Можно ли скрыться от закона «О персональных данных»?

    27 июля 2006 года был принят закон «О персональных данных». Его принятие было связано с ратификацией Россией «Конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Закон этот был призван установить те требования защиты персональных данных, которые были описаны в этой конвенции. По замыслу законодателей, те компьютерные системы, которые были созданы до даты вступления закона в силу, нужно было привести в соответствие с его требованиями к 1 января 2010 года. Однако, по мере приближения этого срока все очевиднее становилось то, что множество компьютеровладельцев с этим не справятся. Поэтому в самом конце 2009 года, когда до «дня икс» оставалось совсем немного, его сдвинули еще, до 1 января 2011 года. А когда и до этого срока тоже оставалось совсем немного, «полноценное» вступление в силу закона отодвинули еще раз, теперь всего на полгода.

    Думаю, многие сайтовладельцы, уже и так запуганные этим законом, стали искать возможность как-то скрыться от его всевидящего ока. Не исключено, что в июне наши законотворцы проделают еще один подобный маневр, однако, надеяться на это не стоит. Давайте лучше посмотрим, чем нам всем грозит этот закон.

    Что такое ПД?

    Для начала определимся с терминологией. Под «информационной системой» в законе понимается «совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Под этой запутанной формулировкой скрывается обычный компьютер, на котором обрабатываются персональные данные. Под такими «данными» в законе понимается любая информация, «относящаяся к определенному или определяемому на основании такой информации физическому лицу».

    Прямо к персональным данным законом причислены «фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы», однако, перечень информации в законе – не исчерпывающий. проще говоря, «персональные данные» – это любая информация, с помощью которой можно идентифицировать личность. И именно в этом – одна из самых больших проблем закона: фактически, такое определение может толковаться предельно широко. То, можно ли идентифицировать лицо на основании каких-либо данных, определяется не видом этих данных, а, скорее, их объемом. Например, имени и фамилии может быть недостаточно для идентификации в том случае, если необходимо найти человека в достаточно большом массиве других людей: можете попробовать поискать своих тезок-однофамильцев в интернете и убедиться в этом лично. В то же время, если речь идет о школьном классе, то имени и фамилии вполне достаточно. Не бывает «идентификации вообще», она всегда осуществляется на основе конкретного объема данных и в конкретной ситуации. Закон, оперируя абстрактными «персональными данными», этого совершенно не учитывает. Поэтому возможность попасть под санкции за его нарушения сильно зависит от субъективного мнения проверяющего.

    На практике можно быть уверенным только в том, что к «персональным данным» будут причисляться те категории информации, которые прямо указаны в законе. Все остальное может считаться ПД, а может и не считаться – по ситуации. Стоит иметь в виду и еще один нюанс: не всякое упомнинание чужих данных нарушает закон о ПД. Сама конвенция говорит об «автоматизированной обработке данных», а в первой статье закона его действие распространяется на действия, которые проводятся «с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Это очень важный момент, о котором часто забывают: не любые действия с персональными данными попадают под регулирование закона, а только те, которые связаны с обработкой достаточно больших их массивов.

    Что касается обработки без использования средств автоматизации, то она также регулируется законом в тех случаях, когда совершаются действия с данными множества людей. Под регулирование закона в этом случае попадают разного рода картотеки, списки, и тому подобное.

    Кто такой «оператор»?

    «Оператором» в терминологии закона, называют любое лицо или организацию, которые занимаются обработкой чужих данных. То есть, если вы запустили сайт, на котором есть регистрация с указанием имени пользователя – все, вы, похоже, попали… Под регулирование закона. Кстати, если вы начали обрабатывать персональные данные после принятия закона, то срок «до июля», о котором мы писали в начале – не для вас. Он установлен статьей 25 закона только для тех, кто делал это до его вступления в силу. Вы же должны были соответствовать требованиям с самого начала.

