Ну, конечно нет. Минфин и не уполномочен особо запрещать-то. Просто такая трактовка делает жутко невыгодным заключение договора в ином регионе. Вроде как и не запретил, а на самом деле свёл количество случаев к нулю. Хотя оснований к такой трактовке и нет по сути, потому что важно место исполнения в первую очередь.
Кстати, на Хабре была интересная статья о том, как они работали над стилем карт. При этом уделяли внимание безбарьерной среде и в целом старались хорошо прорабатывать пешеходные маршруты. Мне жалко, что всё впустую, потому что было видно, что в некоторых направлениях действительно старались сделать качественный продукт.
Посмотреть бы обращение, на которое они отвечали. Потому что исходя из текста письма запрета как такового нет. Хотя, зная как у нас госорганы буквально всё воспринимают… Вообще, всегда забавно как Минфин правит ГК своими письмами. В результате у нас появляются две реальности — гражданско-правовые отношения для всех и для налоговой. И начинается баланс на двух табуретках.
Не обязан. Исходя из определении о коррупции, которое даётся в соответствующем законе, это:
злоупотребление служебным положением, дача взятки, получение взятки, злоупотребление полномочиями, коммерческий подкуп либо иное незаконное использование физическим лицом своего должностного положения вопреки законным интересам общества и государства в целях получения выгоды в виде денег, ценностей, иного имущества или услуг имущественного характера, иных имущественных прав для себя или для третьих лиц либо незаконное предоставление такой выгоды указанному лицу другими физическими лицами.
Просто у нас в праве есть деление составов на взятку и подкуп. Первое относится ко всяким госорганизациям, второе — к коммерции. Но и то, и то в общем смысле коррупция.
Именно. Дешевле платить штрафы, чем выполнять требования.
Наверное, лучше оставим спор. К сожалению, я не могу найти конкретные дела, потому что даже по отчётам РКН они по персональным данным почти не судятся. Я пока останусь при своём мнении, потому что в моей практике (по другим совершенно статьям) привлекают именно за каждое событие, а не за невыполнение условий, если есть ссылка именно на событие. Кстати, забавно, но в новой редакции ст. 13.11 нет ответственности просто за невыполнение условий соблюдения требований закона о ПД. За отдельные составы вроде «не взял согласие» есть, но в целом, если у вас ящики с персональными данными в коридоре валяются, привлечь не могут. Только если данные утекли на сторону.
Сколько операторов сейчас исполняют закон Яровой? От работников одного из операторов услуг связи, слышал что решили платить возможные штрафы, а не исполнять требования.
Не погружался в закон Яровой, но допускаю, что есть негласные договорённости. У меня на прошлой работе было такое, когда надзорные органы говорили, что «вот за это мы тебя оштрафуем, потому что совсем без штрафа нам нельзя, но в остальном трогать не будем, потому что сами всё понимаем, только ты не жести сильно». Статус-кво. РКН вон тоже не всех подряд блокирует, хотя исключений быть не должно.
Я не могу найти последствий за неоднократное нарушение федеральных законов, они вообще существуют?
Если отдельного состава не предусмотрено, то отдельно ответственности за «неоднократно» нет. Это является отягчающим обстоятельством, но в любом случае наказание в пределах статьи. Но обычно всё проще. Штраф сам по себе редко прилетает. Обычно с предписанием об устранении нарушений. Если это предписание РКН, то будет только другой штраф. Но если это от прокуратуры (это зависит от степени нарушения или степени обиды РКН), то за невыполнение предписания прокуратуры предусмотрено в том числе приостановление деятельности организации до девяноста суток.
И тема важная поднята, и критика автора тоже интересная есть. Но, чёрт возьми, такого треша в комментариях (начиная от «в/на Украина» и заканчивая «а оскорбление ли слово гомосексуалист») на Хабре я давно не видел. Или я просто был чист и невинен?
Да, и госорганы сами до конца не понимают, что является ПД, а что нет. Я встречал где-то разъяснения, что даже номер сотового телефона без (!) привязки к конкретному владельцу является персональными данными. Что уже клинический абсурд, но лучше перестраховаться и исполнять.
я не вижу нигде в законах отсылки что штраф за каждый объект ПДн
А вы и на найдёте такого нигде. Сам институт ответственности подразумевает, что отвечают за событие правонарушения. А в статье указано именно на факт разглашения вследствие несоблюдения требований, а не просто штраф за халтурную работу с данными. Разница в том, что второе — длящееся правонарушение, т. е. надзорный орган приходит, штрафует и выдаёт предписание устранить нарушение. А в первом фиксация на конкретном событии: несанкционированном доступе вследствие несоблюдения требований. Можете почитать в целом ст. 13.11 КоАП РФ, там по отдельным частям видно отличие длящегося от завершённого.
