Как стать автором
Обновить

Комментарии 30

Здорово, что наши статьи вызывают такие бурные реакции. Но тем не менее закон мы читали и на практике его применяли.
Теперь, что касается согласия.
В процитированной Вами статье указано, что страна должна указываться если не обеспечивается адекватная защита ПДн в этой стране.
Список подобных стран меняется — поэтому, чтобы не было проблем проще указать страну передачи и получить на это согласие. Иначе Вам придется доказывать, что ДО передачи вы убедились в адекватности защиты — как будете доказывать?
Более того, с учетом новых требований по локализации ПДн такое указание также имеет смысл, чтобы подтвердить что и где Вы делаете с ПДн.
Читая закон когда-то так и не понял что на практике нужно считать ПД а что нет. Все размыто в части определения понятия персональных данных, как по мне.
Согласны, это одна из проблем закона. Точного перечня сведений, которые относятся к ПДн закон не содержит. Следующим постом мы сделаем конкретный обзор с примерами, что считать или не считать ПДн
x-------x
(в ред. Федерального «закона» от 25.07.2011 N 261-ФЗ)
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
x-------x

Взглянуть бы в глаза тому человеку, который придумывает такие определения понятий. Реально, за такой маразм нужно сразу увольнять с должности.

Если расшифровать этот бред, то получается несколько тезисов:
1)персональные данные — любая информация, относящаяся к [прямо] определенному физическому лицу (субъекту персональных данных);
2)персональные данные — любая информация, относящаяся к [косвенно] определенному физическому лицу (субъекту персональных данных);
3) персональные данные — любая информация, относящаяся к [прямо определяемому] физическому лицу (субъекту персональных данных);
4) персональные данные — любая информация, относящаяся к [косвенно определяемому] физическому лицу (субъекту персональных данных);

Т.е. физическое лицо может быть:
прямо/косвенно [определенным]
прямо/косвенно [определяемым]
Видимо этим пытаются ввести прошлое, будущее и настоящее время на момент [определения] физ.лица… либо вложить сакральный смысл в бессмысленный набор слов. Особенно интересно использование слова [косвенно] — под которым можно подразумевать всё что угодно.

Если же относится серьезно к понятию «персональные данные» данному в законе, а по другому нельзя, т.к. суд будет оперировать именно этим. То, со 100% уверенностью можно сказать, что по закону «персональные данные» — это любые данные связанные с человеком.
Например, если ко мне на дачу пришли гости, и оставили след от обуви на земле, значит я собираю о них информацию без их ведома и какого-либо разрешения, т.к. по следу можно косвенно определить человека, который этот след оставил, и узнать размер его ноги. Даже по комментарию, оставленному на форуме под ником «анонимка», можно [косвенно] определить человека, который этот комментарий написал. А значит любой анонимный форум/чат не требующий регистрации — все-равно собирает персональные данные без согласия пользователей и его владельца можно при желании «привлечь к ответственности» за незаконный сбор ПД.

Вывод:
Приведенное в законе определение «персональные данные» и его дальнейшее употребление по тексту закона — противоречит здравому смыслу. Надо создавать на roi.ru общественную инициативу и голосовать за отмену/изменение данного закона, а не пытаться объяснить смысл бессмыслицы ;)

Проблема в том что лишь немногие осознают ужас такой размытой формулировки… Программисты бюджетных организаций плачут кровавыми слезами от неясных требований и того что начальники тоже ничего не говорят конкретно — все прикрывают свою ж*пу. Опять в нашем законодательстве все дается на откуп независимых суда и судей :(…

