Pages - Menu

Страницы

17.11.10

Незамеченное изменение ФЗ-152

Совершенно незамеченным прошло изменение в ФЗ-152, проведенное ст. 23 Федерального закона от 27.07.2010 N 227-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об организации предоставления государственных и муниципальных услуг" (спасибо коллегам на bankir.ru).

Дословно ст.23 звучит так: " Внести в статью 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:

1) в части 4:

а) абзац первый изложить в следующей редакции:

"4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной цифровой подписью или в случаях, предусмотренных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами, иным аналогом собственноручной подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:";

б) дополнить пунктом 7 следующего содержания:

"7) собственноручную подпись субъекта персональных данных.";

2) дополнить частью 4.1 следующего содержания:

"4.1 . Порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, определяется Правительством Российской Федерации.
"

Это изменение, кстати, в очередной раз показывает, что уполномоченный орган в лице РКН совершенно не в курсе про то, что письменное согласие может быть не только на бумаге. Да и ЭЦП рекомендуется, но не является единственным механизмом. Достаточно описать механизм АСП (аналог собственноручной подписи) и вы можете подписывать им сообщения электронной почты, получая тем самым письменное согласие... хотя оно и не нужно во многих случаях - можно обойтись устной или конклюдетной формой.

35 комментариев:

  1. на данный момент по закону 152 нет не устного согласия не конклюдентных действий, что печально

    Надеюсь в скором времени таки пропишут это в ФЗ-152

    ОтветитьУдалить
  2. Федеральный закон от 27 июля 2010 г. N 227-ФЗ
    Изменения вступают в силу с 1 января 2011 г.

    ОтветитьУдалить
  3. зачем? как потом подтвердить наличие конклюдентного согласия.

    ОтветитьУдалить
  4. ну так ведь измененный абзац "4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных."
    как раз и отсеивает все остальные варианты, кроме аналогов приведенных тут же..

    ОтветитьУдалить
  5. Этот абзац как раз говорит, что не любое согласие должно быть письменным, а только те, которые явно указаны в ФЗ. И таких случаев в ФЗ ЯВНО указано ровно 5 - трансграничка, спецкатегории, биометрия, юрпоследствия, включение в общедоступные.

    ОтветитьУдалить
  6. Конклюдетность согласия вытекает из самих действий - в этом и есть смысл. Когда я вас спрашиваю "Вы кто?" и вы мне отвечаете "Егор", вы те самым даете согласие на обработку мной ваших ПДн в виде имени (цель и сроки пока не обсуждаем). Никакого дополнительного согласия тут не нужно. И таких ситуаций сотни. Когда у меня берут интверью на ТВ, я тем самым даю свое согласие на то, что его покажут по тому каналу, который это интервью брал. И опять никакой письменной формы тут не надо. Ну и т.д.

    ОтветитьУдалить
  7. Самое интересное, чтобы получить ЭЦП (которым можно подписать согласие на обработку ПДн в виде ЭД), надо внести ПДн в реестр УЦ, на что надо тоже получить согласие. :-) Вот тут, похоже, только бумажное прокатит.

    ОтветитьУдалить
  8. Кстати, изменения вступают в действие только с 01.01.2011

    ОтветитьУдалить
  9. "Конклюдетность согласия вытекает из самих действий - в этом и есть смысл."
    я знаю что такое конклюдетность, и что таких ситуаций сотни, но по закону 152 у меня нет права использовать конклюдетность, что печально. а говорить о том как это удобно и что это круто можно бесконечно. юридических оснований нет тчк.

    ОтветитьУдалить
  10. на счет письменных согласий получился замкнутый круг

    Согласие не нужно когда определены сели сроки круг субъектов (например не нужно брать с Работников, так как ТК РФ устанавливает и цели и сроки и субъектов)
    НО
    Письменное согласие нужно в случае обработки биометрических данных (фотографии, сканы документов с фотографией в личных делах работников)

    вот и получается по закону и нужно и не нужно письменное согласие с работников :)

    ОтветитьУдалить
  11. Саша: Вы можете привести норму закона, в которой написано, что вы не имеете права использовать конклюдетность?

