Comments 44
Очень интересно, не знал этого. Спасибо за статью
Интересно, а ведь и сохранение в контактах телефона Ивана Ивановича Иванова с его телефонным номером тогда тоже получается обработка ПД ...
А посмотреть в лицо и запомнить - сбор биометрии...
Когда кассир Пятёрочки даёт вам чек со своими ФИО, тоже не забывайте у него разрешение на обработку спрашивать. И в реестре регайтесь, ага.
Кассир не «раскрывает» свои персональные данные по доброй воле.ФИО в чеке — это требование законодательства (ст. 4.7 54-ФЗ «О применении ККТ»). Значит, основание для обработки есть в законе. Согласие здесь не нужно. Оператор — работодатель, а не покупатель.Персональные данные кассира обрабатывает его работодатель («Пятёрочка»), чтобы исполнять закон о кассовой дисциплине. Покупатель, получая чек, не становится оператором ПДн и не обязан выполнять 152-ФЗ.
Или это была ирония и не нужно было мне так серьезно отвечать? :)
То есть завожу я левый почтовый ящик, отправляю жертве письмо с подписью
"Ваш любимый Василий Пупкин, тел <прооизвольный номер>
И строчу жалобу -> компанию наказывают? Даже за фейк, похожий на ПД?
Жалоба ≠ автоматический штраф.
Роскомнадзор сначала проверяет:
чьи это данные,
есть ли цель обработки,
уничтожены ли они,
соблюдены ли требования (политика, ответственный, уведомление).
Ну то есть "слегка" кошмарит ИП, даже если ему ничьи ПД вообще не нужны.
Чтобы не "слегка": укажите в письме жертве национальность или диагноз (или иную спец-категорию).
Ничего он не проверяет, проверено лично.
Святая детская наивность. Чтобы РПН заработал нужны три условия, фактически они трудно выполнимы, поэтому можешь писать хоть до посинения и получать отписки.
Правильно ли я понял из статьи, что любому бизнесу стоит зарегистрироваться оператором ПД "на всякий пожарный"?
Из статьи вы должны были правильно понять что надо занести денежку конторе по ИБ которая вам поможет встать в правильную позу и будет подавать вазелин когда вас будут иметь.
На самом деле - с учетом опыта взаимоотношений бизнеса и государства в этой стране - правильная политика (пока вы не выросли в достаточной степени чтобы без труда оплачивать юристов которые будут отбивать наезды проверяющих - или просто закладывать штраф/взятку в цену своих услуг) - уходить в абсолютный отказ. Ваша позиция простая - никаких персональных данных не собираем, не храним и не обрабатываем. Орган сам по себе к вам не придет (какой смысл ему вас искать, когда полно идиотов сами себя в реестре зарегистрировали?!). А даже если придет - то это не уголовное дело, "маски-шоу" и изъятие техники. Они будут писать письма и требровать документы. Ваш ответ: нет, не был, не знаю, не привлекался. Вот почтовый ящик на сайте вашей компании указан! Он никогда не работал, пароля ни у кого нет. Покажите ваше кадровое делопроизводство ? Не знаю о чем вы говорите, бумаги съела кошка, испортил ливень, а потом они еще и сгорели. Можете на заднем дворе у помойки пепел разворошить... Покажите договора с клиентами ? Знать не знаю, может где и были - но сейчас нету. Покажите что у вас в 1С - верите или нет, пароль забыли - сами второй год мучаемся зайти не можем... В худшем случае заплатите штраф за непредоставление документов (а то и его в суде отобъете если правильно отпишетесь) - и от вас отстанут.
А как только вы зарегистрируетесь - вас можно начинать доить. Сначала с вас попросят все политики и реестр того где и что вы храните. А потом каждый раз будет находиться закон/постановление/ведомственная инструкция - которая вот конкретно у вас не выполнена. И каждый раз штраф, время на устранение, оплата конторе за ИБ - устранение, и ждите новую проверку. С учетом дефицита бюджета - штрафов надо собрать много!...
Так ведь уже всех закошмарили и любой бизнес это оператор даже если есть один сотрудник, даже если это ты сам. Далее отправили всех регаться на сайт «конторы солнышек», что он аж упал на 2 дня.
