Комментарии 50
Вопрос немного в другом. Почему для одних компаний и случаев закон читается в одном понимании, а в отношении других — в другом?
Сейчас анкету заполнит несовершенолетка с целью проституции, с ней свяжется взрослый дядька и переспит. Это — прямое нарушение УК. Variti за это накажут, ведь в деле фигурировал их IP и «весь входящий трафик» проходил через них?
А почему тогда наказали Власова?
Это не я придумал, это цитата ФЗ.
По такому определению номер телефона — это персональные данные.
Это не я придумал, это цитата ФЗ.В законе про номер телефона ничего не сказано. То что номер телефона подпадает под определение ПД это Ваш вывод, а не ФЗ. В юридической среде нет однозначного мнения о том, является ли телефонный номер сам по себе ПД или нет. Даже если забыть о чисто техническом нюансе — что не каждый телефон оформлен на конкретные фио.
По такому определению номер телефона — это персональные данные.
И таких ещё много, ознакомьтесь.
Повторюсь, я не юрист, но я умею читать и пользоваться доступной информацией.
Ну вообще-то это не мои выводы.Здесь в топике — были Ваши, т.к. именно Вы от себя написали «По такому определению номер телефона — это персональные данные.»© Поймите правильно, мы не докапываемся, просто тематика требует очень формального и строгого подхода.
И таких ещё много, ознакомьтесь.Конечно много, именно поэтому мы в предыдущем комментарии написали "в юридической среде нет однозначного мнения о том, является ли телефонный номер сам по себе ПД или нет"© Легко гуглятся противоположные мнения, а так же промежуточные (что в одном случае является, в другом нет).
Однозначный ответ может дать только решение ВС, к сожалению, мы о существовании такого не знаем. Если у Вас есть ссылка — поделитесь, это закроет вопрос.
Согласно нему, признаются персональными даннымиСогласно нему — нет, не признаются.
Вот ссылка на решение sudact.ru/regular/doc/WiziwJNrvRJM
Там нет слов как Вы говорите
признаются персональными данными ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи.
Давайте не изменять цитаты, ок?
На самом деле в решении написано
В данной заявке истец указал свои персональные данные, включая фамилию, имя и отчество, дату и место рождения, адреса мест регистрации и фактического проживания, номера рабочего и мобильного телефонов и номер паспорта, а также дату его выдачи и наименования органа, выдавшего паспорт, сведения о работе, сведения о супруге и сыне и датах их рождения.
Если будет проще понять по аналогии, возьмите две фразы
а) Любой автомобиль признается средством к существованию.
и
б) Истец указал средства свои средства к существованию, включая автомобиль.
Очевидно, что из второго не следует первое никак вообще.
И если уж на то пошло, то несложно нагуглить, что ИП адрес тоже по мнению некоторых юристов является персональными данными. В общественных местах идентифицируетесь по телефону, дома договор оформлен на конкретные фио. С такой логикой получается что ИП тоже хранить нельзя и всех кто их хранит можно сажать, так?
Более того (дописка после редактирования)
Вы там выше даете ссылку на пост habr.com/en/post/433714 (можно звонить и банить мамбу), но в этой же ссылке (цитируем)
при изучении официального сайта РКН можно найти комментарии, где говорится, что ФИО, номер телефона или email могут не являться персональными данными
Номер телефона с точки зрения РКН не является ПД:
Повторюсь, я не юрист, я пользуюсь доступной информацией.То что Вы не юрист, это не значит что доступную информацию допустимо искажать и не перепроверять. Особенно если рассуждаете на юридические темы.
Указанный прецедент я нашёл здесь.Вы привели цитату
признаются персональными данными ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи.
Но по указанной ссылке такой цитаты нет.
Самое близкое что там есть, это
анкетные данные, указанные в заявлении на получение потребительского кредита (ФИО, дата и место рождения, адрес регистрации и фактического проживания, рабочий и мобильный телефон, паспортные данные, сведения о работе и членах семьи) [13]
А теперь вопрос — куда делась при цитировании Вами та важная информация, что это относится к "анкетным данным указанным в заявление на получение потребительского кредита"?