    ОтветитьУдалить
  12. Алексей, нет там такой нормы. Но и нормы, запрещающей воровать тоже нет. :-) Но делать, почему-то, этого нельзя.

    ОтветитьУдалить
  13. Вы ошибатесь. Воровать у нас запрещено Конституцией и УК. Что же касается согласия, то в ФЗ-152 не случайно не указана форма согласия. Это соответствует духу и букве европейской Конвенции и общеюридической практике, которая говорит, что согласие может быть в любой форме, если не оговорено иное. В законе "иное" оговорено только для 5-ти случаев. В остальных вы вправе выбирать любую форму согласия - письменную, устную и конклюдентную. И это НОРМАЛЬНО. Особенно если подумать. Тогда сразу станет понятно, то получить НА ВСЕ СЛУЧАИ письменное согласие невозможно. Как вы будете получать письменное согласие на передачу ПДн через Интернет или по телефону? Никак.

    ЗЫ. Сразу отмечу, что я говорю не только с точки зрения здравого смысла, а как сотрудник европейского офиса компании Cisco. Я, наверное, немного лучше знаю, как эта норма применяется в Европе согласно Евроконвенции.

    ОтветитьУдалить
  14. Эх... А как же быть с аутентификацией? Если про нее забыть - получим огромное количество угроз совершаемым действиям. А вот письменное согласие и есть попытка реализовать тот самый механизм аутентификации. А если еще глубже смотреть - чем он принципиально отличается от выдачи удостоверяющим центом ЭЦП лично пользователю (с аутентификацией)? Я про суть говорю. Ведь по Конституции (а в Европе она ДРУГАЯ) данные о человеке может дать ТОЛЬКО ОН САМ, а не его, например, работодатель исходя из своих, как ему кажется, благих для работника целей.

    ОтветитьУдалить
  15. Про здравый смысл: допустим, я начну от имени Алексея Лукацкого рассылать порноспам, давать бредовые интервью и т.д.? На кого плохо подумают? Проигнорируете ли Вы такие действия.
    А вопрос, кто ответил по телефону - вообще мега ВОПРОСИЩЕ. Ошиблись номером - я и ответил от Вашего имени. А потом Вам скандал - закупили не того оборудования на 99999999$ по Вашей рекомендации.

    Не все действия (взаимоотношения) можно подвддить под ту же конклюдность.

    А про получение согласия по Интернет - вопрос (почти) закрыт. АСП - сами писали.

    ОтветитьУдалить
  16. А кто говорит, что ВСЕ подпадает под конклюдентность? В ГК написано, что под него подпадает. Не надо смешивать все в одну кучу.

    ОтветитьУдалить
  17. Ошибочно считать, что гражданин только сам может дать о себе информацию. Работодатель о вас все передает в ПФ, ФМС, ФНС и т.п. И ему все равно, что вы об этом думаете. Ибо закон ему велит это делать.

    Сторонникам письменной формы согласия рекомендую хотя бы один свой день проанализировать на предмет ваших действий с этой точки зрения. Попадание в офис, выход из него, звонки по телефону, работа в Интернет и т.п. Как вы под это все письменное согласие подведете?..

    ОтветитьУдалить
  18. Госорганы пусть передают мои персональные данные, если это им предписывает закон. И работодатель - коль ему велели законом. Тут возражений нет. Лишь бы не нарушали. (Вам вопрос, а предписано ли минобру законом осуществлять передачу, автоматизированную обработку, а может и исключительно автоматизированную данных об школьниках. Или если пришел на экзамен - дал согласие?)