Зачем интернет-магазину регистрироваться ОПД?
Запрашиваемые персональные данные необходимы для исполнения договора-оферты, которую принимает пользователь в момент создания заказа. Целью которого является продажа одним лицом другому лицу покупателю — товара. Все запрашиваемые данные необходимы для исполнения данного договора
ИМ будем оператором в любом случае так как обрабатывает ПДн (если он их собирает). Если мы говорим об уведомлении Роскомнадзора, то его уведомлять нужно не всегда.
Возможно некорректно выразился. Я имел ввиду, что регистрироваться в качестве оператора персональных данных в этом случае в Роскомнадзоре не требуется
Да, только Интернет-магазин не требует достоверности и не может проверить и обеспечить это самую достоверность. Особенно в случае электронных продуктов и услуг. А не подтвержденные данные не могут считаться персональными ИМХО. Если мое ИМХО верно, то большая часть данных в Интернет, не подтвержденная номером паспорта, ИНН, электронной подписью или номером мобильного (на худой конец) телефона — персональными данными не является. Тогда зачем было городить огород?
Закон не содержит процедуры подтверждения ПДн.
Например, если ИМ собирает ФИО/Телефон (что относится к ПДн), то никакого их подтверждения не нужно и ИМ будет их обрабатывать
Т.е. закон регулирует обработку мусора, который по факту (не доказуемо что это персональные данные) не является персональными данными? Я проанализировал телефоны в базе своего магазина — >70% это не настоящие номера. Так я собираю персональные данные или нет? Спросить не значит получить. Или это уже стало эквивалентом?
В качестве первого комментария от read-only пользователя со стажем :-) позволю себе задать наивный, быть может, вопрос: как с точки зрения данного закона выглядит работа CRM-системы, в которую вносятся данные о потенциальных контрагентах? Т.е. получить от них разрешение на использование их ПД возможности нет, т.к. с ними еще не было даже первичного контакта, а данные о них взяты из открытых источников. Данные при этом минимальные: ФИО, предприятие, должность, телефон, мыло. Правильно ли я понимаю, что ведение такой БД уже нарушает ЗПД?
И если это так, тогда второй вопрос: получается, что завести себе визитницу и складывать туда визитки — это тоже незаконно? :-)
Простите за некропостинг, но тоже интересуют данные вопросы, а ответов нет. Спасибо.
Поискать то можно. Но мне бы найти. :)
Ни про «предварительные контакты» ни про «визитницу» ничего не сказано.
Данные из открытых источников? А доказать? Сохранять информацию об открытости источников? А что считать открытыми? Социалки это открытые источники? Ну и т.п.
Визитки в столе все же отличаются от базы данных на серверах в Швейцарии, согласитесь?) Хранить визитки в шкафу на другом конце материка было бы не очень удобно. Поэтому и сравнивать их не имеет смысла.
Если клиент отзывает свои персональные данные, но при этом ему уже была оказана какая-то услуга. То у этой услуги тоже необходимо чистить все поля с ПД?
У услуги должен быть идентификатор на ПД в базе. База для ПД должна быть отдельная. Чистите данные в базе ПД, идентификатор у услуги остаётся.
И потом, если услуга оказана, договор закрыт, зачем вы храните ПД? Вы и без заявления должны их уничтожать.
Например заказ-наряд на ремонт автомобиля. История работ, рекомендации и т.д. Да и всегда может потребоваться копия того-же заказ-наряда, а в печатной форме должны выводиться и данные клиента.

Вот вы так просто говорите "ПД" — вы читали закон чтоб так вот легко определить что с точки зрения надзора будет ПД а что нет?
Вот если захотят вам скажут что "услуга которую заказал" и т.п. — это тоже ПД вы возразить не сможете потому что в законе помимо всего прочего есть замечательная формулировка "… и иные данные.." — решит суд что это ПД и все :(, может конкретно в примере с услугами утрирую но думаю ход мыслей понятно выразил.
Кроме того — говорится что должны быть "отдельные БАЗЫ" для ПД — и как вы будете на практике делать множество сложных join запросов в своих приложениях и связанную с этим логику приложения- всяко медленннее чем если бы строили базу с точки срения системы вашего приложения вцелом..
В последнее время многие фитнес-центры стали собирать фотографии и даже отпечатки пальцев своих клиентов для идентификации.
Чтобы по клубной карте только сам клиент мог придти.
Вот где раздолье-то :)
Правильно ведут бизнес
из комментариев мы поняли, что очень много вопросов относительно самих ПДн (что к ним относится).
На след неделе опубликуем отдельный пост с примерами и практикой на эту тему
"2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;"
This is bullshit! Всегда так сегментировал клиентов, поскольку никогда не знаешь, на что будет спрос в будущем и что предлагать. Покупатели разных товаров и услуг это одни и те же люди. Это ценнейшая информация, знать где пересекаются клиенты.
Пускай второй пункт исполняет какой-нибудь Иванушка-дурачёк. К тому же выявить нарушение закона по этому пункту невозможно пока не поступит жалоба от людей, которых спамят непонятными предложениями, на которые они не подписывались. А пока с клиентами построены правильные взаимоотношения — этого не наступит никогда.
Это вообще такой тупой пункт закона который говорит разработчику как проектировать базу данных не с точки зрения программирования и эффективного хранения данных а "с точки зрения размытого закона — сделайте размытую базу данных".

Вообще на этом законе очень заметно минимальное участие в его составлении фактических разработчиков баз данных и программистов.
да, это факт к сожалению, но вполне возможно закон менять с учетом реалий
Стоит еще почитать статью 22. В ней перечислены случаи, когда субъекта можно не уведомлять об обработке ПДн.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Пункт 2 — это как раз для интернет-магазинов.

А пункт 6 позволяет любому человеку в куртке с надписью «охрана» делать с вашими ПД все что угодно
не совсем все, что угодно
это должно соответствовать целям обработки
Простите, а разве в ст. 22 речь об уведомлении субъекта? Как я понял при чтении ФЗ, в ч. 2 ст.22 перечислены случаи, в которых не нужно оповещать Роскомнадзор о выполнении функции оператора.
"6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;"

Замечательный пункт. Я считаю, что КПП нужно поставить везде, по всей стране и на каждом перекрёстке! И собирать, собирать, собирать данные!
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.