Хорошо, Вы не пошли перепроверять в источнике (мы его привели Вам выше), который опять же показывает неточность даже на том сайте, но зачем был при цитировании с того сайта удалять такую важную часть?
p.s.: Ссылка на решение суда там выглядит как «file:///C:/Users/Vasileva/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/A7HIEYG2/Жердина Двенадцатова_Защита персональных данных_первые итоги и перспективы судебных дел_11.2017.docx#_ftn13», как думаете, «Васильева» в данном случае это ПД или нет?:)
Чего Вы так завелись?
ОК, забудьте про номер телефона: я вот прямо сейчас создам анкету на Мамбе с указанием своего города, настоящего имени и приложу настоящие фотографии. Они — персональная информация? Они — должны защищаться законом?
Ну вот и закроем тему.
Впрочем, на вопрос ответчика о том, какие именно сведения о незарегистрированных пользователях туда входят, представитель ведомства сначала не нашел ответа, а после настойчивого повторения вопроса все же перечислил, что сайт сохраняет IP-адреса устройств, их модели и файлы cookies. «Но эти данные не являются персональными!» — эмоционально отреагировал юрист компании LinkedIn. «Это ваше мнение»,— кратко изрек представитель госоргана в ответ.
… Выслушав все доводы сторон, Мосгорсуд поддержал сторону Роскомнадзора, полностью отклонив апелляционную жалобу представителей LinkedIn
rkn.gov.ru/press/publications/news41531.htm
Александр Жаров (глава Роскомнадзора) сообщил про персональные данные следующее: “Это набор информации, позволяющий безошибочно идентифицировать вас как личность. Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных.”
lenta.ru/articles/2015/09/01/personaldata
26.rkn.gov.ru/p8926/p10713
номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
Роскомнадзор не нашёл нарушений прав пользователей в возможной утечке данных клиентов «Акадо»
vc.ru/legal/56116-roskomnadzor-ne-nashel-narusheniy-prav-polzovateley-v-vozmozhnoy-utechke-dannyh-klientov-akado
Ну и если вы посмотрите на практику применения закона о ПД, то легко увидите, что критерий Жарова о «безошибочном определении» там не применяется весьма часто.
В законе про номер телефона ничего не сказано.
Но в законе сказано: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Номер телефона = «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Я не юрист. Но что не так-то?)
Давайте я вам для начала процитирую решение суда по делу о сайте "умного голосования" (а именно суд занимается толкованием смысла закона в случае противоречий):
Представитель истца отмечает и то, что ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных, в Политике конфиденциальности интернет-ресурса https://2019.vote/ об использовании сервисов при обработке персональных данных, сведений не содержится, что также является нарушением ФЗ № 152.
Мне кажется, тут двойного толкования выделенной части текста быть не может. Можно придраться разве что к "представитель истца утверждает", но зачем тогда это включать в раздел "суд установил"?
Там вообще много интересных мест, например:
Вместе с тем, на интернет – ресурсе https://2019.vote/ при проставлении знака «V» о согласии на обработку персональных данных, субъекту персональных данных не предоставляется информация относительно оператора, обрабатывающего персональные данные субъектов персональных данных, сроков хранения персональных данных, перечне обрабатываемых персональных данных, а также целях обработки персональных данных.
Я думаю, что каждый может вспомнить немало случаев, когда такие сведения не предоставляются.
По моему личному, не-юридическому мнению, закон написан довольно бредово и во многих местах не позволяет однозначного толкования. То же определение "персональных данных":
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Допустим, у нас есть информация: "номер телефона +71234567". Это ПД или нет? С одной стороны, это "любая информация", которая относится к косвенно определяемому лицу — абоненту ОПСОС. Трудно это отрицать. С другой стороны, тут номер телефона указывает на лицо, а в законе, думаю, имелось в виду, что отдельно должна быть информация, а отдельно указатель для привязки этой информации к лицу. Само по себе упоминание, что есть такой номер телефона, трудно назвать ПД с житейской точки зрения.