    А вот в своем рабочем дне я проблем с персональными данными не вижу. Вообще. С работодателем вопросы решены, по телефону никому мои персданные не нужны (если и нужны, то ксерокопии для заключения договора, где нужна собственноручная подпись). Интернет - а кому и зачем тут нужны мои данные? Достаточно, что мы общаемся и не требуем подтверждения личности. Приведите пример, когда у меня могут возникнуть проблемы с выдачей бумажного согласия на обработку моих данных :)

    Вообще точка зрения "приверженцев" бумажного согласия (хотя суть не в этом, а в понимании закона - я то полностью за широкое внедрение законной АСП (не ЭЦП)) лежит в плоскости защитника действующего ТК в этом ролике: http://www.1tv.ru/sprojects_edition/si=5691&fi=6138

    ОтветитьУдалить
  19. И слова одинаковые: "баланс интересов"

    ОтветитьУдалить
  20. Примеры следующие:
    - вход на территорию бизнес-центра
    - вход на территорию ЛЮБОЙ организации, требующей предъявления паспорта при входе
    - регистрация на ЛЮБОМ Интернет-ресурсе
    - общение со страховыми компаниями, которые привлек мой работодатель
    - общение (в моем случае) с кучей изданий по телефону
    - интервью для ТВ
    - пользование банкоматом
    - регистрация на семинарах
    - и т.д.

    ОтветитьУдалить
  21. По-порядку:
    - вход на территорию бизнес-центра - ПП687 этот случай оговаривает. Вдогонку вопрос: какие есть юридические основания ограничивать ВХОД на территорию, если это не жилище?

    - вход на территорию ЛЮБОЙ организации, требующей предъявления паспорта при входе - аналогично первому ответу. Паспорт имеют право требовать только те, кому такое право предоставил Закон - милиция, банк и т.д.

    - регистрация на ЛЮБОМ Интернет-ресурсе - да. согласен ))) не все еще убрали незаконные требования ))) Достаточные для идентификации данные (на случай нарушения законодательства) предусмотрены нашим законодательством (СОРМ). А так нет (пока) закона идентифицироваться и аутентифицироваться в Интернете - это не требуется.

    - общение со страховыми компаниями, которые привлек мой работодатель - что мешает общаться? Наверное это общение (передача Ваших данных) предусмотрена трудовым договором? Ну на крайний случай можно составить доп. соглашение.

    - общение (в моем случае) с кучей изданий по телефону - а где автоматизированная обработка? В случае, если Вы имеете гражданско-правовые отношения с издательством - наверное заключаете договор?

    - интервью для ТВ - статья 6 пункт 2 пп 6 ФЗ 152-ФЗ

    - пользование банкоматом - банку достаточно изменить условия договора с Вами с учетом применения в таком случае АСП. Как дополнительная мера - начать применять карточку как средство ЭЦП/АСП

    - регистрация на семинарах - а какая Вам разница, какая фамилия у того, кто зарегистрировался. Если платный - бухгалтерские документы в бумаге. Контакт с человеком есть.

    - и т.д. - готов обсудить.

    Промежуточный вывод 1: пока все случаи можно свести к физическому контакту с субъектом персональных данных - возможность получения письменного согласия есть.
    Промежуточный вывод 2:все привести в соответствие с действующими требованиями можно - но лень.

    ОтветитьУдалить
  22. Этот комментарий был удален автором.

    ОтветитьУдалить
  23. Ну давай подисскутирием ;-)

    1. Вход в бизнес-центр. А причем тут ПП-687? Согласие требуется В ЛЮБОМ случае, т.к. это требование ФЗ.

    2. Паспорт в любую организацию. Мне не запрещено просить предъявить паспорт на входе в здание. Посетителю разрешено его не показывать. Только тогда его не пустят. И кому лучше? Это то, что называется обычаями делового оборота по ГК.

    3. Интернет-сайты. Тоже самое. Я, например, книги заказываю через Интернет. Как Интернет-магазину получить согласие на обработку моих ПДн? Ответ: курьер привезет бумажку для подписи не прокатывает. Обработка начинается с момента ввода моих ПДн на сайте, а не с момента привоза мне заказа. А если мнеоткажут в заказе? ПДн то обрабатываются все равно. И физического контакта НЕТ и не будет.