Иначе с вашей точки зрения должно выйти так: гражданин обращается в РКН о разглашении его данных, компанию наказывают; потом ещё один гражданин обращается (тоже, к примеру, базу в интернете нашёл) о том, что его персональные данные разгласили. И? Всё? Компания чиста аки сокол? Делает, что хочет?
Я сейчас посмотрел практику судебную по персональным данным. К сожалению, её очень мало. Те немногие дела, которые есть именно за разглашение, начаты по заявлению конкретных граждан. Соответственно в России ещё ни разу не разбирали массовые утечки. Наверняка в ближайшие пару лет увидим прецедент. Тем более, что только год прошёл как полномочия по таким делам отдали в ведение РКН (раньше была прокуратура). Ждём-с разъяснений от них.
Приведите, пожалуйста, аналогию из российского права. Я не готов судить о практике правоприменения европейского законодательства. Есть подозрения, что и вы тоже.
Мне кажется, что вы не вполне понимаете природу административной ответственности и защищаемый объект. Вас, возможно, смущает, что база данных вроде как одна. Давайте приведу пример, который не так давно много обсуждали. Немного из другой сферы. Авторские права.
Конституционный суд занимался рассмотрением жалобы. Один из вопросов, который он рассматривал, был штраф (компенсация) за проданный компакт-диск. Некто С. Михайлов сочинил целый диск с парой десятков песен. Продавец продал один диск, но суд оштрафовал его за каждую песню отдельно. Если не ошибаюсь, диск стоимостью в 75 рублей обошёлся продавцу тысяч в 900. Конституционный суд в итоге постановил, что не видит в этом проблем, потому что это нормально. Каждая песня — отдельный объект охраны. Хотя диск один. И продан только один раз. Просто со штрафами надо аккуратнее.
Так вот. Возвращаясь, к персональным данным. База одна. Но объектов охраны — много. Потому что персональные данные — это идентификационные данные одного конкретного лица (так следует из определения, на которое я ранее сослался). И объект защиты — не защита персональных данных как общественные отношения. Не сама база данных (это же просто как компакт диск с песнями). А отдельно интересы каждого физического лица. Иначе чем отличается ответственность в нарушении интересов тысячи человек от одного? Ударить одного и ударить нескольких — нарушение одно или несколько?
Давайте, я приведу аналогию. Не взяли согласие на обработку персональных данных у 1 000 покупателей. Это одно нарушение или 1 000?
Помощь в размышлениях
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 ФЗ "О персональных данных").
Удачи в доказывании, что это только один раз было.
Мне за пару месяцев до окончания страховки на авто начинают звонить все подряд страховые компании и агенты. И ещё месяц после того, как продлился. И так каждый год. Партнёрства там, видимо, весьма обширные…
ответчица не оспаривала достоверность данной записи, поэтому она пост-фактум выразила свое согласие с записью разговора
Вы не могли бы пальцем указать формулировку, где ответчица «пост-фактум выразила своё согласие»? Это требует отдельной мотивировки и обоснования судом. Я даже в решение первой инстанции залез, но увидел там только "От проведения по делу судебной экспертизы на предмет установления соответствия записи, времени ее производства и необходимости истребовании дополнительных доказательств существования переговоров, Шишкина Е.С. отказалась" и "Признание стороной ответчика данных обстоятельств в силу ст. 68 ч.2 ГПК РФ освобождает истца от их дальнейшего доказывания".
Это не вопрос получения согласия на ведение записи. Это всего лишь вопрос относимости доказательства, т. е. заявлений о фальсификации не было, опровержений не предоставлено. Потому что это не тайна личной переписки и пр. Сначала это было чётко выявлено при спорах с госорганами — там это публичная функция. Потом с гражданско-правовыми спорами практика колебалась, но теперь, как видите, всё ок — если вопрос касается только гражданско-правовых отношений, то никакой тайны здесь нет, если спор идёт между сторонами такого «общения».
а это уже нарушение и карается уголовным наказанием
Я могу, конечно, ошибаться, но насколько я помню по такой статье УК РФ всякие пост-фактум согласия роли не играют и дело должно быть доведено до конца, потому что ответственность за сам факт действий, указанных в ст. 137 УК РФ «Нарушение неприкосновенности частной жизни». И вроде эта статья не относится к тем, дела по которым могут быть прекращены, если потерпевший заберёт заявление.
