tag:blogger.com,1999:blog-4065770693499115314.post5907584370738554312..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: О сапожниках без сапогАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger89125tag:blogger.com,1999:blog-4065770693499115314.post-49146061504374266932009-02-20T12:08:00.000+03:002009-02-20T12:08:00.000+03:00Вихорев комментирует... "....И что из этого следуе...Вихорев комментирует... <BR/><BR/><BR/>"....И что из этого следует? А следует вот что: ИС Пенсионного фонда и Налоговой инспекции относятся к разряду государственных ИС ПДн, в силу статьи 22. п. 2 пп. 7 Закона, регистрация оператора ПДн при передаче данных в эти системы о начислении пенсий и передаче информации в налоговые органы не требует регистрации оператора ПДн в реестре. Почему?, Да потому, что это самый налоговый учет и персонифицированный учет определяется законодательством РФ (я это уже упоминал ранее, это НК РФ и ФЗ № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»)..."<BR/><BR/>В указанных Вами документах информация о государственных ИСПДн отсутствует. А системы, использующиеся в ФНС, <B>не обладают статусом федеральных автоматизированных информационными системами </B> в соответствии с федеральными законами, так как таких законов пока нет. Исключение - ГАС Выборы...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81900631258303236242009-02-20T10:52:00.000+03:002009-02-20T10:52:00.000+03:00Уважаемые знающие!А такая ситуация: работник работ...Уважаемые знающие!<BR/>А такая ситуация: работник работал, уволился. Перечисления в ПФР и ФОМС, а также начисление и уплату НДФЛ производил работатель.<BR/>Через год приходят соотвественно ФОМС, ПФР, и налоговая на проверку и требуют документы на всё это дело, ну по всем перечислениям. А документы эти содержат персональные данные (вспомните хотя бы 2-НДФЛ). Таким образом, трудовых отношений нет, а ПД уволившегося обрабатываются. Получается, что всё-таки надо уведомлять РСКН?<BR/>С уважением, pr75.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-22425521795273260942009-02-19T15:19:00.000+03:002009-02-19T15:19:00.000+03:00Не согласен. Все эти вопросы подчиняются одной цел...Не согласен. Все эти вопросы подчиняются одной цели - проведение мероприятия.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-27910721050077122872009-02-19T11:18:00.000+03:002009-02-19T11:18:00.000+03:00Согласен с тобой, что ситуацию нужно уточнить.Если...Согласен с тобой, что ситуацию нужно уточнить.<BR/><BR/>Если у тебя спрашивают "Леш, ты там у себя сейчас менеджер по чему? А то мы тебя хотели в программке упомянуть" - это одни цели и одна схема. <BR/><BR/>А если спрашивают отчество, дату рождения и номер паспорта, т.к. надо билет бронировать - это другие цели и другие схемы.<BR/><BR/>От этого все и зависит как для них, так и для тебя.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33719702500926784102009-02-19T10:45:00.000+03:002009-02-19T10:45:00.000+03:00Ригелю: А может нам вообще забить на авиабилеты? О...<B>Ригелю:</B> А может нам вообще забить на авиабилеты? Обязанность передачи паспортных данных прописана в законе "О транспортной безопасности", что выводит данный случай из обязанности уведомлять РСКН, т.к. попадает в исключения ст.22. Но от этого организатор не перестает быть оператором ПДн - он же собирает ПДн в целях организации семинара. А кому он затем их передает - это не моя проблема, а его. Его задача - доставить меня на место семинара. Как? Его проблема. Не хочет быть оператором - пусть лично за мной приезжает и везет на машине ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-3775193544038824382009-02-19T10:13:00.000+03:002009-02-19T10:13:00.000+03:00> организатор собирает, > систематизируетТ.е...> организатор собирает, <BR/>> систематизирует<BR/><BR/>Т.е. участвует в обработке - несомненно. Но не является оператором.<BR/><BR/>> организатор САМ определил цель<BR/>> организовать приезд и проживание<BR/><BR/>Я уже почти проникся к нему симпатией - настоящий мужик. Такой и Алексея бы в самолет пустил без билета и паспорта, но вот загвоздка - правила НЕ ОН устанавливает.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77900790279940828702009-02-18T18:24:00.000+03:002009-02-18T18:24:00.000+03:00> Нужность авиакомпании ПДн задана не организат...> Нужность авиакомпании ПДн задана не организатором мероприятия.<BR/><BR/>Непонятна логика.