Это я к вашей строчке
полно идиотов сами себя в реестре зарегистрировали
Получаеться скоро все там будем… Только физиков с контактной книгой не хватает
Закон же не обязывает вас обращаться в ИБ контору. Там четко разрешено все делать самостоятельно.
Там исключения есть для обработки без средств автоматизации. Разъяснения, что средства автоматизации ≠ компьютер тоже есть. В комментах этого поста ссылки давал https://habr.com/ru/articles/920570/
Если собираете, храните или обрабатываете ПДн, то надо.
Учитывая информацию, приведенную в статье, могли бы вы привести пару примеров бизнеса, которому не надо регистрироваться как оператору ПД?
Если нет средств автоматизации в процессе сбора, обработки и хранении ПДн (т.е. строго «на бумаге»: без e-mail, Excel/1С, сканов, фото, мессенджеров, облаков и т. п.), что малореалистично для бизнеса.
Самозанятый записывающий своих клиентов в записную (телефонную) книжку, тетрадку?
Выше я имел ввиду такой компании не надо подавать уведомление в РКН и применять СЗИ. Но соблюдать требования 152-ФЗ касающиеся бумажных документом все равно придется.
Всё равно не понятно, если я самозанятый и у меня телефоны клиентов записаны в телефонной книжке (например), мне нужно уведомлять РКН? Email не собирается, ФИО тоже, в книжку пишу как хочу, телефон и Иван Иванович. Благодарю за разъяснение.
Вопрос очень интересный. С одной стороны если самозанятый записывает телефоны клиентов в свой телефон, то он явно их там как-то идентифицирует. Обычно по ФИО хотя бы. Иначе, что он с ними дальше будет делать в плане бизнеса. Сомневаюсь, что он будет их там фиксировать в виде "Починить трубу во вторник, телефон". Хотя все может быть :)
Но если фиксирует ФИО+телефон, то это будет уже автоматизированная обработка. Согласие конечно не надо брать, если клиент первый обратился за услугой и политику не надо писать, так как самозанятый не относится к юрлицам. Но соответствовать другим требованиям придется. Важный нюанс еще в том, что большинство телефоном сейчас это смартфоны, которые синхронизируют контакты в облако, а значит может возникнуть трансграничная передача ПДн, что добавляет хлопот. Будет проще либо отключить синхронизацию, либо использовать для синхронизации контактов Российские сервисы. Радует то, что очень маловероятно, что РКН будет таким самозанятым интересоваться.
Основное изменение в рамках обработки персональных данных, когда юридическое лицо становится оператором, произошло 1 сентября 2022 года. Это от 14.07.2022 № 266-ФЗ. Могу ошибаться, но как раз за эти 3 года количество операторов увеличилось с ~ 1 миллиона до 2.4 миллионов. Не согласен с автором статьи, потому что прием на работу с 1.09.2022 уже подразумевает обработку ПД.
Интересный теоретический вопрос, а как определить уровень защищенности для почты, если кто-то скинет файл с ПД более 100к человек, когда УЗ рассматривали для менее 100к человек? Я не знаю, насколько сейчас обязаловка делать приказ об определении ИСПДн и акты УЗ ИСПДн (может что-то уже необязательно, но сделано все равно на всякий). И туда же, если мы указали как конкретизированную цель обработки, в соответствии с приказом Роскомнадзора № 179 от 28.10.2022 , требуется подтверждение уничтожения, а именно составления акта об уничтожении ПД. Так же интересно, как в таком случае идет ознакомление с юридическими последствиями отказа от предоставления персональных данных, с чем обязаны ознакомить, в случае отказа от подписания согласия. Но опять же, практика подписания через ЭЦП...
Из самых странных вещей наверное это "возможная утечка информации", что РКН все равно о таких событиях надо уведомлять, и как это мониторить в малых-средних компаниях - непонятно. Т.е. можно просто закинуть информацию, что произошел слив, и компания обязана на это ответить.
Я через госуслуги подавал запрос по практике применения законодательства, на что регулятор ответил дословно с письма "
Согласно пункту 12.4 Типового регламента внутренней организации федеральных органов исполнительной власти, утвержденного постановлением Правительства Российской Федерации от 28.07.2005 № 452, разъяснение законодательства Российской Федерации, практики его применения, а также толкование норм, терминов и понятий осуществляются федеральными органами исполнительной власти по обращениям граждан и организаций в случаях, если на них возложена соответствующая обязанность или если это необходимо для обоснования решения, принятого по обращению гражданина.