В обоснование недопустимости аудиозаписи телефонного разговора суд сослался на пункт 8 статьи 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и защите информации», согласно которому запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
По мнению апелляционной инстанции, запись разговора между истицей и ответчицей была сделана первой без уведомления о фиксации разговора, а потому такая информация получена помимо воли Шишкиной (Белан) Е.С., что недопустимо в силу вышеприведенной нормы закона.
При этом не было учтено, что запись телефонного разговора была произведена одним из лиц, участвовавших в этом разговоре, и касалась обстоятельств, связанных с договорными отношениями между сторонами. В связи с этим запрет на фиксацию такой информации на указанный случай не распространяется. Определение Верховного Суда РФ от 6 декабря 2016 г.
Возможно. Не специалист, поэтому не могу судить о технических подробностях (хотя сам факт «затирания» следов письма по мере его прохождения по сети любопытен). Встречал только в судебных решениях о подтверждениях специалистов/экспертов, которым суд поручал разобраться с фактом получения почты. Да и обойти это не сложно. Другая сторона говорит, что вы получили письмо. А вы отрицаете. Тогда истец ходатайствует перед судом об обязании вас предоставить доступ к вашей почте для исследования специалистом. Вам-то чего отрицать, раз вы якобы не получали? Легко же посрамите другую сторону. Отказываетесь? Суд посчитает факт доказанным. И такое тоже в практике есть.
Это как раз отличный пример применения специфического инструмента — большого договора. Проблема в том, что обычно пихаются не полезные для работы «инструкции», а просто воду без разбора. И, к сожалению, на мелких договорах у сторон как правило нет опыта понять, что за инструкции нужны. Поэтому обычно это обнаруживается только у очень крупных профессиональных игроков.
Если вы получили заказное письмо, расписались в получении, то письмо вам доставлено. Если его кто-то просмотрел по ходу дела, то вряд ли вы что докажете. Спецсвязь, кстати, не гарантия. Периодически наблюдаю как они мешки с документами из машины выкидывают.
Электронная почта, насколько я понимаю, подтверждается аналогично бумажному заказному письму — сервер отчитывается, что до адресата она дошла (в аккаунт, к примеру, вошли).
Насколько я понимаю, это содержится в новом пункте 13.4: ".… клиент с учетом полученной от указанной организации, осуществляющей операции с денежными средствами или иным имуществом, информации о причинах принятия соответствующего решения вправе представить в эту организацию документы и (или) сведения об отсутствии оснований для принятия решения об отказе от проведения операции или об отказе от заключения договора банковского счета (вклада)".
Плюс ввели стадию обжалования в ЦБ. При этом в новом же пункте 13.6 указано, что комиссии ЦБ банк должен рассказать всё подробно и с документами: "финансовая организация обязана представить в сроки, установленные межведомственной комиссией в запросе, мотивированное обоснование принятого решения об отказе от проведения операции или об отказе от заключения договора банковского счета (вклада), а также мотивированное обоснование о невозможности устранения оснований".
Да, требования госорганов/банков (часто противоречащие друг другу, да и вообще закону) отдельная больная тема. Но я всё же больше касался вопроса гражданско-правовых отношений. Надзор и их хотелки… Даже не знаю, как это скомпоновать. Так-то и природнадзор, и пожарники всегда найдут нарушения, в том числе в договорах. К примеру, огнетушителей в офисе нет, а в договоре аренды ни слова не сказано, что это ответственность арендодателя. Привет, предписание и штраф! Или мусор офисный просто в общую мусорку выбрасывают. В договоре аренды опять ни слова про это. Здравствуй серия штрафов!
Ну вроде прописывать место заключения договора, чтобы налоговики не обнулили патент
Интересно. Я просто не сталкивался с такой претензией. Придирались даже не месту исполнения, а к месту заключения?
сейчас не так страшно, что кинет клиент, как то, что банку не понравится договор и они зморозят счета по 115ФЗ
Лично не работал с такими спорами, но практику немного изучал. Это вообще очень сложные дела. Но насколько я знаю, банки сейчас хотя бы обязали указывать причину блокировки. Раньше такой обязанности не было и компаниям приходилось через суд разными способами обязывать раскрыть причину блокировки. Потому что без причины в суд идти не с чем. Полный, конечно, был абсурд.