Возьмем тогда другую информацию, "пользователь с адреса 1.2.3.4 при регистрации указал номер телефона +71234567". Номер телефона здесь определяет лицо, а 1.2.3.4 можно назвать "любой информацией". Или наоборот. Подходит под определение?
Или возьмем информацию, "пользователь с адресом 1.2.3.4 в 12:00 посетил страницу сайта porn.example.com". Что тут?
Или такую, "пользователь с кукой xyzzzz12345 посетил в 12:00 сайт porn.example.com, а до этого в 11:55 зашел на news.example.com".
Обратите также внимание на фразу "прямо или косвенно определенному или определяемому". Как это трактовать?
1) если вы сотрудник ФСБ, то для вас телефон или IP-адрес вполне может позволить определить лицо, которое им пользовалось.
2) если вы обычный человек, то вам в принципе и номер паспорта ничего не скажет и для вас он не будет являться ПД.
3) наконец это можно понимать как "определяемое оператором ПД лицо". Тогда тоже большинство данных будут не персональными. У меня есть ваш номер паспорта, дата выдачи, IP адрес и телефон, но я про вас ничего не знаю и не могу связать это с конкретным лицом.
Я бы это понимал так: "определяемое" — значит определяемое любыми доступными любому человеку средствами. То есть, информация в связке с номером телефона или IP адресом является ПД.
Можно оценить по этому закону уровень наших уважаемых законодателей. GDPR содержит определение похожей степени размытости, но с пояснением (это пояснение не имеет силы на территории РФ):
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
Наконец, есть еще точка зрения РКН (она тоже не имеет юридической силы):
К общим персональным данным относят фамилию, имя, отчество, дату рождения, место регистрации, паспортные данные, сведения об образовании, иные данные, то есть любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В законе много и других размытых мест, оцените часть 1 ст. 18.1:
Оператор обязан принимать меры,… для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер,… К таким мерам могут, в частности, относиться:
Зачем писать, что может в частности, относиться к "таким мерам"? Непонятно.
Наконец, я нашел еще интересную штуку — постановление Правительства 1119 с заголовком "ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ". Эта штука по размытости оставит далеко позади размытие по Гауссу. К сожалению, размытость ст. 19 закона 152-ФЗ не позволяет мне понять, относится ли это постановление к госорганам или ко всем организациям вообще? Ощущение, что ко всем. А там есть такие интересные пункты:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
Если вы обрабатываете ПД и используете средства защиты (антивирус? программу шифрования диска? модуль шифрования данных в БД?), получается, вы должны соблюдать требования ФСБ.
5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
Очевидно, что в той же сети Вконтакте есть и политические, и религиозные взгляды в профиле. А значит, в ней "специальные ПД" и повышенные требования к оператору ПД.
15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Определения, что считать "журналом сообщений", нету. Это видимо логи имеются в виду?
Данное определение практически идентично определению, установленному пп. «а» ст. 2 Конвенции 1981 года, согласно которому персональные данные означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»). В то же время с точки зрения принципов права, действующих в российской правовой системе, можно усомниться в формальной определенности понятия «персональные данные».
При буквальном толковании (применяемом в правоприменительной практике «по умолчанию») рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте. В частности, в нем нет указания на связь между информацией и прямой или косвенной определенностью или «определяемостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких — нет.
Вместе с тем рабочей группой были высказаны сомнения относительно возможности сформулировать адекватное определение, имеющее менее общий характер.
В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность.
При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений.
По результатам анализа российской судебной практики за 2014 год можно выделить следующие характерные примеры персональных данных, нашедшие прямое отражение в текстах правоприменительных актов:
- паспортные данные (см. например, апелляционное определение Московского городского суда от 22.05.2014 № 33-14709);
- данные технического паспорта на дом (см., например, определение Приморского краевого суда от 28.04.2014 № 33-3718);
- адреса места жительства индивидуальных предпринимателей, указанные в плане проведения проверок юридических лиц и индивидуальных предпринимателей, размещенном в общем доступе на официальном сайте администрации (см., например, апелляционное определение Волгоградского областного суда от 24.04.2014 № 33-4427/2014);
- сведения о пересечении государственной границы (см., например, апелляционное определение Московского городского суда от 10.04.2014 № 33-11688);
- адрес регистрации должностного лица, сведения о его доходах и собственности, распространяемые в непредусмотренных для официальной процедуры форме (см., например, определение Санкт-Петербургского городского суда от 31.03.2014 № 33-4198/14);
- данные работника, указанные в трудовом договоре (см., например, апелляционное определение Верховного суда Республики Саха (Якутия) от 23.10.2013 № 33-4172/13).