Учитывая, что указанные в Вашем обращении вопросы не относятся к контрольно-надзорным полномочиям Управления в области персональных данных, предоставить разъяснения по существу приведенных доводов не представляется возможным. "
Вообще-то, для исполнения 152-фз и кучи другого любое юрлицо, включая ИПБЮЛ - обрабатывают ПДн, включая свои собственные.
Поэтому взять недельку, посмотреть что надо по 152фз, 1119пп, 21приказу фстэк, оформить как обработку без СВТ, и упорядочить свои документы и знать закон, ибо не знание - не освобождает от ответственности.
Это не сложно, просто надо взять и сделать. Потом уже не бояться за штрафы в этой части.
Если нет возможности сделать - куча "помогальщиков" есть на рынке.
А если клиент/кандидат прислал письмо на личную почту сотрудника компании?
Рассмотрите мое резюме или предложение.
Как устанавливается связь почты компании и личной почты?
По домену?
Сотрудник распечатал КП или СV и отнес директору?
Или переслал директору на личную почту ?
Но в целом согласен с комментарием выше.
Топик, к сожалению больше рекламный....
Вот отправлю письмо топикастеру, он физик ?
С одной стороны реквизитов компании нет, а должность в профиле есть?
Смотря сколько на улице нелегальных дельцев от которых реально много проблем, «этим» проверяющим нужно обязательно в интернеты лезть 🙄
Интересно, а если компания А обслуживает информационную систему компании Б и для этого (настройки прав пользователей, консультаций по расчету зарплаты, настройки маршрутов процессов) имеет ДОСТУП к персональным данным сотрудников компании Б. Должна ли в этом случае компания А получать согласие сотрудников компании Б на обработку их персональных данных? То есть доступ к данным на их сервере равняется обработке?
Оператором персональных данных является компания Б (работодатель).
Она определяет цели и средства обработки ПДн (ст. 3 ФЗ-152).Компания А — обработчик по поручению (ст. 6 ч. 3 ФЗ-152).
Закон прямо говорит: оператор может поручить обработку другому лицу на основании договора, при этом согласие субъекта не нужно, если соблюдаются два условия:у оператора есть самостоятельное основание для обработки (у работодателя — Трудовой кодекс РФ, ст. 86–90),
с обработчиком заключён договор с оговоркой обязанностей по конфиденциальности и защите ПДн.
Обязанность по информированию и получению согласия сотрудников лежит на работодателе (компании Б), а не на подрядчике.
Короче с такими законами проще вообще бизнес не вести
Не люблю я все эти "политики конфиденциальности", "согласия на обработку ПД", "разрешения на куки".
Интернет вполне себе существовал десятилетия без всех этих очевидных бумаг. Использование данных о клиенте так же логично и неотъемлемо, как и использование электроэнергии при работе с интернетом. Само собой разумеющиеся правила не нуждаются в каталогизации и отвлечении пользователя на факт их существования.
Кого не волнуют куки - тот их не чистит, везде жмёт согласия. А кого волнуют - и так использует браузер с нужными настройками - им по существу уже дано несогласие. В конечном итоге от этих согласий толку никакого нету: разрабам надо тратить ресурсы на этот бесполезный функционал, а юзерам надо это ерунду закрывать. Это абсурд.
Вот я никому вообще не даю согласия на обработку ПД. Нигде свой номер не пишу. Но мне названивают спамеры. Может быть это с ними надо бороться?
Вот эта глупая мода спрашивать разрешения на всё подряд может вскоре привести к разрешениям вида "эта информация повлияет на ваше сознание" или "использование сервиса изменит вашу жизнь" или "отказ от ответственности за причинение смерти или порчу здоровья при использовании сервиса" - но на серьёзных щах.