<BR/><BR/>У организатора есть цель: организовать конференцию и обеспечить приезд и проживание участников. Для этой цели организатор собирает, систематизирует и передает гостинице и авиакомпании персональные данные.<BR/><BR/>Организатор САМ обрабатывает персональные данные (есть сбор, систематизация, передача и публикация). Организатор САМ определил цель (организовать приезд и проживание). То, что у гостиницы и авиакомпании другие цели - это головная боль гостиницы и авиакомпании.<BR/><BR/>Что не так?malotavrhttps://www.blogger.com/profile/02506611549950622541noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-73252115158942631402009-02-17T18:26:00.000+03:002009-02-17T18:26:00.000+03:00Алексею Лукацкому:Нужность авиакомпании ПДн задана...Алексею Лукацкому:<BR/><BR/>Нужность авиакомпании ПДн задана не организатором мероприятия.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-5447843176887340802009-02-17T18:25:00.000+03:002009-02-17T18:25:00.000+03:00Алексею Лукацкому:Не цель обработчика, а цель обра...Алексею Лукацкому:<BR/><BR/>Не цель обработчика, а цель обработки, ей в данном случае является оказание субъекту медицинской помощи при наступлении страхового случая (или что-то в этом роде - конец дня, голова уже устала). И содержание обработки (даже банально состав требуемых для этого ПД) отнюдь не работодатель определяет.<BR/>Но важно об этом правильно в договорчике написать.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46154394421865389802009-02-17T18:11:00.000+03:002009-02-17T18:11:00.000+03:00Ригелю: В случае с паспортом для авиакомпании, все...<B>Ригелю:</B> В случае с паспортом для авиакомпании, все равно организатор и является главным. Он поручает авиакомпании ряд работ для своей цели - организовать семинар. Авиакомпании для выполнения этой задачи нужны ПДн, что она и запрашивает у организатора, а тот у субъекта ПДн. Этот запрос реализуется в рамках первоначальной цели и задачи, а не новой. Поэтому организатор семинара не является просто обработчиком в данной ситуации. Мое имхоАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56561246807162537282009-02-17T18:06:00.000+03:002009-02-17T18:06:00.000+03:00Ригелю: Цели и задачи для обработчика - обеспечить...<B>Ригелю:</B> Цели и задачи для обработчика - обеспечить передачу ПДн тому, кто их запросил. Не хочешь подпадать под ФЗ, попроси просителя самостоятельно связаться и не искать посредников. А раз ты посредник, то будь добр выполнять закон.<BR/><BR/>Что касается медстраховки, то цель у работодателя - предоставить страховку своим сотрудникам. С этой целью он нанимает страховую компанию, которой и поручает обработку ПДн своих сотрудников. В этом случае оператором является работодатель и страховая.<BR/><BR/>А вот еще вопрос с этим связанный. Страховая передает ПДн поликлинике. У работодателя договора с поликлиникой нет. Является ли поликлиника в этом случае оператором ПДн? Как этот вопрос регламентируется?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23833598163301485332009-02-17T15:14:00.000+03:002009-02-17T15:14:00.000+03:00да что вы зациклились на этих целях и содержаниях...да что вы зациклились на этих целях и содержаниях... <BR/> Вот к слову интересное постановление о ПД <BR/>ПОСТАНОВЛЕНИЕ<BR/>от 21 ноября 2007 г. N 09АП-15107/2007-ГК<BR/><BR/><BR/>В соответствии с п. 1 ст. 3 вышеназванного Закона оператором, осуществляющим обработку персональных данных, является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.<BR/>Согласно п. 3 ст. 3 Закона обработка персональных данных - это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.<BR/>Между тем, исходя из содержания данной статьи ЗАО "ДХЛ Интернешнл" не является оператором обработки персональных данных, поскольку ответчик, как юридическое лицо, на основании устава от 18.04.2005 г., осуществляет хозяйственную деятельность в области транспорта, экспедиторства, авиапересылки, экспресс-доставки, а также предоставления фрахтовых и курьерских услуг в Российской Федерации и за ее пределами.<BR/>Судебная коллегия также отмечает, что каждым воспользовавшимся услугой по доставке документов и/или грузов по всемирной сети DHL, частью которого является ЗАО "ДХЛ Интернешнл" оформляется стандартная накладная, где могут быть указаны, как фамилия фактического отправителя, так и фамилия лица, с которым возможна связь при возникновении каких-либо дополнительных вопросов связанных с отправлением, при этом документов, удостоверяющих личность при заполнении и подписании такой накладной не требуется. Оформление указанной накладной не является сбором, обработкой персональных данных в смысле ст. 3 Федерального закона "О персональных данных".