Comments 23
Улыбнуло
Из политики конфиденциальности по ссылке
1.1. Сервис собирает, получает доступ и использует в определенных Политикой целях техническую и иную информацию, связанную с Пользователем.
ст. 3 152-ФЗ «О перс. данных»
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Вывод, если пользователь физ. лицо, сервис обрабатывает перс. данные.
Из политики конфиденциальности по ссылке
1.1. Сервис собирает, получает доступ и использует в определенных Политикой целях техническую и иную информацию, связанную с Пользователем.
ст. 3 152-ФЗ «О перс. данных»
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Вывод, если пользователь физ. лицо, сервис обрабатывает перс. данные.
Я пока не стал как раз этот момент комментировать. На самом деле могу сказать, что не всё так просто. Скажем, email принадлежит физ. лицу. Но сам по себе email делеко не всегда идентифицирует физ. лицо. Особенно, скажем, если он одноразовый или создан на tutanota. И это — не моё мнение, а судебной практики. Впрочем, это отдельный будет, думаю, пост.
А суды наши, скажу Вам, долго не могли даже разобраться, IP-адрес — это ПД или тайна связи? Не говоря про cookie и тем паче — какие-то там хэши.
А суды наши, скажу Вам, долго не могли даже разобраться, IP-адрес — это ПД или тайна связи? Не говоря про cookie и тем паче — какие-то там хэши.
Говоря о ПДн, все всегда начинаю вспоминать про идентификацию. Ради интереса открыл сейчас актуальную редакцию 152-ФЗ и поискал там слово идент* его нет…
Поэтому не стоит говорить о том, чего нет в законе. Есть только про установление личности в части биометрических ПДн но это не то.
К слову говоря идентификация была в первых редакциях 152-ФЗ, но еще раз подчеркну, сейчас ее нет.
Определение ПДн в законе МЕГА КРИВОЕ и под него можно подвести что угодно. Я не хочу его защищать, но оперировать можно только тем, что написано в законе ну или найти разъяснения высших судов.
Никто другой, кроме судов, включая Роскомнадзор толковать законодательство не имеет право…
А про суды общей юрисдикции можно сказать, что в России не прецедентное право, и по одинаковым ситуациям могут быть вынесены диаметрально противоположные решения. Выигрывает тот, чей адвокат / прокурор лучше умеют говорить.
Поэтому не стоит говорить о том, чего нет в законе. Есть только про установление личности в части биометрических ПДн но это не то.
К слову говоря идентификация была в первых редакциях 152-ФЗ, но еще раз подчеркну, сейчас ее нет.
Определение ПДн в законе МЕГА КРИВОЕ и под него можно подвести что угодно. Я не хочу его защищать, но оперировать можно только тем, что написано в законе ну или найти разъяснения высших судов.
Никто другой, кроме судов, включая Роскомнадзор толковать законодательство не имеет право…
А про суды общей юрисдикции можно сказать, что в России не прецедентное право, и по одинаковым ситуациям могут быть вынесены диаметрально противоположные решения. Выигрывает тот, чей адвокат / прокурор лучше умеют говорить.
Всё правильно, кроме того, что ни закон, ни кто-то ещё не развёл понятия идентификации и информации, которая определяет прямо или косвенно. На самом деле есть универсальный «приём», кот. называется формально-юридическим методом: можно просто дать определение.
А оно звучит довольно просто: «установление тождественности неизвестного объекта известному на основании совпадения признаков». И здесь равнозначность понятий более, чем очевидна. На мой опять же взгляд.
На счёт толкования — это вы зря, т.к. это может слишком далеко завести: толкование бывает разных видов — от доктринального до легального — и это понятие можно использовать, исходя из контекста. Контекст — выше.
Что касается не прецедентной системы, то тут как раз вопрос частый: да — не обязаны принимать одинаковые решения. Более того, толкуют судьи свою независимость как раз так, что могут ВСЁ понимать по-своему. Пока ВС не скажет: «стоп!». Но именно поэтому- публикация здесь, на Хабре, т.к. подходов пока довольно много, а найти подходящее здесь-и-сейчас решение для себя нужно. И многим.
А оно звучит довольно просто: «установление тождественности неизвестного объекта известному на основании совпадения признаков». И здесь равнозначность понятий более, чем очевидна. На мой опять же взгляд.
На счёт толкования — это вы зря, т.к. это может слишком далеко завести: толкование бывает разных видов — от доктринального до легального — и это понятие можно использовать, исходя из контекста. Контекст — выше.
Что касается не прецедентной системы, то тут как раз вопрос частый: да — не обязаны принимать одинаковые решения. Более того, толкуют судьи свою независимость как раз так, что могут ВСЁ понимать по-своему. Пока ВС не скажет: «стоп!». Но именно поэтому- публикация здесь, на Хабре, т.к. подходов пока довольно много, а найти подходящее здесь-и-сейчас решение для себя нужно. И многим.
Про формально-юридический метод очень интересно!..
Вы утверждаете что «идентификация» и «информация которая определят прямо или косвенно» одно и тоже. Но в законе сказано не определяет, а информация, которая относится, а не определяет.