    Первое, что должен сделать наш оператор – уведомить уполномоченный орган, который следит за соблюдением требований закона, Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно «Роскомнадзор»). На сайте службы есть специальная интернет-форма для подачи такого уведомления, однако, толку от нее мало, поскольку посылать его обычной почтой придется все равно.

    В девятой статье закона предусмотрен ряд ситуаций, когда уведомление можно не подавать. Этого можно не делать, если из всех видов персональных данных обрабатывается только фамилия, имя и отчество, чего может быть достаточно в некоторых случаях. Большинство форумов и сайтов, построенных на основе распространенных CMS, вообще предусматривают хранение только имени пользователя и пароля, которые никакими «персональными данными» не являются вообще. Поэтому рекомендуется ими и ограничиться.

    Однако, в наше время социальных сетей от пользователя требуется оставлять на сайтах все больше и больше данных. А перед владельцами таких сайтов встает следующее препятствие в виде получения согласия от «субъектов». Согласие субъекта данных (то есть, того лица, к которому эти данные относятся) может быть письменным и устным. В письменной форме согласие должно быть получено в определенном перечне случаев: для включения данных в какой-то общедоступный перечень (ст. 8); для обработки специальных категорий данных, например о расовой принадлежности, политических взглядах, и тому подобные сведения (ст. 10); при обработке биометрических данных (ст. 11); при передаче данных за границу (ст. 12); для принятия в отношении субъекта при автоматизированной обработке его данных каких-то решений, затрагивющих его права и свободы (ст. 16). Кроме того, законом могут быть предусмотрены и иные случаи. Причем законом о ПД (ст. 9) установлены дополнительные требования к такой письменной форме: согласие должно содержать собственноручную или электронную подпись лица, которое дает согласие. Поэтому для его получения неприменим обычный порядок письменных сделок, установленный Гражданским кодексом, когда условия договора излагаются в отдельном документе, а согласие с ними можно выразить, совершив какое-то действие.

    Таким образом, владельцы социальных сетей, которые либо показывают данные пользователей всем, либо позволяют просматривать их достаточно большому числу лиц, – нарушают закон. Нет у них ни «бумажного» согласия, ни подписанного электронной подписью… Нарушать они его стали совсем недавно, с июля прошлого года: именно тогда были внесены соответствующие изменения в закон. И избежать выполнения этого требования нельзя, похоже, никак. В общем, у любого владельца сайта на этом месте опускаются руки, и до описания требований, которым должен соответствовать его компьютер, он не доходит, сэкономив себе некоторое количество драгоценных нервных клеток (главным образом, потому, что никогда не узнает, какую сумму ему пришлось бы заплатить).

    О том, как необходимо защищать персональные данные, говорится в Положении о методах и способах защиты информации в информационных системах персональных данных. Все компьютерные системы делятся на четыре «класса», из которых только для одного, четвертого, средства защиты применяются по усмотрению собственника. Порядок классификации утвержден приказом ФСТЭК, и то, к какому классу будет отнесена система, зависит от количества обрабатываемых данных, их вида, и других факторов. К «четвертому классу» причисляются системы, в которых происходит только обработка обезличенных или общедоступных персональных данных, утечка которых никак не может повредить их субъектам.

    Однако, если вы подумали, что можно избежать мер по защите, просто предупредив пользователя, что введенные им данные будут общедоступны, то сразу же об этом забудьте. На этапе сбора данных, то есть, получения их от пользователя, они общедоступными еще не являются, то есть, любая система, которая собирает данные, к «четвертому классу» отнесена быть не может. Хотя на обезличивании данных основан один из часто используемых способов экономии на защите: сертифицируются только те компьютеры, на которых выполняется ввод данных. Затем каждой записи присваивается идентификатор, с которым и работают все остальные компьютеры: они и будут отнесены к «четвертому классу», для которого не требуется защита.

    А контролеры кто?