Членами рабочей группы были представлены также отдельные примеры, основанные на опыте работы с персональными данными. В частности, к числу идентификаторов (данных, позволяющих однозначно
идентифицировать физическое лицо), которые сами по себе однозначно определяют физическое лицо, могут быть отнесены: номер и серия паспорта; страховой номер индивидуального лицевого счета; идентификационный номер налогоплательщика; биометрические данные; банковский счет, номер банковской карты.
Приоритет при этом следует отдавать идентификаторам, присваиваемым государством, однако остается открытым вопрос о том, что может являться персональными данными — сам идентификатор,
идентификатор и информация о том, что это именно идентификатор, а не набор цифр, имеющий какое-либо иное значение. Кроме этого, следующие данные также можно рассматривать как персональные, несмотря на то, что в их отношении остается некоторый аспект вероятного совпадения:
- фамилия, имя, отчество, дата рождения, место прописки;
- фамилия, имя, отчество, дата рождения, должность;
- фамилия, имя, отчество (возможно, фамилия и инициалы) плюс любая информация, выделяющая субъекта из уже ограниченного круга лиц.
Например, житель дома А.А. Иванов имеет такие-то долги. Скорее всего, подобное объявление в подъезде однозначно идентифицирует субъекта, по меньшей мере, для жителей этого дома. Пока, однако, неясно, как точно дать определение ограниченного круга лиц, потому что «жители Москвы» — тоже ограниченный круг лиц, а житель Москвы А.А. Иванов — это уже не конкретный субъект (вместе с тем пример с «жителем дома А.А. Ивановым» подтверждается судебной практикой).
Членами рабочей группы также были представлены отдельные примеры, основанные на опыте работы с персональными данными. Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.
ПП-1119 относится ко всем.
Требованиям ФСБ должны соответствовать только криптографические средства, все остальные средства защиты (антивирусы, межсетевые экраны, IDS и тд) должны соответствовать требованиям ФСТЭК.
Причина такого фигурного толкования очень проста. Закон о ПД причисляет к «персональным» кучу данных, «выходящих за рамки разумно ожидаемых». Поэтому «толкователям» из РКН нужно сократить сферу регулирования до той, которую они могут проглотить. Особенно прикольно в этом перечислении «данных, которые не могут рассматриваться» выглядит последовательность «фамилия, имя, отчество», которая в тексте закона прямо причислена к «персданным». Толкователи из РКН просто забыли закон почитать прежде чем давать советы космического масштаба.
И где несертифицированные средства шифрования? Трафик идёт по HTTPS. Variti походу анализирует уже расшифрованный трафик какими-то своими алгоритмами, уже не имеющими отношения к шифрованию. Цель алгоритмов — выявить ботов по каким-то признакам. По сути про человека известно только то, что он человек. Остальное нужно доказывать и проверять.
РКН вроде бы работает так: проверяет сайты 1) по своему желанию 2) по запросу. То есть если где-то какой-то сайт что-то нарушает и никто не возмущается, то проблем нет.
P.S. Такое ощущение, что вы хотите ввода белых список сайтов и белых списков алгоритмов, которые можно использовать. Тогда и правда будет тотальный контроль. Надеюсь, этого не будет.
1. Использование собственных несертифицированных алгоритмов.
2. Полный доступ к персональным данным.
Вы сейчас нападаете не на того — я не защищаю ФЗ, я не защищаю Роскомнадзор, я пытаюсь показать, что существующая модель — тупо карательная, не имеющая ни смысла ни логики.
Такие законы можно применить «под заказ», а если подходить к ним в том смысле, в каком они звучат — ну да, это блокировать большую часть интернета.