Используя указанный вами метод и смысловой анализ проведу разбор всего определения.
«ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);»
(0)
Определение задает отличительные признаки факта, позволяющие выбрать его из всего множества доступных фактов.
(1)
Рассмотрим влияние слов «прямо или косвено» на определение ПДн.
Отношение, как связь чего-то с чем-то, а в данном случае информации и физ. лица может быть прямое или косвенное, других типов отношений быть не может,
Поэтому упоминание типа связи — прямое или косвенное можно вообще опустить, поскольку они описывают все возможные варианты, соответственно получаем сокращенное определение
«ПДн — любая информация, относящаяся к определенному или определяемому физическому лицу».
(2)
Слова «определенному» или «определяемому» подразумевают что КТО-ТО определил или определяет физ. лицо,.на основании «любой информации».
Подчеркну, что в определении не указано КТО выполняет эти действия. Соответственно, если не заданы отличительные признаки, то лицом, которое «определяет» или для которого физ. лицо может быть «определено» может быть абсолютно любым лицом на земном шаре,
С учетом (0) и данного факта можно Сделать
Вывод 1 — если хоть один человек в мире может на основании рассматриваемой информации определить физ. лицо, то указанная информация является ПДн.
Пример, если хоть один человек знает что почта a@b.c принадлежит мне, то a@b.c — ПДн
С учетом приведенных фактов и выводов можно сделать
Вывод 2
ПДн — любая информация относящаяся к физ. лицу.
Вы утверждаете что «идентификация» и «информация которая определят прямо или косвенно» одно и тоже. Но в законе сказано не определяет, а информация, которая относится, а не определяет.
Используя указанный вами метод и смысловой анализ проведу разбор всего определения.
«ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);»
(0)
Определение задает отличительные признаки факта, позволяющие выбрать его из всего множества доступных фактов.
(1)
Рассмотрим влияние слов «прямо или косвено» на определение ПДн.
Отношение, как связь чего-то с чем-то, а в данном случае информации и физ. лица может быть прямое или косвенное, других типов отношений быть не может,
Поэтому упоминание типа связи — прямое или косвенное можно вообще опустить, поскольку они описывают все возможные варианты, соответственно получаем сокращенное определение
«ПДн — любая информация, относящаяся к определенному или определяемому физическому лицу».
(2)
Слова «определенному» или «определяемому» подразумевают что КТО-ТО определил или определяет физ. лицо,.на основании «любой информации».
Подчеркну, что в определении не указано КТО выполняет эти действия. Соответственно, если не заданы отличительные признаки, то лицом, которое «определяет» или для которого физ. лицо может быть «определено» может быть абсолютно любым лицом на земном шаре,
С учетом (0) и данного факта можно Сделать
Вывод 1 — если хоть один человек в мире может на основании рассматриваемой информации определить физ. лицо, то указанная информация является ПДн.
Пример, если хоть один человек знает что почта a@b.c принадлежит мне, то a@b.c — ПДн
С учетом приведенных фактов и выводов можно сделать
Вывод 2
ПДн — любая информация относящаяся к физ. лицу.
Это, конечно, всё хорошо. Только 1 человек — не годится. ФЗ №152 даёт исключения относительно физ. лиц. Это первое.
Второе: информация, кот. относится — это только часть выражения. Пока даже наши суды не доходят до того, чтобы силлогизмы рассматривать на одной посылке. Вторая часть заключается в том, что субъект должен быть или определён, или определяем. И то, что вы указали в 2 — это да: кто определил или определяет лицо. Скажем, есть ник — по которому кто-то определяет человека, как Nick. И считает, что это так. А это тем временем — ник в соц. сети и принадлежит он в другой соц. сети другому человеку, поэтому важно не только то, что определяет кто-то и т.п., но и как и где.
Про косвенные и прямые — тут да, можно опустить. В этом вся и беда.
Если вернуться к Golos, то как вы на практике докажите, что их ключи есть ПД?
Второе: информация, кот. относится — это только часть выражения. Пока даже наши суды не доходят до того, чтобы силлогизмы рассматривать на одной посылке. Вторая часть заключается в том, что субъект должен быть или определён, или определяем. И то, что вы указали в 2 — это да: кто определил или определяет лицо. Скажем, есть ник — по которому кто-то определяет человека, как Nick. И считает, что это так. А это тем временем — ник в соц. сети и принадлежит он в другой соц. сети другому человеку, поэтому важно не только то, что определяет кто-то и т.п., но и как и где.
Про косвенные и прямые — тут да, можно опустить. В этом вся и беда.
Если вернуться к Golos, то как вы на практике докажите, что их ключи есть ПД?
Это, конечно, всё хорошо. Только 1 человек — не годится. ФЗ №152 даёт исключения относительно физ. лиц. Это первое.
Второе...
Не понял о чем речь. Ну да ладно.
Если вернуться к Golos, то как вы на практике докажите, что их ключи есть ПД?
Считаю что Golos вообще зря заморочился на тему ПД и опубликовал эти слова в политике конфиденциальности.