    Закон «О персональных данных» оказался слишком требовательным к операторам. На Западе принят совсем другой подход к регулированию в этой сфере: в случае, если у оператора произойдет утечка данных, его накажут, и сильно. Но вот то, как он обрабатывает эти данные – это его проблемы. Российский подход – прямо противоположен: здесь стремятся зарегулировать все, что можно, но вот за нарушение порядка работы с ПД ничего, кроме административной ответственности по статье 13.11 КоАП не грозит (штраф до 10 000 рублей для юридических лиц). Поэтому в России, славной своими традициями неисполнения даже нормальных законов, с такими непродуманными как «О персональных данных», народ тем более борется по-русски: просто игнорирует его, в расчете на то, что всех не накажут, по аналогии с пользователями торрентов.

    Правда, торрент-юзеров намного больше, и у каждого из них шанс пострадать – соответственно, намного меньше. Но если ваш сайт находится где-то у зарубежного хостера, то до него, скорее всего, руки Роскомнадзора не дойдут. Впрочем, одна недавняя попытка привлечения владельца сайта к ответственности показала, что и сами контролеры закон знают не очень хорошо. В конце января и начале февраля состоялось два судебных процесса по делу, истцами в котором выступали представители Роскомнадзора, а ответчиком – владелец сайта «Всероссийское генеалогическое древо» Сергей Котельников.

    Сам иск был подан по жалобе одной из посетительниц сайта, которая нашла на нем личные данные шести человек. Роскомнадзор в процессе выступал в интересах неопределенного круга лиц, и требовал уничтожить те персональные данные, которые к тому моменту были размещены на сайте. Сведения эти публиковались для поиска родственников, а сам сайт представляет собой крупнейший российский генеалогический ресурс. Естественно, пользователи были недовольны. В ходе переговоров с Котельников с Роскомнадзором даже собирались заключить мировое соглашение, которое включало условие о том, что при размещении данных пользователь будет давать свое согласие на то, что они становятся общедоступными.

    При теперешнем распространении электронной подписи задача эта была заведомо невыполнимой. Но суд поступил проще: он не стал рассматривать заявление. В определении суда говорится о том, что Роскомнадзор просто не имеет права подавать иски в интересах неопределенного круга лиц: он может защищать интересы только конкретных «субъектов персональных данных», это право ему дано статьей 23 закона о ПД. Ведь если «персональные данные» – это информация, относящаяся к определенному лицу, то „неопределенного круга“ таких лиц существовать не может в принципе. Таким образом, этот «нашумевший» судебный процесс выявил одно из слабых мест контролеров: требовать удалить все данные всех пользователей с сайта они просто не имеют права, закон разрешает им действовать только в интересах конкретных лиц.
    Pravo.ru
    53.31
    Компания
    Share post

    Comments 63

      +24
      «Строгость российских законов смягчается необязательностью их исполнения» — Михаил Евграфович Салтыков-Щедрин.
        0
        У меня достаточно непростая фамилия. Моих тезок только один. Что теперь?
          –1
          Во-во. У меня тоже; по фамилии и имени найти вообще проще простого.
            0
            У меня тёзок нет. Вообще нет. Они попали?
              0
              Чиновникам виднее, если у вас тезки.
            +2
            Все тоже самое, исключений нету даже если фамилия единственная в своем роде. Ведь технически вы можете расплодиться, всмысле вас станет когда-то больше.
              –2
              А, ну да… Наше правительство рассчитывает как всегда на когда-то, несмотря на то, что я живу сейчас
                +1
                Не, ну а что я не так сказал?
                Меня станет больше?
                Или я своих детей буду называть моим же именем… Причем всех.
                Или я женюсь, упаси Боже, на Сергее?
              0
              ФИО является перс.данными попадающими под категорию 3 — «персональные данные, позволяющие идентифицировать субъекта персональных данны».
              +2
              Вообще, чтобы идентифицировать субъекта персональных данных необходимо, как я считаю, знать информацию (реквизиты) документа, удостоверяющего его личность.

