Комментарии 14
Весьма полезные статья.
Очень понравились разъяснения с провайдером.
Сделайте, пожалуйста, статью «Что дает обычному человеку Федеральный Закон №152 О персональных данных?» кликабельной.
Очень понравились разъяснения с провайдером.
Сделайте, пожалуйста, статью «Что дает обычному человеку Федеральный Закон №152 О персональных данных?» кликабельной.
в ст. 6 указаны случаи, когда согласие субъекта вовсе не требуется (их аж 11 штук)
Кстати, весьма смелое утверждение. Во-первых, не 11, а 10. Но это не так важно. А во-вторых, в прежней редакции так и было, теперь же… Вот практический вопрос. Для целей заключения / исполнения договора оператор должен передавать третьему лицу некие персональные данные, которые тот будет каким-то образом обрабатывать. Требуется ли для этого согласия субъекта персональных данных?
Кстати, весьма смелое утверждение. Во-первых, не 11, а 10. Но это не так важно. А во-вторых, в прежней редакции так и было, теперь же… Вот практический вопрос. Для целей заключения / исполнения договора оператор должен передавать третьему лицу некие персональные данные, которые тот будет каким-то образом обрабатывать. Требуется ли для этого согласия субъекта персональных данных?
Насчет 11 — да, согласен, посчитал еще п.1 (согласие). И тогда уж не случаев, а пунктов. Сейчас поправлю.
Насчет передачи — мое мнение, понятие «передача» (а точнее — «предоставление») входит в понятие «обработки», которая разрешена без согласия по договору (пп.5 п.1 ст.6). Я бы смотрел на договор и если из него явно не следует, что для его выполнения необходима передача, то можно было бы взять дополнительное согласие или как-то оговорить в инструкции момент оповещения субъекта, что его данные будут переданы (хотя согласие, конечно, надежнее). И да, надо полагать речь не идет о трансграничной передаче :)
Требование уведомлять субъектов о передаче его ПДн в старой редакции закона я искал очень тщательно, но безрезультатно, в новой также не наблюдаю (исключение, ПДн работников — там уведомление идет по ст. 88 ТК РФ). Кроме того, пп.2 п.3 ст.18 дает основание не уведомлять субъекта о факте получения его ПДн третьей стороной, если обработка будет осуществляться во исполнение договора.
Насчет передачи — мое мнение, понятие «передача» (а точнее — «предоставление») входит в понятие «обработки», которая разрешена без согласия по договору (пп.5 п.1 ст.6). Я бы смотрел на договор и если из него явно не следует, что для его выполнения необходима передача, то можно было бы взять дополнительное согласие или как-то оговорить в инструкции момент оповещения субъекта, что его данные будут переданы (хотя согласие, конечно, надежнее). И да, надо полагать речь не идет о трансграничной передаче :)
Требование уведомлять субъектов о передаче его ПДн в старой редакции закона я искал очень тщательно, но безрезультатно, в новой также не наблюдаю (исключение, ПДн работников — там уведомление идет по ст. 88 ТК РФ). Кроме того, пп.2 п.3 ст.18 дает основание не уведомлять субъекта о факте получения его ПДн третьей стороной, если обработка будет осуществляться во исполнение договора.
Простите, ответил комментарием первого уровня: habrahabr.ru/blogs/infosecurity/127180/#comment_4203409
> которая разрешена без согласия по договору
а как же ч. 3 ст. 6? Тут дело не в надёжности, а в законности :)
а как же ч. 3 ст. 6? Тут дело не в надёжности, а в законности :)
Признаться, меня тоже смущает этот пункт :) Но там же сказано«если иное не предусмотрено федеральным законом», а законом как раз таки предусмотрена — обработка (действие: «предоставление») ПДн субъекта для исполнения договора. Тут все зависит от мнения Роскомнадзора при проверке (к сожалению, не помню или не видел таковые, но можно отправить запрос с просьбой пояснить спорные моменты). Как говорится, «если организация готова принять риски и оспаривать свою точку зрения»…
И еще мысль — в пункте речь идет про «поручить обработку», а не «предоставить ПДн». То есть скорее тут случай передачи на аутсорсинг, чем передача в рамках тех. процесса. В случае с аутсорсингом я бы брал согласие.
