографии _всегда_ только с этой целью и обрабатываются.<br /><br />Неужели?<br />Например я фотографирую памятник старины, а Вы нагло влезли в кадр - мне потом у Вас еще разрешения справшивать?<br />Читатайте ст.152.1 ГК РФ - фотография (и не только, но и портрет, рисунок и т.п.) есть изображение гражданина. И биометрией фото становится лишь тогда, когда оно соответствует требованиям для идентификации (см. ГОСТ).Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-79912959882539812872011-08-03T09:38:45.897+04:002011-08-03T09:38:45.897+04:00"Теперь посмотрите на Евроконвенцию (ратифици..."Теперь посмотрите на Евроконвенцию (ратифицирована РФ и имеет приоритет перед ЗоПД)"<br /> Прошу прощения за оффтоп, но любопытство разбирает. Да, есть ФЗ о ратификации Евроконвенции. Но когда ещё на форуме itsec.ru обсуждали, какое слово фигурирует в этом документе, "хранение" или "накопление", я пытался найти перевод этой пресловутой Евроконвенции. Нашёл штук 5 разных. Официального опубликования не нашёл. Ратификационной грамоты тоже не нашёл. Писал в Госдуму - ответа не было. Киньте ссылку, пожалуйста, на грамоту и официальный перевод, если таковые имеются.Breghnevhttps://www.blogger.com/profile/06756307778803310634noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40917410319149743742011-08-03T09:36:25.119+04:002011-08-03T09:36:25.119+04:00Oleg Vinokourov
Уже надоело повторять - в старой ...Oleg Vinokourov <br />Уже надоело повторять - в старой редакции "информация, относящаяся к определенному лицу" - где здесь идентификация? В новой редакции - "ЛЮБАЯ информация, относящаяся к определенному лицу" - то же самое.<br /><br />Не выдирайте пож. фразы из контекста:<br /><i>любая информация, относящаяся к прямо или косвенно определенному или <b>определяемому</b> физическому лицу</i>Anonymousnoreply@blogger.com