              То, что я Вас найду в соц. сетях еще не означает, что вы реальный персонаж — проверено на практике :)
                0
                Объясните пожалуйста, роскомнадзор не сможет меня оштрафовать без поддержки пользователей (тех самых «субъектов ПД»)? Закон о ПД можно игнорировать, сделав на сайте кнопку «Удалить профиль»? Пользователю нажать ее куда проще, чем идти жаловаться в роскомнадзор.
                  +1
                  Нажать проще) но могут найтись и принципиальные, а могут быть и подставные люди.
                    +1
                    ну, фактически, роскомнадзору нужна именно жалоба, как показывает процесс с генеалогическим сайтом, просто требовать удалить все, и защищать всех подряд он не может. и большинство «наездов» делаются именно по жалобам.
                  • UFO just landed and posted this here
                      0
                      На этот счет у Вконтакте в пользовательском соглашении есть пункт персональных данных (он там вроде немного иначе называется, точно сказать не могу).
                      +2
                      Игнорировать его нельзя, а вот просто соответствовать можно — для начала нужно добавить кнопку «Удалить профиль» (но как при этом будет удаляться профиль из резервной копии?) и соглашение на обработку персональных данных.

                      Этих начальных мер должно для начала хватить.
                        0
                        Аттестация системы обработки персданных обязательна, если данные не обезличены.
                          0
                          Споры ведутся до сих пор, и я в данном случае не считаю это необходимым пунктом — у каждого консультанта может быть своя точка зрения, на данный вопрос.
                        0
                        Статья называется «Можно ли скрыться от закона «О персональных данных»?». Прочитал всю, но ответа не нашел. Понял, что есть куча нюансов, но действовать то как?
                          –1
                          Защищать персональные данные, это не так сложно, например — b-152.ru/
                            0
                            Когда Вы его запустите? С прошлого года мониторю, всё никак не дождусь :)
                              +1
                              Я заходил на ваш сайт довольно давно, с тех пор не запустилось же) На самом деле меня интересует не «как скрыться», а как обезопасится. Я вообще за закон и готов защищать пользовательские данные, но пока совершенно не ясно как это делать. В Положении о методах и способах защиты информации все самыми общими словами описано. И если всем пунктам следовать, то информация на каком нибудь местечковом сайте должна защищаться не хуже Кремля. Там и шифровать надо и от вирусов защищать надо. Все это делается и так, но такое ощущение, что завтра придут добрые дяди и скажут, что надо применять сертифицированный ими софт и списочек предоставят. А там, по закону жанра, будут пакеты ПО «дружественных государству» компаний, которые стоят 100500 мульенов и из работающей системы делают невесть что. Вот все это интересует, а не как подготовить начальный пакет документов.
                                0
                                С организационно-распорядительной документацией все ясно, она понятна многим.

                                Весь вопрос упирается в сертифицированные средства защиты для системы защиты персональных данных — это сильный удар по бюджету компании или предпринимателя.

                                Поэтому на данном этапе советую соответствовать хотя бы тем требованиям, выполнение которых достаточно для Роскомнадзора и его проверок (т.е. требования, регламентирующие обработку персональных данных у оператора и правовой вопрос обработки).

