Comments 42
Будьте добры, прокомментируйте, пожалуйста, нарушения в обработке ПД на следующем сайте. Там размещено множество имён, фамилий, адресов на конвертах, фотографий и прочих сведений, которые позволяют установить личность.
Давайте посмотрим на три примера.
Это орден, в его описании приведены персональные данные.
Это деревянное веретено, в его описании опять персональные данные.
Это пулемётная лента, она не является архивным документом, а про описание боюсь даже говорить.
Примеры выбраны как типичные и характерные. Все эти сведения доступны на сайте Министерства культуры как открытые данные, опубликованные по свободной лицензии для неограниченного копирования, тиражирования, распространения и переработки.
Спасибо.
Холопам нельзя. Гражданам можно.
Здравствуйте! Для того, чтобы прокомментировать корректность размещения данных на каком-либо сайте, нужно знать какие основания есть для размещения данных: возможно получены согласия на публикацию сведений или есть иные основания, предусмотренные законом. Информацией о наличии соответствующих оснований обладает владелец сайта, разместивший сведения. Я в данном случае такой информацией на владею и не могу давать комментарии.
Представленный случай регулирует 125-ФЗ, см: пп2 ч2 ст1 152-ФЗ.
организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
Неужели вы считаете, что орден, веретено и пулемётная лента являются архивными документами?
Вообще-то этот орден в музей отдали родственники умершей награждённый женщины. Вы уверены, что они после этого против? Я вот не уверен.
доступ к персональным данным должен быть у небольшого количества сотрудников;
Что делать, если целью предприятия является обработка персональных данных, то есть почти все сотрудники обязаны работать с персональными данными? Пример — газета.
необходимо собирать только те сведения,
которые действительно важны для достижения заявленных целей
Что делать, если целью предприятия является сбор наибольшего числа сведений о людях? Пример — газета.
Здравствуйте! Если целью предприятия является обработка, в том числе сбор, большого количества персональных данных, то вопросам безопасности при обработке персональных данных нужно уделять очень большое значение. Для начала назначить ответственного за обработку данных (сотрудник или организация (профессиональный ДПО), проанализировать процессы обработки данных: кто и как данные собирает, где они хранятся, в течение какого срока, как уничтожаются. Далее нужно оценить соответствие процессов обработки данных требованиям закона, изменить процессы, если они не соответствуют закону. Также необходимо определить основание для обработки данных. Есть ли оно? Если газета является СМИ, то это тоже нужно учесть. Затем на основании проведенного анализа необходимо разработать и утвердить документы, регламентирующие обработку данных. С указанными документами ознакомить сотрудников. Это не полный перечень мер, которые необходимо предпринять. Если нужна подробная консультация, можете написать в ЛС
Ньюанс в том, что при проверке, организация должна доказать что конкретный сотрудник имеет право обрабатывать именно те ПДн, которые ему нужны для работы,. т.е. должны быть четкие разграничения по объему (152 явно разрабатывали "секретчики"). Главбуху не обязательно знать половую ориентацию или религиозную принадлежность того, о ком пишишется статья, в то время как главреду и репортёру - обязательно (но лучше это вообще нигде не показывать, т.к. это специальные ПДн и за них спрос выше). В тоже время главреду не нужно знать СНИЛС своего сотрудника, а главбуху - нужно.
В случае с газетой каждый журналист должен обрабатывать ПД, которые он пишет в своих статьях. То есть самые разные, любые ПД. И если с бухгалтером можно понять, где граница его действий, то с журналистом этого понять нельзя. Сочиняя биографическую статью про врача из районной поликлиники, журналист должен узнать имя и адрес врача, проверить его трудовую книжку, все дипломы и документы этого врача, собрать бесчисленные сведения от его родственников и друзей.
Причём многие из этих данных журналист включает в статью, то есть обязан опубликовать.
И многие из этих данных журналист получает по телефону, или через соцсеть, или через мессенджер. В этих случаях субъект ПД не может ничего подписывать.
Ничего. См п8 ч1 ст6 152-ФЗ
Допускается в следующих случаях:
обработка персональных данных необходима для осуществления
Надо доказать, что она необходима.