Ещё раз: почему нормы федеральных законов и законов вообще выполняются избирательно?
Про алгоритмы всё ещё не ясно. Они используют своё шифрование или что? Из статьи не ясно, из вашего коммента — тоже. Если да, то в каком месте и зачем анти-DDOS-службе нужен свой алгоритм шифрования?
P.S. Я не нападаю. Про карательную модель согласен, но она такой и задумывалась вроде бы.
Карательная модель, которая может быть истолкована в удобном виде («казнить нельзя помиловать») — есть тоталитаризм и беззаконие. Ну это так, шутки ради.
1. Для защиты ПДн (не пишите «ПД» — в контексте безопасности это совсем другая тема) применять надо отечественные алгоритмы шифрования, реализованные в программных или программно-аппаратных комплексах с соответствующим сертификатом под соответствующий класс криптозащиты по линии ФСБ РФ. Как думаете, используют их авторы mamba.ru? А швейцарцы? В этом суть дилеммы…
2. Пример с кафе, imho, неудачный. Вы сознательно толкаете владельца WiFi-точки к нарушению закона, фабрикуя ситуацию. Да и нарушением закона такую ситуацию назвать сложно. Потому что владелец WiFi выступает все же не как Оператор ИСПДн, а как посредник и, в некотором роде, оператор связи. Другие законы, другие статьи…
3. Пример про клочок бумаги тоже неуместен. Если вы передали сами, вы же в первую голову и несете за это ответственность. +, как было сказано выше, номер телефона (да, собственно, и данные паспорта) в «чистом виде» ПДн не являются…
ЗЫ Вот меткому комментарию тов. BoogieMan75 про возраст особ женского пола аплодирую стоя. Поди отдели еще плевла от зерен, сиречь, ПДн от мусора и фантазий на любом сайте знакомств. Прецедент нужен, так, чтобы реальный ущерб. А до тех пор — это все бессмысленное сотрясение воздуха, что по логике, что по закону, imho…
Как это факту проверяется расположение хостинга?
В истории с сайтом умного голосования проверяли по стране в whois:
Однако, по данным источников «whois» установлено, что услуги по предоставлению вычислительной мощности для размещения баз данных, содержащих персональные данные граждан Российской Федерации, посредством которых обеспечивается запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, постоянно подключенных к сети «Интернет»… осуществляется посредством серверных мощностей компании Cloudflare, Inc., расположенной на территории Соединенных Штатов Америки
Если так, то чем ситуация «мои данные находятся и в России, и зарубежом» для пользователя лучше, чем «мои данные находятся только зарубежом»? По-моему, второй вариант, наоборот, лучше. И следом встаёт вопрос: этот закон точно защищает персональные данные граждан (хоть убейте, не вижу как), или он принят в интересах силовых структур?
согласно ст.18 п.5 Федерального закона, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Понятно, что в ряде случаев, но всё же.
В настоящий момент mamba.ru имеет IP 185.203.72.22. Этот адрес принадлежит компании Variti International Gmbh, Denkmalstrasse 2, 6006, Luzern, Switzerland
Позвольте, что? То есть данные сайта знакомств хранятся в Швейцарии?
Исходя из чего вы сделали выводы, что данные хранятся в Швейцарии? Это не более, чем IP-адрес вэб-сервера, который ничего не говорит о расположении хранилища данных.
кто в курсе, отчего такое? решил я попробовать не на вакансии откликаться (ибо толку ноль), а через друзей, чтобы они меня засаджестили в хр отдел. но им отказали, написали вот такое:
rsdn.org/forum/abroad/7382732.1
Due to Russian Data Privacy regulations, employees are not able to refer Russian residents. However, an employee in Russia may refer non-Russian residents that meet the above eligibility requirements
подозреваю, что все из-за санкций. но может и нет…
В это же время проект одного персонажа блокируют за то, что использовали гугл-аналитику на сайте.
А что до Мамбы — то кому она нужна вообще? На территории РФ по российским законам надо блочить сервисы Google, Microsoft, Adobe и т.д. и т.п.
О хранении персональных данных, Роскомнадзоре и сайтах знакомств