    4. Страховые. Ты опять упускаешь, что это работодатель МОЖЕТ иметь мое согласие на передачу моих ПДн третьим лицам. Но у третьих лиц моего согласия нет. По твоей трактовке ФЗ они обязаны у меня его взять в письменной форме. И так каждое лицо, которому страховая мои ПДн передаст (поликлиника, стоматологии и т.п.).

    5. Телефон. Чем телефон - не автоматизированная обработка? И договора с изданиями у меня в большинстве случаев нет. Особенно если речь идет об Интернет-комментах.

    6. Банкомат. Ты опять упускаешь из ввиду тот факт, что мы обсуждаем ПИСЬМЕННОЕ согласие. Попробуй твою рекомендацию применить в ситуацию, когда я деньги снимаю в ЧУЖОМ банкомате ;-) У меня с его владельцем никакого договора нет ;-) Как будешь письменное согласие получать?

    7. Семинары. И опять ты не учитываешь, что обработка началась с момента регистрации, а не с момента передачи мне бухгалтерских документов. А если семинар бесплатный и документов никаких нет? Вот тебе еще один пример. Я на твоем семинару свою визитку отдал. Как ты себе представляешь получение письменного согласия на обработку визитки? А ГК на эту тему четко говорит - обычаи делового оборота. Согласие конклюдентное ;-)

    Резюме: куча сценариев, в которых физический контакт невозможен.

    ОтветитьУдалить
  24. 1. Вход в бизнес-центр. А причем тут ПП-687? Согласие требуется В ЛЮБОМ случае, т.к. это требование ФЗ. - тут не понял. Читаю ФЗ160 и ФЗ152 - написано, что они имеют сферу действия только автоматизированная обработка и неавтоматизированная с характером автоматизированной. В ФЗ152 написано, что могут быть НПА по неавтоматизированной обработке - и они должны УЧИТЫВАТЬ требования ФЗ. В ПП687 я не увидел никаких ссылок на РКН. Это ПП вне сферы действия ФЗ152, но в рамках "законодательства в области персональных данных". Это же могло быть и не ПП, а отдельный ФЗ.

    2. Паспорт в любую организацию... - я тут курсы проводил и услышал пример из жизни: в гос организацию заходит человек. Девушка у него требуют паспорт. Тот с улыбкой спрашивает основание на такое требование. Она - мол внутренний приказ. Он - а я должен подчиняться всем внутренним приказам всех организаций??? Потом он усмехнулся и со словами "только ради вас/вашей красоты" предъявил удостоверения прокурора области (с должностью могу ошибаться). Еще раз прошу Вас попробовать найти юридические основания на ограничение ВХОДА на территорию коммерческих организаций.

    3. Интернет-сайты. Интернет-магазины - механизм есть: АСП. В ближайшее время правительство узаконит како-то способ для госуслуг по Интеренту, а сайты (магазины) пропишут, что то-же АСП и для них приемлемо. Тут просто подождать. Или самим установить такое АСП.

    4. Страховые. - вы в мед. полюсе расписываетесь? Это раз. И второе: работодатель берет ДВА согласия - себе и на передачу (обработку) страховой компании. а может три - еще ЧОПу. И передает его вместе с данными. А те без такой бумажки просто не берут. За бумажными согласиями страховые приедут лично - это их бизнес (всеравно агенты ездят).

    5. Телефон. Чем телефон - не автоматизированная обработка? И договора с изданиями у меня в большинстве случаев нет. Особенно если речь идет об Интернет-комментах. - Алексей. Изданию (абоненту на другом конце провода) всеравно кто автор в реальности (они могут опознавать Вас просто по набраному номеру). Может "Алексей Лукацкий" - это псевдоним. И под ним может скрываться 30 человек. Если! не производится оплата. По закону - с налогами.