профессиональной деятельности журналиста
Надо доказать, что перед нами журналист, хотя он нигде не работает и не получает денег за свою работу, то есть документов об этом нету.
... либо научной, литературной ... деятельности
Надо доказать, что была научная деятельность, хотя документов об этом нету.
при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных
Как понять, будет ли публикация ПД в результате работы журналиста, научной или литературной деятельности нарушать права субъекта ПД?
Например, научный сотрудник собрал сведения о всех местах вашей работы, всех ваших должностях, и передал журналисту, а тот опубликовал в газете в интернете. Значит, теперь надо как-то доказать, что научный сотрудник сделал это в ходе своей научной и литературной деятельности? Надо доказать, что у журналиста была профессиональная деятельность? Надо доказать, что вся их деятельность была необходима, то есть они никак не могли отказаться от неё? И ещё надо доказать, что публикация этих сведений не нарушает ваших прав?
Я почему спрашиваю. Мне доводилось обсуждать этот вопрос с научными сотрудниками разных учреждений. Никто, совсем никто не понимает, как это всё доказывать. Обычно отвечают, что надо избегать работы с ПД, а в крайнем случае следует разыскивать наследников и заключать с ними договора на обработку ПД их родственников. Однако найти этих наследников нельзя никогда, потому что сам такой поиск занимает много лет и стоит огромных денег.
Теперь понято где я уже видел подобные отсылки на музейные экспонаты и ПД.
Будьте проще с архивным/музейным и ПД: наследник сам сообщит Вам, если посчитает что права его предка нарушены. А там пусть доказывает что законный наследник и почему обработка ПД умершего дцать лет человека нарушает 152-ФЗ.
Надо быть разумными людьми, ведь наследники Толстого не жалуются в РКН, что место жительства Льва Николаевич было в Ясной поляне и он граф ещё (Wikipedia согласие имеет!?)
Я не видел еще ни одной компании, которая на 100% соблюдала бы в реальности эти законы про ПД.
Можно заходить и каждого первого штрафовать на право и налево, в 99.99% случаев найдётся за что. Вот только применяются они только когда это кому-то выгодно.
Это не законы, а какая-то профанация, ей богу. Крупные компании, банки, площадки типа "Авито" гребут все подряд персданные, биометрию и т.п. как не в себя, абсолютно не задумываясь нужны эти данные реально для того или иного бизнес процесса или нет.
Примерно такая же профанация, как и во всём мире.
Вопрос исключительно в выполнении закона и контроле его выполнения, тогда и профанации не будет.
Требования самого закона примерно такие же, как и у подобных законов в других юрисдикциях.
Здравствуйте! Интернет-магазин - это оператор персональных данных. На сайте интернет-магазина должны быть размещен документ, определяющий политику обработки персональных данных (политика конфиденциальности), также должны быть размещены документы, являющиеся основанием для обработки данных (согласие на обработку данных, пользовательское соглашение, оферта). Данные пользователей необходимо хранить в течение установленных в вышеуказанных документах сроков. В случае обращения клиента с заявлением об удалении его персональных данных - данные нужно удалить в установленный законом срок, составить акт об уничтожении и подтвердить уничтожение выгрузкой из журнала событий, уведомить клиента об удалении данных. Если нужна более подробная консультация, напишите в ЛС
Здравствуйте! Все же требования закона лучше соблюдать, особенно учитывая повышение размера штрафов за утечки данных с мая 2025года (случайно прикрепила ответ на вопрос об Интернет-магазинах)
Тема важная и актуальная. Может кто знает, в какую сторону искать. Интернет магазин это оператор пд? Если в интернет магазин бращаюься с требованием удалить пд, какой порядок действия? Как идентифицировать того, кто обратился? Нужно ли это делать? Как правильно удалять? Видел в интернете, что надо собирать комиссию и составлять акт удаления пд. Но там больше про бумажные носители. А если обработка только на сайте? Если кто знает, буду очень благодарен за информацию.