И еще мысль — в пункте речь идет про «поручить обработку», а не «предоставить ПДн». То есть скорее тут случай передачи на аутсорсинг, чем передача в рамках тех. процесса. В случае с аутсорсингом я бы брал согласие.
> там же сказано«если иное не предусмотрено федеральным законом», а законом как раз таки предусмотрена — обработка (действие: «предоставление») ПДн субъекта для исполнения договора
Я ведь не случайно сослался на старую редакцию закона: там было общее правило (ч. 1 ст. 6): только с согласия, кроме. И перечень исключений содержался в ч. 2 ст. 6. Согласитесь, что в п. 5 ч. 1 ст. 6 новой редакции нет слов «без согласия субъекта персональных данных». Следовательно, согласие нужно.
Вторая мысль убедительна, признаю.
Но, с другой стороны, и в п. 5 ч. 1 ст. 6 говорится об обработке, а не о предоставлении.
Возможна ли обработка ПДн без передачи третьим лицам для исполнения договора? Безусловно. И в этих случаях согласие субъекта не требуется. Если же для исполнения договора ПДн передаются третьему лицу, то — мало ли, что это за лицо такое… Необходимо согласие субъекта: либо полученное оператором (тогда должно быть ещё поручение), либо самим таким третьим лицом (формально оно, конечно, тоже оператор). Такой подход Вам не кажется более убедительным?
Я ведь не случайно сослался на старую редакцию закона: там было общее правило (ч. 1 ст. 6): только с согласия, кроме. И перечень исключений содержался в ч. 2 ст. 6. Согласитесь, что в п. 5 ч. 1 ст. 6 новой редакции нет слов «без согласия субъекта персональных данных». Следовательно, согласие нужно.
Вторая мысль убедительна, признаю.
Но, с другой стороны, и в п. 5 ч. 1 ст. 6 говорится об обработке, а не о предоставлении.
Возможна ли обработка ПДн без передачи третьим лицам для исполнения договора? Безусловно. И в этих случаях согласие субъекта не требуется. Если же для исполнения договора ПДн передаются третьему лицу, то — мало ли, что это за лицо такое… Необходимо согласие субъекта: либо полученное оператором (тогда должно быть ещё поручение), либо самим таким третьим лицом (формально оно, конечно, тоже оператор). Такой подход Вам не кажется более убедительным?
Прошу прощения, ненароком ответил тем же — вот мой ответ: habrahabr.ru/blogs/infosecurity/127180/#comment_4204538
Я могу согласиться только с тем, что слов «без согласия субъекта персональных данных» :) Если применять предлагаемое Вами прочтение ко всем 11 пунктам, то для них всех надо согласие, а, следовательно, какой смысл было их всех перечислять? Ч.1 ст.6 унаследовала большую часть пунктов ч.2 ст.6 предыдущей редакции ФЗ, просто теперь согласие как бы уравняли в правах со всеми остальными основаниями обработки.
Касательно обработки. Я не юрист, но, думаю, что если в договоре прямо прописано, что Исполнитель обязуется передавать ПДн пользователя куда-либо с какой-либо целью, то без такой передачи договор будет не выполнен. Насчет случая, когда бизнес-процесс Исполнителя подразумевает на каком-то этапе привлечение третьей стороны, которая получит доступ к ПДн — не рискну писать что-то конкретное… Учитывая статью 9 (обязанность доказывания наличия согласия или иных оснований), я, на месте Оператора, предпочел бы получить все же письменное согласие на передачу.
Думаю, во многом тут зависит от решения Оператора. Если мне необходимо собрать согласие со 100 тыс. человек, то я предпочту уцепиться за допустимую трактовку термина «обработка» и «исполнение условий договора», по крайней мере до получения предписания или появления какой-либо информации о решении в аналогичном случае. Если же все субъектов не так много, то может проще будет согласия собрать?
Касательно обработки. Я не юрист, но, думаю, что если в договоре прямо прописано, что Исполнитель обязуется передавать ПДн пользователя куда-либо с какой-либо целью, то без такой передачи договор будет не выполнен. Насчет случая, когда бизнес-процесс Исполнителя подразумевает на каком-то этапе привлечение третьей стороны, которая получит доступ к ПДн — не рискну писать что-то конкретное… Учитывая статью 9 (обязанность доказывания наличия согласия или иных оснований), я, на месте Оператора, предпочел бы получить все же письменное согласие на передачу.