<BR/>С уважением, <BR/> Павел.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19591462205072238362009-02-17T14:37:00.000+03:002009-02-17T14:37:00.000+03:00Опять 25. Оператор - он, гад, цели и содержание оп...Опять 25. Оператор - он, гад, цели и содержание определяет.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-24062626182828455332009-02-17T12:55:00.000+03:002009-02-17T12:55:00.000+03:00Ригель Например в п. 4. ст. 6 152-ФЗ я вижу только...Ригель <BR/>Например в п. 4. ст. 6 152-ФЗ я вижу только требование к договору, когда обработка данных может быть поручена третьему лицо - эти требования касаются того, что существенным условием по данному догоовру является условие о конфиденциальность ПД. <BR/>Но в данном случае на мой взгляд, третье лицо само становится оператором данных. <BR/>А вы так не считаете? <BR/><BR/>С уважением,<BR/>Павел.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-41230012708407083112009-02-17T12:15:00.000+03:002009-02-17T12:15:00.000+03:00Очень плохо ищете. Посмотрите навскидку часть 4 ст...Очень плохо ищете. Посмотрите навскидку часть 4 статьи 6 ФЗ-152 и пункт 10 ПП-781.<BR/><BR/>Давайте заодно на всплывавшем уже примере добровольного медстрахования работников (странно, что Серей Викторович в упор приблизился, но не вскрыл): несмотря на то, что работнички Ваши, оператором их ПДн тут является страховая. <BR/>В договоре на обслуживание (допсоглашении?) достаточно бросить фразу, что она уполномачивает Вашу организацию их для нее собирать с соблюдением, кто бы мог подумать, конфиденциальности. Бинго!<BR/>Благодаря тому, что при переводе на русский обработчика почти везде потеряли, Вы впредь почти ничего не должны.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-50021825117395974582009-02-17T11:16:00.000+03:002009-02-17T11:16:00.000+03:00"Есть еще такой вид обработчика, как уполномоченно..."Есть еще такой вид обработчика, как уполномоченное лицо, которому оператор что-нибудь поручает, и на которого не действует то, что про оператора написано."<BR/>Прошу прощение, но как то не нашел, где такое написанно в законе о ПД.<BR/><BR/>Нашел только:<BR/>Статья 22. Уведомление об обработке персональных данных<BR/><BR/>1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.<BR/>3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:<BR/><BR/>То есть под уполномоченным лицом, закон понимает оператора. <BR/><BR/>С уважением,<BR/> Павел.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70056070543232900282009-02-17T00:15:00.000+03:002009-02-17T00:15:00.000+03:00Осуществление обработки это необходимое условие оп...Осуществление обработки это необходимое условие операторства, но не достаточное - см. процитированную Вами же формулировку, начиная с "а также". <BR/><BR/>Есть еще такой вид обработчика, как уполномоченное лицо, которому оператор что-нибудь поручает, и на которого не действует то, что про оператора написано.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-42179058880084535142009-02-16T23:42:00.000+03:002009-02-16T23:42:00.000+03:00РигельНе могу с вами согласиться, так как на мой в...Ригель<BR/>Не могу с вами согласиться, так как на мой взгляд закон говорит иное <BR/>оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;<BR/> обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25657965279196643972009-02-16T22:40:00.000+03:002009-02-16T22:40:00.000+03:00Из этого ведь никоим образом не следует, что любой...Из этого ведь никоим образом не следует, что любой запрос персональных данных является безосновательным, правда? <BR/><BR/>Я не предлагаю поспорить, должна ли быть устанавливаема личность пассажира, способного под угрозой взрыва захватить триста других пассажиров, а лишь намекаю, что сборщик не всегда оператор, как это ни неожиданно.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-55726362805357000972009-02-16T21:31:00.000+03:002009-02-16T21:31:00.000+03:00РигельА меня вот достает, когда на каждом входе (у...Ригель<BR/>А меня вот достает, когда на каждом входе (углу) с меня требуют паспортные данные. <BR/>С уважением, Гальченко Павел. <BR/>К слову. недавно со мной приключилась такая история. <BR/><BR/>Изначально получил частное приглашение зарегистрироваться на одном ресурсе... <BR/> прошел долгую процедуру регистрации- чего только не спрашивали. Наконец отправил регистрационные данные. Меня попросили активировать запись с мыла, что я так же сделал. Потом я получил сообщение, что окончательная регистрация произойдет после одобрения моей анкеты модератором.....