                                P.S. Мы стараемся сделать все качественно и юзабильно, из-за этого и есть задержка с запуском, но осталось совсем чуть-чуть ждать :)
                            –5
                            Сколько можно об одном и том же? Одни маркетологи кругом.
                              +2
                              Все это здорово, конечно… Но вот я не пойму, если это ПД, по которым можно идентифицировать субъекта, то их надо удостоверять. Выходит чтобы они реально были ПД — нужно прилагать скан паспорта, а иначе если Иавнов напишет в поле ФИО: Пупкин — то это выходит что? Вроде как и ПД, но по этим данным нельзя идентифицировать субъекта Иванова. Интернет — «помойка», в хорошем (и не только) смысле слова. Как можно считать ПД те данные, что в этой помойке валяются. Да, бесспорно есть эти самые достоверные данные, но нет подтверждения что они достоверные, а следовательно нельзя идентифицировать однозначно пользователя по тем данным что он ввел без их подтверждения.
                                0
                                Ни один закон или нормативно-правовой акт не дает точного перечня ПДн, на основании которых можно идентифицировать субъекта.
                                +1
                                Совсем запутался с этим законом о ПД, буду очень признателен, если поможете разобраться:
                                1) какая реальная угроза для конкретного человека в том, что его частичные или полные персональные данные станут известны другим лицам?
                                2) если закон о ПД такой серьезный и обязателен к исполнению, то почему все хотят отксерить мой паспорт:
                                — при оплате квитанции в банке им нужно показать паспорт и дать отксерить;
                                — при оплате карточкой в интернет магазине просят выслать скан паспорта;
                                — при оплате карточкой в офлайн магазине тоже хотят отксерить паспорт;
                                причем во всех упомянутых случаях они хотят это это сделать без моей подписи о том, что я согласен на обработку и хранение ПД. Или этот закон не более чем фикция, такой же, как и обязанность писать «молочный напиток» вместо «молоко коровье»?
                                3) приветствуется также любое доступное и понятное на пальцах пояснение, что этот закон меняет в жизни обычного человека, не владельца информационной системы
                                  0
                                  1. Вам понравиться, если ваш почтовый ящик или телефон будет спамиться? Я думаю нет. Это в том случае, если ПДн будут утеряны.
                                  2. Банки первыми начали исполнять требования закона — основные банки, например. Посмотрите на квитанции пункт о соглашении на обработку ПД, он должен быть
                                  При оплате карточкой в интернет-магазине — можете подать на них жалобу в Роскомнадзор. Они не имеют право брать у вас скан паспорта, если нет согласия вашего.
                                  3. Вы защищены законом и можете подпортить имидж любой организации, обрабатывающей ваши ПД. Заодно и денег из них выбить :)
                                    0
                                    Спасибо за разъяснение в пунктах 2 и 3.
                                    А по поводу первого пункта оно и есть: сотовые номера нигде не светил, но спам в духе «мама! положи 500р» приходит периодически.
                                    Думаю, что сам опсос базы своих номеров как сливает спамерам, так и будет сливать независимо от законов.
                                      +1
                                      Здесь есть нюанс. Дело в том, что судя по тому как они работают, рассылка это обезличенная (см. баш — мама читает смску глядя на своего первого двухмесячного сына). То есть просто веером. Оно и понятно — копать каждого конкретно слишком долго.
                                      Другое дело — это знание персональной информации. Например, как сказано в статье, школьный класс. Или еще проще — место проживания. Вот это уже сильная информация, которая может быть использована в суде, или того хуже при давлении на вас (у меня такой был личный опыт). Поэтому например, зная ФИО, раздобыть его номер телефона (или существеннно сузить поиски), а потом номер квартиры, а потом ФИО соседей, их телефоны, узнать о владении автомашины, узнать о долгах (по-моему, была какая-то дыра на ФНС про это) — дело наверное даже автоматизируемое — баз в интернете достаточно. Можно даже не покупать. А с таким массивом информации, можно проводить уже плотную работу. Поэтому, имхо, все «предприимчивые» люди оформляют все на своих родственников и вообще — чтобы не подкопаться.
                                      Кроме того, знание ваших персональных данных — это угроза не только вам, но и вашим родственникам, знакомым. Волна обманов по теме «вашего сына/внука приняли в милицию, мы можем помочь за деньги» еще идет по Москве. И идет полная эксплуатация семейных отношений ворами в отношении ваших престарелых родителей/прародителей (тоже личный опыт). Я думаю, у нас еще впереди уже пройденные на западе обманы по данным из ЖЭКа, учебных учреждений, мест службы, мест работы.

