Перечитывал на днях трехглавый ФЗ-149 и наткнулся на определение, которое сильно помогает операторам персональных данных. Речь идет о понятии "общедоступная информация". Очень часто во время приведения себя в соответствие с ФЗ-152 возникает вопрос о том, как оптимизировать свои усилия. Одним из сценариев является перевод обрабатываемых ПДн в разряд общедоступных, что позволяет не обеспечивать для них конфиденциальность и даже не заниматься их защитой. Если читать только ФЗ-152, то для перевода ПДн в разряд общедоступных необходимо получить письменное согласие субъекта, а это непросто. И соотношение выгод и затрат на смену статуса уже не так очевидно.
Ждать законопроекта Минкомсвязи долго. Но если обратиться к ст.7 ФЗ-149, то мы увидим, что "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Вот и получается, что, например, мой мобильный телефон, должность или e-mail относятся к общедоступным ПДн на том основании, что это информация доступна не только в Интернет, но и на визитках, которые я сам и раздаю всем желающим.
Алексей, удивили..т.к. ИМХО вы неправы.
ОтветитьУдалитьВы раздаете визитки с определенной целью.. а не бесцельно и бессистемно;-). Т.е. принцип цели - один из основополагающих во всей проблеме ПДн.
Кроме того, вы раздаете их определенному кругу лиц, который по-любому ОГРАНИЧЕН.. Он может быть очень велик, но все равно ограничен;-)
Если же рассуждать так как вы.. то тогда уж не стоит возмущаться, если вам звонит представитель некой компании и втюхивает свои услуги без вашего на то желания.. (сюда же можно отнести спам и т.п.)
> Вот и получается, что, например, мой мобильный телефон, должность или e-mail относятся к общедоступным ПДн на том основании, что это информация доступна не только в Интернет, но и на визитках, которые я сам и раздаю всем желающим.
ОтветитьУдалитьА если не доступна на визитках? Или я визиток никому не давал? Или давал, но совсем не тому, кто мне звонит? И вообще, кто сказал, что передача визитки одному человеку автоматически означает перевод этих сведений в общедоступные? У меня в визитнице, например, очемь много визиток весьма уважаемых людей, которые голову мне оторвут, если я начну их контакты распространять в Интернете только на том основании, что они когда-то дали мне визитку. Все зависит от воли субъекта и от целей, которые он преследует, раздавая свои визитки. И такой подход, хоть и применим в ряде случаев (например, для парикмахеров или распространителей), но далеко не во всех. Так что с tiger-66 я согласен.
А кто вам сказал, что речь идет о "всем тзвестной" информации? Речь идет об общеизвестной информации, доступ к которой не ограничен. Визитка доступна не всем? Ну и что? Вы же в своей воле ее отдали. Вот если вы при передаче ограничили ее распространение ограничениями, то это не общедоступная информация. В противном случае увы.
ОтветитьУдалитьЧто касается использования этих данных с целью рекламы, то тут вступает в силу ст.15 ФЗ-152, о том что на рекламу нужно согласие. Именно на рекламу.
"Кроме того, вы раздаете их определенному кругу лиц, который по-любому ОГРАНИЧЕН.. Он может быть очень велик, но все равно ограничен;-)"
ОтветитьУдалитьстранная логика однако.
1) никто не может контролировать круг лиц, которым когда-то были розданы визитки.
2) по такой логике корпоративные справочники содержат не общедоступную инфу.
ну давайте, защищайте их, ставьте аккорды, континенты, лол.
> Визитка доступна не всем? Ну и что? Вы же в своей воле ее отдали. Вот если вы при передаче ограничили ее распространение ограничениями, то это не общедоступная информация.
ОтветитьУдалитьАлексей, Вы действительно считаете что, получив визитку, например, помощника губернатора области или полпреда РФ в каком-нибудь регионе, где указан его мобильный телефон, Вы автоматически получаете право на неограниченное распространение указанных в ней сведений в том случае, если при ее получении Вам не были оговорены какие-либо ограничения?
> никто не может контролировать круг лиц, которым когда-то были розданы визитки
Вот я картину представил: даю я на конференции в приватной беседе человеку визитку свою. И вдруг он, сияя от счастья и размахивая ей над головой, побежал проч с криком: Кому нужны данные Волкова, подходим, записываем, не стесняемся! Следуя этой логике, такое поведения обладателя визитки вполне адекватно.
> по такой логике корпоративные справочники содержат не общедоступную инфу.
Нет, если было получено согласие на размещение ПДн в общедоступных источниках. Обратите внимание - не сделать ПДн общедоступными, а разместить их в общедоступных источниках. Чтоб потом в любой момент их оттуда изъять.