У нас есть такое понятие как "дееспособный человек". Человек должен сам отвечать за свои поступки, его не надо на каждом шагу информировать об очевидных вещах. Нянчиться со взрослым человеком - кто это придумал? Думаю что это лишь притупит бдительность и критическое мышление каждого пользователя. И это в любом случае сделает только хуже, так как юридически невозможно предусмотреть вообще все юз кейсы и импакты. Думаю не требует согласования информация вроде "сайт не несёт ответственности за то, что у вашего соседа может убежать корова". Всё и так логично, требовать что-то бесполезно, а учить пользоваться компьютером требуется в школе, это база.
ПДн - традиционная кормушка в стиле "хотели как лучше, а получилось как всегда".
По текущей логике законодательства, читая эту статью с рабочего компьютера, я делаю свою компанию оператором ПДн. Поскольку ники автора и комментаторов - тоже ПДн.
Если вы просто открыли страницу, то обработку организует не ваша компания, а владелец ресурса (в нашем случае — Habr). Именно он собирает, хранит и показывает никнеймы. Ваша компания в этой ситуации не ставила цели и не управляла обработкой. Ваш компьютер лишь отобразил информацию, но это не «организация обработки».
Отнюдь. Мой браузер открыл страницу, отобразил и сохранил никнеймы в кэше.
Компания не ставила цели и не управляла обработкой, но по факту осуществила сбор (как "получение"), хранение (временное, но это специально оговорено, насколько я помню, что считается) и извлечение (т.е. получение) ПДн с использованием программно-аппаратных средств, принадлежащих компании.
Не уведомив РКН о целях обработки и не подписав с владельцами ников согласие на обработку (может быть и опосредованно через Хабр, который в этом случае должен был указать мою компанию как третье лицо, передача которому ПДн должна быть явно акцептована пользователем).
Статус оператора определяется волевым контролем, а не наличием RAM/кэша. Оператор — это тот, кто организует обработку и определяет её цели/средства. Когда вы просто открываете страницу, вы не формируете ни цели (зачем обрабатывать ники), ни средства (как хранить, кому давать доступ, сколько хранить и т.д.). Кэш браузера — лишь техническая операция отображения контента. Компания станет оператором, только если начнёт использовать эти ники для своих целей (копировать, систематизировать, рассылать и т.д.).
Т.е. вы серьезно предполагаете, что если какая-то компания скажет "мы не обрабатываем ПДн, не формируем цели и средства обработки" - к ней у РКН претензий не будет?
Это вступает в противоречие с вашим же тезисом основной статьи - ваш же "Сценарий №1".
На корпоративную почту компании поступило письмо от потенциального клиента. В тексте или подписи он указал свои персональные данные – например, полное имя и номер телефона – чтобы компания могла с ним связаться. Компания заранее не запрашивала эти сведения и специальных форм сбора не имеет.
В такой ситуации организация становится оператором персональных данных. Закон определяет оператором любого, кто организует обработку ПДн и определяет цели и средства этой обработки (ст.3 152-ФЗ). Несмотря на отсутствие формального “реестра клиентов”, факт владения письмом с данными (имя, телефон клиента) означает, что компания получила доступ к ПДн, а значит это делает вас оператором, пусть и небольшого объёма данных. Сам факт получения и сохранения письма на почтовом сервере – уже обработка (сбор и хранение ПДн). Когда вы читаете письмо и извлекаете из него информацию – это тоже использование ПДн.
Это описание ничем не отличается от прочтения страницы, на которой опубликованы персональные данные в браузере. Почтовый ящик компании на mail.ru (даже с корпоративным доменом) для меня ничем не отличается от страницы habr. Когда я читаю страницу habr и извлекаю из нее информацию - это тоже использование ПДн.
Вы уж или крестик, или трусы.
Если у организации есть почтовый сервер, то она точно имеет цель и обрабатывает.
Серьезно, это определяющий критерий? А если организация не имеет собственного почтового сервера, а использует SaaS? Или PaaS? Или вообще Mail as a Service?
Вы прямо сейчас хотите сказать, что является ли обработчиком ПДн организация или нет регулятор определяет, опираясь на формулировку отношений в договоре между организацией и поставщиком услуги почты?
Можете привести юридическую практику, подтверждающую значимость этого критерия? Есть ощущение, что вы сейчас фантазируете, причем чем дальше, тем глубже погружаетесь в свой симулякр, не имеющий отношения к реальности.
Почему одно письмо с ФИО в почте делает вас оператором персональных данных?