                                      Другими словами, береженого разум оберегает, если он сам не плошает.
                                        0
                                        У меня два мобильных номера, которые различаются только четырьмя последними цифрами, код и три первых — одинаковые. И вот в одну прекрасную ночь на оба приходят такие смс. Боюсь, мошенникам и не надо знать никаких данных абонента, они просто тупо перебирают номера.
                                      +1
                                      1) Определяется самим конкретным человеком. :) Мои имя-фамилия есть в… дцати местах в интернете, одно время в открытом доступе были телефон и домашний адрес, а если где-то базы whois'а не обновились — они есть там и до сих пор. Не вижу причин беспокоиться по этому поводу. :)
                                      2) С банками — есть в закона такое требование о предъявлении паспорта при банковских операциях. С магазинами — насколько я помню, они так делать не должны, и если на них нажаловаться в представительство платежной системы, право принимать платежи по карте у магазина могут отобрать. Хотя это надо читать договоры систем с магазинами, чтобы точно ответить.
                                      +2
                                      Кстати, из за этого закона, теперь некоторые компании (моя страховая, например) при телефонном звонке на медицинский пульт читают 20 секундную заставку: Своим звонком вы подтверждаете свое согласие на обработку ваших персональных данных, тра та та, бла бла бла… Ну тут допустим закон может иметь место, так как я все же реальные данные оставляю и подтверждаю их при получении услуг. Но все равно, не вижу смысла в таком сообщении. Неужели я могу отказаться от обработки ПД? Ситуация выглядела бы глупо:
                                      — Здравствуйте, хочу записаться на прием к врачу…
                                      — Назовите ваш номер полиса и ФИО
                                      — Нет, я не согласен на обработку своих ПД… Запишите меня как 0xy. Этого достаточно…

                                      Просто бредятня какая-то. Лишняя работа и затрата ресурсов… Зачем тратить почти полминуты моего звонка на прослушивание этих сообщений? Иногда и полминуты играют роль в жизни. Хотя это уже частности и можно сказать что я придираюсь.
                                        +2
                                        ну, это не письменная форма согласия, так что заставка страховой и не поможет.
                                        +2
                                        а что делать владельцам интернет-мгазинов?
                                        Если при доставке почтой покупатель указывает адрес, совсем не факт, что это место его регистрации и по нему можно идентифицировать.
                                        Делать галочку для согласия покупателей с обработкой данных?
                                          0
                                          В данном случае необязательно такие данные хранить.
                                          По сути там что нужно? Кому отдать (имя, может ещё фамилия), номер телефона, адрес.
                                          Данные не сложные и можно их хранить в кукисах, по необходимости.
                                          А заказ себе в почту электронную присылать, в системе о заказах можно хранить только данные о товаре, статусе и т.п.

                                          Хотя не совсем удобно, да.
                                            0
                                            Комп, где лежит почта надо будет защищать.
                                              0
                                              Нет, т.к. это не является никакого рода базой данных и не соотносится ни с какой систематизацией.
                                                0
                                                Хм, а по-моему является:
                                                — совокупность материалов есть
                                                — найдены и обработаны ЭВМ эти данные могут быть
                                                  0
                                                  — Материалы не систематизированы.
                                                  — Могут — не значит, что обрабатываются.

                                                  К тому же можно держать почту не у себя, а у хостинг-провайдера, что автоматически тебя освобождает ото всего этого гемороя.
                                                    +1
                                                    «Могут — не значит, что обрабатываются»

                                                    В понятие «обработки» в законе включен и «сбор» данных. Т.е., все требования закона о ПД — в полный рост.
                                                      0
                                                      ну в таком случае надо накрывать всех, кто и по аське невзначай просит прислать им данные )))
                                                        0
                                                        А вы читали невнимательно. :) Под закон о ПД попадает массовый сбор, а не единичный. докажете, что по аське массово собирают — тогда и накрывайте.
                                            +1
                                            Я бы смотрел в сторону шестой статьи закона:

                                            «1.Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
                                            2.Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:

                                            2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

                                            5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;»

                                            Но это — только про согласие субъекта. Т.е., можно избежать «письменной формы», которую через интернет никак сделать нельзя. Но не сертификации.
                                            Сертифицировать проще один компьютер, как описано в статье. Собирать через него заказы, присваивать номер, и дальше обрабатывать по номеру. На обезличенные данные сертификации не надо.
                                            +4
                                            У меня, наоборот есть история о том, как я воевал с одним сайтом, чтобы мои данные удалили. Имеет смысл писать или нет статью об этом?
                                            0
                                            Интересно, ну уж Вконтакте-то очевидно собирает персональные данные. Но в реестре их нету. А вот Одноклассники, как раз есть.
                                              0
                                              Простите, я правильно понимаю, что если взять упрощенно, то в стране принят закон, требования которого фактически не могут быть выполнимы большинстовм мелких и средних организаций, и соответственно, получился прекрасный крючок, на которые можно поймать эти самые организации?
                                                0
                                                Многие мелкие и средние организации вполне могут выполнить требования данного ФЗ, т.к. лишь небольшая их часть обрабатывает персданные, передаваемые через интернет. У многих так вообще только и содержатся персданные своих работников (плюс клиентов-партнеров). Поэтому достаточно выделить 2-3 компьютера, на которых будет вестись обработка таких данных, и их защитить. Выходит не так уж разорительно.
                                                  0
                                                  Не согласен. Не понятно тогда, как быть с компьютером бухгатера, ибо на нем много всякой информации, в том числе и персональной. Вот стоит на бухгалтеском компьютере обычный такой софт: 1С Бухгалтерия, Зарплата и Кадры, КонсультантПлюс. Все это требует практически ежедневного обновления, ибо изменения во всяких нормативно-правовых актах происходя постоянно. А как обновляться, если не по интернету? Ждать, когда приедет дорогущий дядка-обновляющий с дисками обновлений — дорого и долго, а значит не нам не подходит, нам надо дешево и сейчас. А ведь еще есть на компе у буха программа Клиент-Банк с авторизацией по интернету, ибо сайгачить в банк на другой конец города с бумажными платежками в наш век — признак дурного вкуса. А ведь персональных данных сотрудников и клиентов на бухгалтеском компа — мама не горюй. Получается — и без интернета нельзя, и с интернетом — не можно. Как же выйти из такой ситуации?
                                                    0
                                                    Покупаете маленький сертифицированный netbook для ввода данных (через пару месяцев такой стартап или опция у существующих провайдеров появится). А дальше через него обрабатываете все данные. Здесь сертификация идет на ввод, а обработка — хоть у черта на куличках. И это конечно большой плюс — начнут стандартизировать форматы обмена данными.
                                                  0
                                                  Но «крючок» для тех, кто не защитит и попадется на глаза регуляторам, довольно знатный. Нарушение требований этого ФЗ наказывается не только штрафом (10 тыс., чего уж там), но и требованием в трехдневный срок уничтожить все персональные данные, которые неправильно обрабатывались. (ст. 21, п.3)
                                                    +1
                                                    Хочу заметить, что штраф фигня — есть возможность приостановить деятельность предприятия на неопределенный срок. Ну и уголовная ответственность на самом деле тоже есть… Хотя и в исключительных случаях.
                                                  +2
                                                  Было бы здорово если бы вы прокомментировали (очень актуально для интернет-магазинов)

                                                  Статья 6.
                                                  Условия обработки персональных данных
                                                  1.Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
                                                  2.Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:

                                                  2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;


                                                  Статья 22.
                                                  Уведомление об обработке персональных данных
                                                  2.Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

                                                  2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;