    6. Банкомат. - нет. мы обсуждаем закон ))))) А согласие там уже в 2-х видах. Пока этого небыло - я придерживался больше Вашего мнения (о несовершенстве ФЗ). Теперь - все стало на места. Вы воспользовались чужим банкоматом - а разве все межбанковские платежи не идут через ЦБ? А ЦБ имея механизм АСП влегкую решает этот вопрос с подчиненными банками. Главное захотеть, а не пытаться накрыть ФЗ своим СТО ИББС.

    7. Семинары. И опять ты не учитываешь, что обработка началась с момента регистрации, а не с момента передачи мне бухгалтерских документов. - Ну ЗАЧЕМ(???) Вам во время регистрации персональные данные? Вам достаточно знать КОЛИЧЕСТВО (чтобы оценить прибыльность/моральное удовлетворение). А пока Вы читаете лекцию бухгалтер печатет ДОГОВОРЫ на семинар. В конце концов Вход на семинар по предъявлении платежки из банка на указаный Вами счет и назначение платежа - чем не вариант?

    Давайте по-обсуждаем :)

    ОтветитьУдалить
  25. Написал ответ. Посмотрел, что он опубликовался. А теперь нет ((((

    ОтветитьУдалить
  26. Еще раз :(

    1. Вход в бизнес-центр. А причем тут ПП-687? Согласие требуется В ЛЮБОМ случае, т.к. это требование ФЗ. - сфера действия ФЗ152 и ФЗ160 только автоматизированная и не автоматизированная с характером автоматизированной обработки персональных данных. А ПП687 всего лишь относится к "законодательству в области персональных данных" и написано с УЧЕТОМ требований ФЗ152 (что логично).

    2. Паспорт в любую организацию. Мне не запрещено просить предъявить паспорт на входе в здание. Посетителю разрешено его не показывать. Только тогда его не пустят. И кому лучше? Это то, что называется обычаями делового оборота по ГК. - Э нет. С обычаи к делу не подошьешь :) Мне рассказали такой случай: сидит девушка на входе в гос. организацию. Заходит человек. Она ему - паспорт. Он - на каком основании? Она - вот у меня приказ руководителя. Он - а я должен исполнять все приказы руководителей всех организаций??? Потом улыбнулся и со словами "только ради Вас/из-за того, что Вы такая красивая" показал удостоверение прокурора области (могу немного ошибиться с должностью). Попробуйте выяснить законные основания для запрета входа на территорию коммерческой фирмы (при условии, что дверь не надо ломать и это не жилище). То же самое - могут ли посторонние люди ходить по дачному участку (по каменным дорожкам)?

    ОтветитьУдалить
  27. 3. Интернет-сайты (магазины)... Теперь есть АСП. В ближайшее время (скорее всего до нового года) правительство скажет что это такое для госуслуг. Сайты/магазины могут прописать возможность использования этой же АСП для них. Или самим ввести АСП (хоть скан росписи - по ГК). Вариантов масса.

    4. Страховые. Ты опять упускаешь, что это работодатель МОЖЕТ иметь мое согласие на передачу моих ПДн третьим лицам. Но у третьих лиц моего согласия нет. По твоей трактовке ФЗ они обязаны у меня его взять в письменной форме. И так каждое лицо, которому страховая мои ПДн передаст (поликлиника, стоматологии и т.п.). - Работодатель может взять 2 и более согласий сразу на передачу данных страховщику, ЧОПу и др. А вот поликлинике передавать не надо. Это поликлиника им будет передавать, если Вы к ним обратитесь. И вообще по программе "информационное общество" все эти проблемы снимаются.

    ОтветитьУдалить
  28. 5. Телефон. Чем телефон - не автоматизированная обработка? И договора с изданиями у меня в большинстве случаев нет. Особенно если речь идет об Интернет-комментах. - Тем кто говорят по телефону все равно кто Вы на самом деле. Они верят "на слово" тому кто поднял трубку. Главное для них сама информация. Теперь с изданиями. Есть псевдоним "Алексей Лукацкий" под которым пишет бригада из 27 человек. Какая разница издательству кто это в реале. Им нужен материал с подписью "Алексей Лукацкий". Исключение составляет получение денег. Законное. С налогами. Тут без бумажек и физического контакта не обойтись.