Здравствуйте! Интернет-магазин - это оператор персональных данных. На сайте интернет-магазина должны быть размещен документ, определяющий политику обработки персональных данных (политика конфиденциальности), также должны быть размещены документы, являющиеся основанием для обработки данных (согласие на обработку данных, пользовательское соглашение, оферта). Данные пользователей необходимо хранить в течение установленных в вышеуказанных документах сроков. В случае обращения клиента с заявлением об удалении его персональных данных - данные нужно удалить в установленный законом срок, составить акт об уничтожении и подтвердить уничтожение выгрузкой из журнала событий, уведомить клиента об удалении данных. Если нужна более подробная консультация, напишите в ЛС
доступ к персональным данным должен быть у небольшого количества сотрудников
насколько я понял, в 152-ФЗ к ПД относятся ФИО + e-mail, например.
любопытно, как РКН представляет себе работу отделов закупок или продаж с этими данными
Для того, чтобы иметь возможность ответить на вопросы Роскомнадзора, важно определить основания получения данных отделами закупок и продаж: дали ли пользователи согласие, когда оставляли заявку на сайте, например? Возможно есть иное законное основание. Каждый случай индивидуален. Но основание для обработки данных должно быть.
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
пп1 ст3 152-ФЗ
Как работать отделу продаж: определить субъектов ПД и минимальный набор их объектов ПД для достижения цели обработки ПД - заключения договора; Определить порядок работы с ПД для работников отдела; если собираются ПД более чем нужно для заключения договора, например справка что дееспособный граждан, то получить письменное согласие на обработку этих ПД.
Всё просто.
Для заключения договора отдел продаж должен знать о клиентах как можно больше. Лучше всего знать все их семейные связи, знать их круг знакомств, интересы и вкусы. Полезным бывает знать их планы на ближайший год.
Здравствуйте! Да, верно, нужно определить необходимый минимальный перечь данных для заключения договора (можно ориентироваться на сведения о клиенте, которые понадобятся для обращения в суд в случае неисполнения договора).
Заключение и исполнение договора - основание для обработки данных. Как правило, справка о дееспособности не запрашивается при заключении обычных договоров. Скажите, пожалуйста, ваша компания запрашивает какие-то справки, подтверждающие дееспособность? Для этого есть какие-то веские основания?
Моя - нет, но есть архаизмы в управлении и организации работы некоторых руководителей, которые считают (без основательно законам) нормальным требовать с контрагентов чуть ли не справку о группе крови и сведения о родственниках до 3 колена
Это нарушение. Нужно собирать только персональные данные, которые действительно необходимы
Думаю, Вы знаете такие руководители организаций узнают об этом, когда им вменяют 13.11
Очень трудно доказать, что конкретные ПД действительно необходимы. Один эксперт считает, что сбор ПД был необходим, а другой эксперт считает, что можно обойтись без сбора ПД и вообще можно обойтись безо всей задачи, которая привела к обработке ПД.
Как авторы статьи прокомментируют то, что в квалифицированном сертификате содержатся персональные данные и при получении КСКП ЭП я не давал АУЦ согласия на распространение ПДн. Или можно закрыть глаза, если невозможно поменять технологию?
Давайте предметно: какой АУЦ; какие документы были подписаны
Здравствуйте! Если я правильно поняла вопрос, читателя интересует законность распространения его персональных данных при подписании документов электронной подписью.
Если так, то здесь ситуация следующая. Подписывая документы электронной подписью человек, подписывающий документ, сам распространяет свои персональные данные. Согласие в данном случае не требуется.
Согласно Федеральному закону "Об электронной подписи" электронная подпись - информация, ... которая используется для определения лица, подписывающего информацию.
Таким образом, есть два варианта:
-не подписывать документы эл. подписью, если не хотите, чтобы персональные данные стали известны третьим лицам;
-подписывать документы эл. подписью осознавая, что эл. подпись применяется для определения лица, подписавшего документ, влечет указание сведений о лице, подписавшем документ.
Организация является СуКИИ и оператором ПДН. На единственного сотрудника по ИБ возлагают ответственность за КИИ, ПД и ещё параллельно админом ИБ подрабатывать. Каков итог этой работы? Ну примерный итог будет, как история из поста вашего.
Функции ответственного за обработку персональных данных разрешено совмещать с другой должностью.
С какой должностью эти функции НЕЛЬЗЯ совмещать и ПОЧЕМУ?
Вашей компании нужен этот сотрудник: объясняю, почему в 2025 нельзя не назначить ответственного за работу с ПД