Думаю, во многом тут зависит от решения Оператора. Если мне необходимо собрать согласие со 100 тыс. человек, то я предпочту уцепиться за допустимую трактовку термина «обработка» и «исполнение условий договора», по крайней мере до получения предписания или появления какой-либо информации о решении в аналогичном случае. Если же все субъектов не так много, то может проще будет согласия собрать?
> Если применять предлагаемое Вами прочтение ко всем 11 пунктам, то для них всех надо согласие
Не совсем так.
В юриспруденции есть один важный принцип (позвольте, коли Вы не юрист): если в отношении одного и того же предмета действует «общее» и «специальное» положение, то применяется второе. Например, если в одном законе написано, что «все женщины должны быть красивыми», а в другом — что «женщины старше 50 лет и женщины-военнослужащие могут не быть красивыми», то женщины старше 50 и военнослужащие могут и не быть красивыми, а все остальные — обязаны. (Сложности возникают, когда в законе сказано не «женщины-военнослужащие», а «военнослужащие». Потому что тогда непонятна, какое положение специальное по отношению к какому.)
Так и здесь. Когда речь идёт о просто исполнении договора, мы можем применять п. 5 ч. 2 ст. 6 — это будет законным основанием для освобождения оператора от обязанности получать отдельное согласие на обработку. Когда же для исполнения договора (частный случай п. 5. ч. 2 ст. 6) необходима передача персональных данных (частный случай обработки персональных данных), если при этом между оператором и третьим лицом заключён договор (тоже специальный случай по отношению к общему), то оператор может осуществлять такую передачу только с согласия субъекта (которое, как Вы верно заметили, может быть выражено в договоре между оператором и субъектом) и по поручению оператора (которое, кстати, имхо, тоже может быть выражено в договоре между оператором и третьим лицом).
Но фишка в том, что если этого согласия (от субъекта) в договоре нет, то — передавать персональные данные нельзя.
Не совсем так.
В юриспруденции есть один важный принцип (позвольте, коли Вы не юрист): если в отношении одного и того же предмета действует «общее» и «специальное» положение, то применяется второе. Например, если в одном законе написано, что «все женщины должны быть красивыми», а в другом — что «женщины старше 50 лет и женщины-военнослужащие могут не быть красивыми», то женщины старше 50 и военнослужащие могут и не быть красивыми, а все остальные — обязаны. (Сложности возникают, когда в законе сказано не «женщины-военнослужащие», а «военнослужащие». Потому что тогда непонятна, какое положение специальное по отношению к какому.)
Так и здесь. Когда речь идёт о просто исполнении договора, мы можем применять п. 5 ч. 2 ст. 6 — это будет законным основанием для освобождения оператора от обязанности получать отдельное согласие на обработку. Когда же для исполнения договора (частный случай п. 5. ч. 2 ст. 6) необходима передача персональных данных (частный случай обработки персональных данных), если при этом между оператором и третьим лицом заключён договор (тоже специальный случай по отношению к общему), то оператор может осуществлять такую передачу только с согласия субъекта (которое, как Вы верно заметили, может быть выражено в договоре между оператором и субъектом) и по поручению оператора (которое, кстати, имхо, тоже может быть выражено в договоре между оператором и третьим лицом).
Но фишка в том, что если этого согласия (от субъекта) в договоре нет, то — передавать персональные данные нельзя.
Про принцип не знал, спасибо :)
И тем не менее. В ст.6 говорится об обработке, в п.5 ч.1 также говорится об обработке. Определение обработки дано в самом законе — туда входят любые действия с ПДн, в т.ч. «предоставление». Применяя простую человеческую логику (не знаю, применима ли она в юриспруденции) — отказывая на приведенном Вами основании в праве предоставлять, можно также и запретить использовать или хранить.
По сути, договор представляет собой этакое согласие. В нем есть реквизиты оператора, данные и подпись субъекта, а также описание что, как и с использованием каких ПДн субъекта будет делать оператор. Если субъекту не понравится, что его ПДн будут переданы в другую организацию — договор в таком виде просто не будет подписан.
И тем не менее. В ст.6 говорится об обработке, в п.5 ч.1 также говорится об обработке. Определение обработки дано в самом законе — туда входят любые действия с ПДн, в т.ч. «предоставление». Применяя простую человеческую логику (не знаю, применима ли она в юриспруденции) — отказывая на приведенном Вами основании в праве предоставлять, можно также и запретить использовать или хранить.