                                                  Я совсем не юрист, но судя по выше приведенным кускам из статей 152-фз, следует что если исполняется договор, например договор оферты, то оператор ПД никому ничего не должен, ну точнее его обязанность разместить договор оферты на сайте, и все судя по 6й статье можно даже не запрашивать разрешения на обработку, по идее только нужна галка принятия договора-оферты.
                                                    0
                                                    Это касается только и исключительно уведомления Роскомнадзора. Уведомлять не обязаны.
                                                    Но только в том случае, если в договоре указаны цели исполнения договора, его срок и (в случае необходимости) порядок передачи данных третьим лицам. Причем в последнем пункте (про третьих лиц) кроется засада. — Вы должны порядок передачи регламентировать и заключать соглашение о конфиденциальности данных с теми кому передаете, а они в свою очередь обязаны ДО начала обработки уведомить субъекта персональных данных о начале такой обработки. Также должна быть возможность субъекта отозвать свои данные — причем в письменной форме, причем она тоже регламентирована.
                                                    А защищать все равно придется :)
                                                      0
                                                      А почему только уведомления, судя по 6й статье согласия также не требуется. А в договоре можно указать что для обеспечения настоящего договора, ПД могут быть переданы третьим лицам, о чем пользователь будет уведомлен по электронной почте.
                                                        0
                                                        В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:…

                                                        При передаче третьим лицам все сложнее.
                                                          0
                                                          Гм, но а как это соотносится с п.2 статьи номер 6? Зачем они сначала пишут что согласие не требуется в определенных случаях, а потом что «только с согласия».

                                                          Не знаю, я думаю что фраза «В случаях, предусмотренных настоящим Федеральным законом» подразумевает что в случаях, но за исключением исключений, простите за тавталогию.

                                                          Но что они там себе считают можно только у них спросить. Более того я еще раз посмотрел 6ю статью там есть еще одно исключение касающееся почтовых отправлений (6.2.1) Стало быть доставка товара клиенту посредством почты так же не требует никакого согласия, но можно ли рассматривать транспортную компанию «организацией почтовой связи».
                                                      0
                                                      Уведомление это меньшее из всех зол. Если ИС соответствует требованиям, то можно и уведомить, отрицательных последствий, кроме отправки самого уведомления, нет, а вот для дотошных клиентов это может быть лишним плюсиком в карму магазина. А если ИС не соответствует требованиям, то обрабатывать ПДн вы не имеете права, хоть с уведомлением, хоть без него.
                                                        0
                                                        Так, а четкого регламента на ИС нету, а в «Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» какая то вода про защищенные каналы связи, методы шифрования, и антивирусы.
                                                          0
                                                          В принципе «вода» достаточно конкретная, с другой стороны бОльшая часть требований для систем 2-4 класса у грамотного админа и так должна быть реализована. Основной вопрос в том, кто и как будет судить о достаточности или нет применяемых решений, например, достаточно ли прописанных в iptables правил или нет

                                                          С первым классом сложнее всё, причём, если подходить формально, то его, кажется, можно присвоить любому публичному сайту.
                                                      +1
                                                      В очередной раз хочу отметить полезность ваших статей, спасибо. Но не до конца понял как на свое будущее примерить.

                                                      Если я являюсь ИП, управляю сайтом, где есть данные пользователей (зачатки социальности: имя/ник, пол, возраст, город, указывание необязательное кроме 1го поля), в договоре указанно, что пользователь согласен делать данные публичными, то…

                                                      1. Я все равно со своим компьютером не попаду в 4ую самую простую категорию? Но я же сам не ввожу данные пользователей.
                                                      2. Я должен до открытия сайта в публичный доступ уведомление послать? Если да, то насколько заранее могу это сделать (готов хоть сейчас)?
                                                      3. Компьтер, помимо требований (не могли бы вы дать точную ссылку на требования? дело важное не хочется увидеть не соответсвующие действительности) должен, как я понимаю, содержать защитный софт, сертифицированный специально для защиты ПД?

                                                      Заранее спасибо
                                                        0
                                                        А будет «редизайн» статьи в связи с новой редакцией закона?

                                                        Only users with full accounts can post comments. Log in, please.