"по такой логике корпоративные справочники содержат не общедоступную инфу."
ОтветитьУдалитьКонечно не общедоступную. Общедоступные ПДн - круг лиц должен быть не ограничен.
"Вот если вы при передаче ограничили ее распространение ограничениями, то это не общедоступная информация. В противном случае увы."
Я думаю, это неверно. Нужно рассматривать цель, с которой была дана визитка. В общем случае, цель была - сообщить свои контактные данные тому, кому визитка была передана. Как этот факт можно считать проявлением того, что человек дал свое согласие на общедоступность таких данных? Никак.
Последствия этого - это уже совсем другая история. акорды, континенты, причем здесь это? это уже следствие, наличие прав человека от этого не зависит.
"помощника губернатора области"
ОтветитьУдалитьу помощников губернатора обычно рабочие номера публикуются в открытый доступ.
а если он на визитке указал личный мобильный, то ССЗБ.
"акорды, континенты, причем здесь это?"
ОтветитьУдалитьпри том, что
"Конечно не общедоступную."
извольте защитить-с
мне после каких-нить конференций обычно привозят гору визиток чьих-нибудь, ими там обычно сыплют как из ведра.
ОтветитьУдалитьно если вы для своих визиток ведете журналы поэкземплярного учета и приема-передачи, то тогда я не буду спорить, мне просто этот факт не был известен ранее :D
Коллеги-противники, вы упускаете из ввиду один факт. Использование общедоступной информации и получение этого статуса - это не одно и тоже.
ОтветитьУдалитьО том, что я сотрудник Сиско, у меня такой-то телефон и мыло, знают многие. Это общеизвестная информация и она общедоступная, даже если я не давал письменного согласия на включение ее куда-либо.
Очень важный вопрос. Вы как-будто мои мысли читали.
ОтветитьУдалитьСчитаю этот вопрос краеугольным камнем всех ПДн.
Общедоступная информация – доступ к которой не ограничен.
Статус общедоступности, как мне видится, присваевается автоматически если я собственными руками передал информацию куда-либо, не заботясь о её дальнейшей судьбе и о том как её будут дальше защищать. И визитка и различные блоги-журналы-контакты тоже сюда попадают. Если я разместил в открытом доступе сведения о себе, то я автоматически присвоил им сатус общедоступности. Даже если априори я обязан их защищать!
Единственный способ сделать обрабатываемые в системе ПДн защищаемыми – это доказать, что они не являются общедоступными в следствии какого-либо ограничения. А ограничение какое может быть? Гос.тайна, коммерческая тайна. Что еще? Так вот считаю что все ПДн общедоступные, если не оговорено иное. У нас, я так понимаю, обратная система. Всё защищаем, за исключением того, что оговорено как общедоступная информация. Что-то тут не правильно или это я запутался.
> Коллеги-противники, вы упускаете из ввиду один факт. Использование общедоступной информации и получение этого статуса - это не одно и тоже.
ОтветитьУдалитьСогласен полностью.
> но если вы для своих визиток ведете журналы поэкземплярного учета и приема-передачи, то тогда я не буду спорить, мне просто этот факт не был известен ранее
Не будем забывать о том, что общедоступные ПДн - это те, которым не требуется обеспечение конфиденциальности. Необходимость защиты от модификации и уничтожения (целостность и доступность) никто еще не отменял.
Так же не будем забывать о том, что если в организации есть некий общедоступный источник - например AD, то данные, размещенные в нем, доступны не всем кому попало, а только пользователям, зарегистрированным в AD.
Кроме того, некоторые эксперты полагают, что размещенные в общедоступных источниках ПДн и общедоступные ПДн - это понятия несколько разные, так как ПДн, размещенные в общедоступных источниках, могут считаться общедоступными на период присутствия в них. Не зря же согласие дается на размещение, а не на перевод в категорию общедоступных, и не зря предусмотрена процедура отзыва.
> О том, что я сотрудник Сиско, у меня такой-то телефон и мыло, знают многие. Это общеизвестная информация и она общедоступная, даже если я не давал письменного согласия на включение ее куда-либо.
ОтветитьУдалитьАлексей, речь не об этом. Визитка визитке - рознь, и цель визитки распространителя гербалайфа и визитки директора Юганскнефтегаза сильно отличаются. Вообще визитки - это пример тривиальный. В общем случае, для сотрудника какой-то фирмы, на них печатается информация, дублирующая ту, что размещена в общедоступном источнике (адресной книге) и как правило утрачивающая свою актуальность при его увольнении и соответствующем удалении из ОДИ.