    6. Банкомат. Ты опять упускаешь из ввиду тот факт, что мы обсуждаем ПИСЬМЕННОЕ согласие. Попробуй твою рекомендацию применить в ситуацию, когда я деньги снимаю в ЧУЖОМ банкомате ;-) У меня с его владельцем никакого договора нет ;-) Как будешь письменное согласие получать? - Все в руках ЦБ. Им взяться за исполнение ФЗ и все кредитные организации выполнят. А не прикрывать ФЗ стандартом. Все равно межбанковские операции идут через ЦБ. Только захотеть. И нормотворческие возможности у них есть.

    ОтветитьУдалить
  29. 7. Семинары. И опять ты не учитываешь, что обработка началась с момента регистрации, а не с момента передачи мне бухгалтерских документов. А если семинар бесплатный и документов никаких нет? Вот тебе еще один пример. Я на твоем семинару свою визитку отдал. Как ты себе представляешь получение письменного согласия на обработку визитки? А ГК на эту тему четко говорит - обычаи делового оборота. Согласие конклюдентное ;-) - Вам для проведения семинара (принятия решения о его проведении: деньги/моральное удовлетворение) необходимо количество людей. Пока Вы рассказываете бухгалтер оформляет договоры. Или еще проще: вход по платежке с номером счета назначения платежа и назначением платежа. А уж если Вы лично хотите с ними познакомиться - тут уже другая цель обработки ПДн. и совершенно другой разговор.

    ОтветитьУдалить
  30. Резюме 1: когда вводят новые правила дорожного движения (удобные/неудобные/на наш взгляд опасные) мы их ВЫПОЛНЯЕМ, а не спорим. Или выполняем, а параллельно спорим. А цель у обеих норм одна - права человека.
    Резюме 2: госпрограмма "информационное общество" сильно изменяет то из-за чего весь сыр-бор.

    ОтветитьУдалить
  31. И последнее: права личности у нас заявлены превыше прав всех остальных. Это основа основ. Меняя ее получаем революцию. Пример - 60-часовая рабочая неделя - положительных комментариев на эту инициативу так и не нашел. Ни одного.

    ОтветитьУдалить
  32. ZZubra - противоречишь себе в том что выполнять требования ФЗ необходимо уже сейчас, а всякие там госпрограммы которые всем помогут - будут реализованы дай бог через пару лет.

    И никто не говорит что ФЗ не надо выполнять. Его обсуждают и предлагают внести в него поправки параллельно с выполнением. :)

    ОтветитьУдалить
  33. Противоречу???? Да только нетехническая часть выполнения ФЗ требует времени. А вот этим и не занимается никто (в основной массе), рассуждая о технических проблемах. Отталкиваясь от основных принципов и идей (цель обработки, законность обработки, безизбыточность), на которые указывают и мои опоненты, можно вполне изменить техпроцесс, в том числе значительно его упростив и удешевив. На это и направлен был ФЗ152 - не собирайте данных, если они вам не нужны. Реально не нужны, а не "удобно".

    ОтветитьУдалить
  34. ТРИНАДЦАТЫЙ АРБИТРАЖНЫЙ АПЕЛЛЯЦИОННЫЙ СУД 191015, Санкт-Петербург, Суворовский пр., 65
    http://13aas.arbitr.ru
    Дело №А56-4788/2010

    "
    С целью отождествления личности пассажиров, пользующихся льготными персонифицированными проездными билетами, при проверке оплаты проезда кондуктор либо сам пассажир прикладывает к валидатору (ручной автоматизированный контролер) проездной билет. При этом на экране валидатора отражается фамилия, имя, отчество и паспортные данные пассажира, предъявившего проездной билет.
    ...
    Договор перевозки пассажира носит публичный характер и заключается между Обществом и пассажиром с момента надлежащей и своевременной оплаты проезда пассажиром, действует до исполнения сторонами своих обязанностей по договору"

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.