<BR/> Ну и в конце я получаю сообщение, что мня могут активировать только после того, как я укажу сое отчество и свой мобильный телефон на ресурсе.....<BR/><BR/>В итоге просто послал данный ресурс подальше.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84606030355698219132009-02-16T21:16:00.000+03:002009-02-16T21:16:00.000+03:00Hет, просто иметь королеву (целиком, что немаловаж...Hет, просто иметь королеву (целиком, что немаловажно) иногда продуктивнее, чем слона поедать ;)<BR/>В данном случае принципиально новая фишка возникает вот где: определение цели и содержания обработки отличает оператора от таковым не являющегося, а стрелять у авиапассажиров дату рождения и номер паспорта - прихоть не организатора семинара, он просто крайний в цепочке уполномоченных.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23603348069854458272009-02-16T19:24:00.000+03:002009-02-16T19:24:00.000+03:00Ты этот вариант к летнему мероприятияю прорабатыва...Ты этот вариант к летнему мероприятияю прорабатываешь?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-35046115619824462512009-02-16T19:02:00.000+03:002009-02-16T19:02:00.000+03:00Ну, раз вы немножко размялись, предлагаю начать до...Ну, раз вы немножко размялись, предлагаю начать доворачивать:<BR/>организатор семинара собирает c А.Лукацкого ПДн не для непосредственного получения удовольствия от оных, а для их передачи в агентство по продаже авиабилетов, которое, впрочем, тоже... В-общем, договор в форме билета будет а) с перевозчиком; б) за сутки до вылета.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-60575687145609573312009-02-16T13:07:00.000+03:002009-02-16T13:07:00.000+03:00Вот! Второй сценарий мне нравится ;-) Т.е. если пр...Вот! Второй сценарий мне нравится ;-) Т.е. если приглашение пришло мне и я его принял и отправил ПДн, то мы попадаем под исключение в ст.22 и уведомлять РСКН не обязаны.<BR/><BR/>А вот если я сам принять участие в семинаре не могу и перенаправляю приглашение моим коллегам, то это уже не является акцептом и не подпадает под п.2 ст.22. Т.е. в этом случае организатор семинара обязан уведомить РСКН или отозвать свое приглашение или перенаправить его заново тем лицам, которые будут принимать участие в семинаре ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59813305334363026032009-02-16T12:56:00.000+03:002009-02-16T12:56:00.000+03:00Алексей, ну я наверное как юрист, задам простой во...Алексей, ну я наверное как юрист, задам простой вопрос:<BR/>- на чьей стороне я выступаю:)<BR/><BR/>Соответственно исходя из этого и буду строить логическую цепочку подводя ее под нужный мне результат.<BR/><BR/>Ну а так:)<BR/>1. Организация хочет провести семинар и направляет предложение другой организации или физ лицу..<BR/>Формально на мой взгляд данное предложение соответствует оферте. <BR/>(думаю, что вопрос полномочий обсуждать не будем).<BR/>В ответ на это другое лицо выражает согласие на участие... то есть формально акцептует. здачит сделка совершена. <BR/>Соответственно вторая сторона направляет персональные данные первой стороне и тут у нас вступает в силу п. 2. ст. 22 152-ФЗ.<BR/><BR/>Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:....<BR/>1. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;<BR/> <BR/>То есть мы имеем, что не трубуется в случаях, когда стороной договора является субъект персональный данных(что в случае если у нас организация, не происходит).<BR/><BR/>2. включающих в себя только фамилии, имена и отчества субъектов персональных данных;<BR/><BR/>То есть на мой взгляд в случае если организация предоставит лицу проводящему семинар, только эти сведения, то оно так же не обязано будет уведомлять уполномоченный орган. <BR/>3. Обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.<BR/><BR/>То есть обрабатываемых без средств автоматизации...<BR/><BR/>2. Организация хочет провести семинар и направляет предложение другой организации или физ лицу..<BR/>другое лицо направляет подтверждение о возможном участии в семинаре, (оговорюсь сразу данное уведомление не будет являться акцептом, но которое устроитель семинара может к слову счесть именно за акцепт), но окончательно пока для себя еще не решило, будет ли оно участвовать или нет. Ну и отсюда опять идем к нашей любимой ст. 22 ;) правда у нас тут уже не будет пп.2. п.2. ;)Anonymousnoreply@blogger.com