По сути, договор представляет собой этакое согласие. В нем есть реквизиты оператора, данные и подпись субъекта, а также описание что, как и с использованием каких ПДн субъекта будет делать оператор. Если субъекту не понравится, что его ПДн будут переданы в другую организацию — договор в таком виде просто не будет подписан.
В общем-то, как я понимаю, наша дискуссия закончена: к чему-то общему мы в итоге пришли. Но в целом — лично я остался на своей позиции; не знаю, как Вы :)
«Специальность» ч. 3 ст. 6 получается не за счёт понятия обработки, а за счёт того, в каких случаях она осуществляется там и там.
Случай 1: обработка для целей исполнения договора, с которым хоть как-то связан субъект.
Случай 2: обработка третьим лицом на основании заключённого с оператором договора.
Закона сейчас под рукой, к сожалению, нет. Поэтому не дословен в его цитировании :)
Вы не находите странным заключение договора (оператора с третьим лицом), по которому должны обрабатываться субъекты персональных данных, от которых единственное что требуется — это согласие на их обработку? С трудом представляю, если честно. Полагаю, что случай 2 — всегда разновидность случая 1: то есть женщина-военнослужащий по отношению к женщине. Со всеми вытекающими последствиями.
> отказывая на приведенном Вами основании в праве предоставлять, можно также и запретить использовать или хранить.
Ну, собственно, да, а что не так? Логика простая: когда я передаю конкретному юрлицу-оператору персональные данные, я могу выяснить, насколько хорошо будет построена их защита. И поэтому могу либо доверять им, либо не доверять. В первом случае я, как субъект, заключаю с ними договор, в котором таки даю согласие на обработку ими моих данных. А если они передают кому-то, то у меня информации о возможной защищённости нету. Может, я с этим третьим лицом уже сталкивался и имел не самый приятный опыт! Поэтому решение о том, уводить данные налево или нет, могу принять только я. А без моего согласия ни сбор, ни использование, ни хранение ПДн третьим лицом невозможны.
> По сути, договор представляет собой этакое согласие
Вот это и есть то общее, к чему мы подошли и с чем оба согласны. (Замечу, правда, со своей стороны: это зависит от договора; сам факт его существования не равнозначен такому согласию. Но это в скобках.)
«Специальность» ч. 3 ст. 6 получается не за счёт понятия обработки, а за счёт того, в каких случаях она осуществляется там и там.
Случай 1: обработка для целей исполнения договора, с которым хоть как-то связан субъект.
Случай 2: обработка третьим лицом на основании заключённого с оператором договора.
Закона сейчас под рукой, к сожалению, нет. Поэтому не дословен в его цитировании :)
Вы не находите странным заключение договора (оператора с третьим лицом), по которому должны обрабатываться субъекты персональных данных, от которых единственное что требуется — это согласие на их обработку? С трудом представляю, если честно. Полагаю, что случай 2 — всегда разновидность случая 1: то есть женщина-военнослужащий по отношению к женщине. Со всеми вытекающими последствиями.
> отказывая на приведенном Вами основании в праве предоставлять, можно также и запретить использовать или хранить.
Ну, собственно, да, а что не так? Логика простая: когда я передаю конкретному юрлицу-оператору персональные данные, я могу выяснить, насколько хорошо будет построена их защита. И поэтому могу либо доверять им, либо не доверять. В первом случае я, как субъект, заключаю с ними договор, в котором таки даю согласие на обработку ими моих данных. А если они передают кому-то, то у меня информации о возможной защищённости нету. Может, я с этим третьим лицом уже сталкивался и имел не самый приятный опыт! Поэтому решение о том, уводить данные налево или нет, могу принять только я. А без моего согласия ни сбор, ни использование, ни хранение ПДн третьим лицом невозможны.
> По сути, договор представляет собой этакое согласие
Вот это и есть то общее, к чему мы подошли и с чем оба согласны. (Замечу, правда, со своей стороны: это зависит от договора; сам факт его существования не равнозначен такому согласию. Но это в скобках.)
А если мы берем реальную жизнь, то государственные конторы честно используют ссылку на 210-ФЗ, дабы не собирать согласия на любое свое действие.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Статья «ПДн для обычного человека» — разбор полетов