Строить защиту по 152-ФЗ лучше с точки зрения анализа риска утечки. Если утечет база с предполагаемыми данными будут ли проблемы со стороны физ. лиц или нет. Если не будет, то можно забить, чтобы у вас там не лежало.
Ну если — они заявляют то, что делают, и делают так, как заявляют — как таковой утечки быть не должно. Только тезис о том. что нет абсолютно безопасных систем, никто ведь не отменял. Да и без указания о ПД — они под закон всё одно попадут, а так — у них есть возможность предложить рабочую юр. схему. Примут ли — это уже вопрос открытый.
И да — спасибо, что так подробно расписываете этот момент: я его, если позволите, вставлю частично в публикацию про ПД и email/телефон/ники?
Советую посмотреть постатейный комментарий РКН закона «О персональных данных» от 2015 года.Там они довольно долго сопли по бумаге разводят о том, что в целом определить что такое ПДн, а что нет — довольно проблематично, была собрана целая рабочая группа, которая и пришла к такому абстрактному определению и прочее бла-бла. В конце делают вывод, что такое определение ПДн принято в целях учета интересов всех сторон (по факту — выгодно только РКН). Поэтому будет в том или ином кейсе IP-адрес определен как ПДн будет в большинстве случаев зависеть от рандома в конкретный момент времени в нейронах и синоптических связях конкретного проверяющего.
Кстати, все-таки общепринятое сокращение для персональных данных это — ПДн. На этом в свое время настоял ФСТЭК, тк у них есть еще один термин — противодействие иностранным техническим разведкам, сокращенно — ПД ИТР. И вот, чтобы в этих «ПД» не путаться, для персданных сделали общепринятое сокращение с маленькой буквой «н» на конце.
Кстати, все-таки общепринятое сокращение для персональных данных это — ПДн. На этом в свое время настоял ФСТЭК, тк у них есть еще один термин — противодействие иностранным техническим разведкам, сокращенно — ПД ИТР. И вот, чтобы в этих «ПД» не путаться, для персданных сделали общепринятое сокращение с маленькой буквой «н» на конце.
а в итоге разобрались?
В дополнение: особенно интересно понятие ПД и общие аккаунты (хоть почты, хоть Голоса, да хоть чего). Это физ. лица, но уже нет сути «определенному или определяемому физическому лицу»
На самом деле с Голосом всё ещё интереснее — так как проект основан на публичном распределённом блокчейне, то совершенно нет необходимости использовать официальный сайт (который выступает лишь одним из многих фрондентов к данным внутри блокчейна) для работы.
И зарегистрировать аккаунт там можно вообще не используя никакие данные, включая email, телефон или ещё что-то. Аккаунт можно открыть, купив токены проекта на бирже, что обойдётся не дороже 1 рубля по текущему курсу. Или вообще бесплатно — например, через майнинг (аналогично майнингу биткоинов и других криптовалют).
Т.е. Голос не только не хранит персональные данные, но и позволяет регистрироваться, вообще не используя никакие данные пользователей.
Если у Роскомнадзора или других компетентных органов возникнут претензии к Грациоле по поводу ПД пользователей, проект легко может перейти на саморегистрацию пользователей без ввода вообще каких-либо данных.
Для понижения класса ИСПДн не проще в соглашении объявить собираемые данные общедоступными и не защищать их конфиденциальность? Данные то в любом случае ПДн, как их не называй — технические или еще какие.
Понятия «класс ИСПДн» уже давно не существует. Сейчас вместо них уровни значимости ПДн. При этом даже при общедоступных можно вылезти на высокий УЗ, если к модели угроз отнестись халатно, тк теперь тип угроз — довольно важный параметр.
Можно объявить: такие подходы даже встречал. Проблема всё равно не улетучится, т.к. нужно доказать общедоступность. Скажем, регистрация через те же соц. сети. Но что, если страница, пусть даже номинально, закрыта в ВК от доступа, кроме «друзей»?
РЖД так делал до 2015 года. На сегодняшний день оговорку, что «пользователь при регистрации признает свои данные общедоступными» и «отказывается от их защиты» (!!!) убрали — пруфы легко найти в сети. Видимо РКН обратил таки на них внимание.
Про закрытие доступа самим пользователем. Пользователь же не оператор ПДн, работает только со своими данными. Т. е. пользователь скрыл часть своих (видимо) общедоступных данных от других пользователей, но не от Оператора ПДн. Поэтому правила управления доступом (УПД) с т. зр. ФСТЭК особо не затрагиваются. А правила обмена с третьими сторонами прописаны в никем не читаных пользовательском соглашении и политике обработки ПДн.
Про закрытие доступа самим пользователем. Пользователь же не оператор ПДн, работает только со своими данными. Т. е. пользователь скрыл часть своих (видимо) общедоступных данных от других пользователей, но не от Оператора ПДн. Поэтому правила управления доступом (УПД) с т. зр. ФСТЭК особо не затрагиваются. А правила обмена с третьими сторонами прописаны в никем не читаных пользовательском соглашении и политике обработки ПДн.
Sign up to leave a comment.
Обработка персональных данных? Нет, не к нам. Элегантное решение от Golos