Вопрос в другом: формула закона - "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Кем не органичен? Субъектом? Оператором на основании согласия субъекта? Как ставится такое ограничение и как снимается? Как доказать что его не было? И не значит ли это, что однажды "обобщедоступленная" информация теперь обречена быть навеки общедоступной?
Вопросов больше чем ответов. Потому - как всегда, принцип добросовестности и баланс интересов.
Ну а визитки... Вот например уважаемый toparenko не афиширует свои фио и деятельность, хотя, как он сам говорит, все можно отыскать. И на это у него, видимо, какие-то свои причины. Но это совсем не значит, что я, отыскав его данные, после каждого его поста буду каментить who is who, или встану в метро с карточками, на которых напечатаны его и Ваши координаты, и начну их раздавать :)
Этот комментарий был удален автором.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьзачем такие крайности?
ОтветитьУдалитьпочему, если данные общедоступные, их надо сразу "стоять в метро и раздавать"?
я вот например не даю ничьи личные номера мобильных/асек/скайпов без спросу владельца, даже если знаю, что у него этот номер выложен в соцсетях или еще где.
>О том, что я сотрудник Сиско, у меня такой-то телефон и мыло, знают многие. Это общеизвестная информация и она общедоступная...
ОтветитьУдалитьОна размещена на общедоступных источниках? Покажите где )
Многие это не все.. это не есть неограниченных круг лиц. Я не знаю например телефона.. ;-)
Далее.. эти многие почему знают то все что вы перечислили? Наверно это было сделано с целью установления взаимных контактов.. А не для использования по усмотрению получившего ее лица. Так ведь?
> я вот например не даю ничьи личные номера мобильных/асек/скайпов без спросу владельца, даже если знаю, что у него этот номер выложен в соцсетях или еще где.
ОтветитьУдалитьПравильно - равно как и я. Потому, что мы с Вами добросовестные и считаем, что своими действиями можем прямо или косвенно нанести ущерб субъекту - хэзэ, зачем кому-то телефон другого человека? Если надо было чтобы он знал - сам бы сказал. Ну или на крайняк перезваниваю владельцу запрашиваемой инфы за разрешением на передачу ;)
> pushkinist
ОтветитьУдалить>2) по такой логике корпоративные справочники содержат не общедоступную инфу.
Что вы имеете ввиду под корп.справочниками? Подозреваю, что некоторую информацию доступную всем сотрудникам в рамках вашей организации. Однако.. не бывает общедоступной информации в рамках вашей организации.
Информация может быть или общедоступной (в рамках определения ФЗ152) или НЕ общедоступной.
В ФЗ же написано:
Общедоступные персональные данные – персональные данные, доступ НЕОГРАНИЧЕННОГО круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Таким образом, утверждать общедоступность ПДн можно только согласно этому определению ;-)
В вашем случае круг лиц органичен сотрудниками вашей организации
На Датум в свое время обсуждали статью по этой тематике тут:
ОтветитьУдалитьhttp://a-datum.ru/forum/viewtopic.php?f=52&t=358
Изложенный поход нашел понимание и согласие не у всех членов Датум ;-),хотя сделанные выводы там гораздо мягче предлагаемых Алексеем Л.
Почему статья и расположена только на форуме в Проблемных вопросах, а на сайте нет ;-).
Этот комментарий был удален автором.
ОтветитьУдалить"Подозреваю, что некоторую информацию доступную всем сотрудникам в рамках вашей организации. Однако.. не бывает общедоступной информации в рамках вашей организации."
ОтветитьУдалитьдак не только в рамках нашей организации.
у меня в подписи в электронной почте содержится та же самая информация, что в корпоративном справочнике.
когда я пишу кому-то письмо в другую организацию, я не удаляю подпись.
и другие так же.
если кто-то звонит со стороны, то сотрудники представляются.
если позвонить на внешний номер, то есть возможность набрать внутренний номер сотрудника.
это все инфа как раз из корпоративного справочника.
вы предлагаете ее защищать?
в то же время совокупность всего этого мы не публикуем наружу, потому что это в этом нет надобности.
но тут причина не в законодательстве по персональным данным, а в иных интересах компании.
> это все инфа как раз из корпоративного справочника.
ОтветитьУдалитьвы предлагаете ее защищать?
Все зависит опять же от целей ее раскрытия, которые зависят от цели функционирования организации. Оперативный сотрудник ФСБ, например, или СВРовец, или ФСОшник по телефону Вам не представится. И по телеку их показывают спиной с измененным голосом. Хотя визитки у них имеются ;)
Этот комментарий был удален автором.
ОтветитьУдалить"Оперативный сотрудник ФСБ, например, или СВРовец, или ФСОшник по телефону Вам не представится."
ОтветитьУдалитьсославшись конечно же, на 152-фз, да
ведь, начиная с января 2007 года, иных законов у нас в стране нет.
>это все инфа как раз из корпоративного справочника.
ОтветитьУдалитьвы предлагаете ее защищать?
То как именно я предлагаю с ней поступать как раз изложено в вышеприведенной статье ;-)
В любом случае, в соответствии с существующими в нашей с вами стране законами ;-),приведенная вами информация не является общедоступной только потому, что вы ее не скрываете.
Т.е. что вы называете общедоступными ПДн (мы ведь о них говорим?)
Я называю данные попадающие под их определение в ФЗ А вы? :-)
я посмотрел вашу методику.
ОтветитьУдалитьпо ней можно защищать любые персональные данные.
но зачем-то в ней очень много лишних слов.
достаточно было бы ограничиться одним предложением: "берем письменное согласие субъекта на перевод в общедоступные и больше ничего не делаем, закон выполнен - празднуем WIN".
> сославшись конечно же, на 152-фз, да ведь, начиная с января 2007 года, иных законов у нас в стране нет
ОтветитьУдалитьНу почему же. Имеются. Например ФИО действующих агентов СВР - гостайна ;)
> берем письменное согласие субъекта на перевод в общедоступные и больше ничего не делаем, закон выполнен - празднуем WIN
152-ФЗ не предусмотрена такая процедура. Им предусмотрена процедура размещения в общедоступных источниках, с возможностью изъятия их оттуда в любой момент. Это, согласитесь, разные вещи.
>Коллеги-противники
ОтветитьУдалитьМы не противники, Алексей, мы оппоненты, что позволяет в ряде случаев, поплевавшись йадом, вместе пойти пить пиво и смотреть хоккей :)
Не читал всех комментов - много...
ОтветитьУдалитьВ глаза бросилось вот что:
"Но если обратиться к ст.7 ФЗ-149, то мы увидим, что "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен".
А если почитать дальше, то мы увидим:
"Статья 9. Ограничение доступа к информации
...
9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных."
149-ФЗ идет лесом когда речь идет о режиме доступа к персональным данным.
>"берем письменное согласие субъекта на перевод в общедоступные и больше ничего не делаем, закон выполнен - празднуем WIN".
ОтветитьУдалитьДык вот именно до этого можно дойти исходя из Ваших с А.Л. посылок !!!
Я же говорю о том, что с общедоступностью надо как минимум осторожней обращаться, а то бог до чего можно договориться.. ;-)
> 149-ФЗ идет лесом когда речь идет о режиме доступа к персональным данным
ОтветитьУдалитьТему поста теперь ИМХО нужно перефразировать: "Как полезно иногда до конца читать старые законы" :)
2 Алексей Волков
ОтветитьУдалитьВопрос в другом: формула закона - "к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен". Кем не органичен? Субъектом? Оператором на основании согласия субъекта?
Странно слышать такие вопросы - это все отражено в трехглавом законе. Вкратце ситуация такова - доступ к информации может ограничить только ее владелец, а оператор владельцем не является.
А чтобы однозначно разрешать указанную проблему - можно сделать доп. соглашение к трудовому договору с сотрудниками, где прописать, что содержимое корпоративного справочника является общедоступной информацией. Не надо забывать, что формально, если нет управления доступом к какой-то информации и нет регистрации и учета событий доступа к ней, то такая информация никак не может являться информацией ограниченного доступа.
Этот комментарий был удален автором.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалить> доступ к информации может ограничить только ее владелец, а оператор владельцем не является.
ОтветитьУдалитьДа, но у недобросовестного оператора может быть согласие, а субъект, давая его, может быть неадекватен :)
> Не надо забывать, что формально, если нет управления доступом к какой-то информации и нет регистрации и учета событий доступа к ней, то такая информация никак не может являться информацией ограниченного доступа.
Точно. Равно как и то, что если есть управление доступом и имеется система регистрации, то это совсем не значит, что в такой системе не может обрабатываться общедоступная инфа.
Знаете, очень много нюансов, все их в законе не пропишешь, пусть хоть тысячеглавом...
Я склонен к мнению Алексея Волкова, инфа на визитках не общедоступная. И чтоб получателю ее распространить в каком нибудь журнале, будет нужно соотв. получить согласие от владельца визитки. А вот по жалобе в РосКомНадзор кто распространит инфу с визитки придется доказывать что есть где то согласие, что в итоге не сможет, т.к и не сможет доказать что именно владелец визитки ее дал
ОтветитьУдалитьКоллеги, а разве здесь не действует горизонтальная иерархия документов, т.е. закон выпущенный позже имеет приоритет над ранее выпущенный в случае разночтений?
ОтветитьУдалить