Посмотреть бы обращение, на которое они отвечали. Потому что исходя из текста письма запрета как такового нет. Хотя, зная как у нас госорганы буквально всё воспринимают… Вообще, всегда забавно как Минфин правит ГК своими письмами. В результате у нас появляются две реальности — гражданско-правовые отношения для всех и для налоговой. И начинается баланс на двух табуретках.
Просто у нас в праве есть деление составов на взятку и подкуп. Первое относится ко всяким госорганизациям, второе — к коммерции. Но и то, и то в общем смысле коррупция.
Наверное, лучше оставим спор. К сожалению, я не могу найти конкретные дела, потому что даже по отчётам РКН они по персональным данным почти не судятся. Я пока останусь при своём мнении, потому что в моей практике (по другим совершенно статьям) привлекают именно за каждое событие, а не за невыполнение условий, если есть ссылка именно на событие. Кстати, забавно, но в новой редакции ст. 13.11 нет ответственности просто за невыполнение условий соблюдения требований закона о ПД. За отдельные составы вроде «не взял согласие» есть, но в целом, если у вас ящики с персональными данными в коридоре валяются, привлечь не могут. Только если данные утекли на сторону.
Не погружался в закон Яровой, но допускаю, что есть негласные договорённости. У меня на прошлой работе было такое, когда надзорные органы говорили, что «вот за это мы тебя оштрафуем, потому что совсем без штрафа нам нельзя, но в остальном трогать не будем, потому что сами всё понимаем, только ты не жести сильно». Статус-кво. РКН вон тоже не всех подряд блокирует, хотя исключений быть не должно.
Если отдельного состава не предусмотрено, то отдельно ответственности за «неоднократно» нет. Это является отягчающим обстоятельством, но в любом случае наказание в пределах статьи. Но обычно всё проще. Штраф сам по себе редко прилетает. Обычно с предписанием об устранении нарушений. Если это предписание РКН, то будет только другой штраф. Но если это от прокуратуры (это зависит от степени нарушения или степени обиды РКН), то за невыполнение предписания прокуратуры предусмотрено в том числе приостановление деятельности организации до девяноста суток.
Да, и госорганы сами до конца не понимают, что является ПД, а что нет. Я встречал где-то разъяснения, что даже номер сотового телефона без (!) привязки к конкретному владельцу является персональными данными. Что уже клинический абсурд, но лучше перестраховаться и исполнять.
А вы и на найдёте такого нигде. Сам институт ответственности подразумевает, что отвечают за событие правонарушения. А в статье указано именно на факт разглашения вследствие несоблюдения требований, а не просто штраф за халтурную работу с данными. Разница в том, что второе — длящееся правонарушение, т. е. надзорный орган приходит, штрафует и выдаёт предписание устранить нарушение. А в первом фиксация на конкретном событии: несанкционированном доступе вследствие несоблюдения требований. Можете почитать в целом ст. 13.11 КоАП РФ, там по отдельным частям видно отличие длящегося от завершённого.
Иначе с вашей точки зрения должно выйти так: гражданин обращается в РКН о разглашении его данных, компанию наказывают; потом ещё один гражданин обращается (тоже, к примеру, базу в интернете нашёл) о том, что его персональные данные разгласили. И? Всё? Компания чиста аки сокол? Делает, что хочет?
Я сейчас посмотрел практику судебную по персональным данным. К сожалению, её очень мало. Те немногие дела, которые есть именно за разглашение, начаты по заявлению конкретных граждан. Соответственно в России ещё ни разу не разбирали массовые утечки. Наверняка в ближайшие пару лет увидим прецедент. Тем более, что только год прошёл как полномочия по таким делам отдали в ведение РКН (раньше была прокуратура). Ждём-с разъяснений от них.
Мне кажется, что вы не вполне понимаете природу административной ответственности и защищаемый объект. Вас, возможно, смущает, что база данных вроде как одна. Давайте приведу пример, который не так давно много обсуждали. Немного из другой сферы. Авторские права.
Конституционный суд занимался рассмотрением жалобы. Один из вопросов, который он рассматривал, был штраф (компенсация) за проданный компакт-диск. Некто С. Михайлов сочинил целый диск с парой десятков песен. Продавец продал один диск, но суд оштрафовал его за каждую песню отдельно. Если не ошибаюсь, диск стоимостью в 75 рублей обошёлся продавцу тысяч в 900. Конституционный суд в итоге постановил, что не видит в этом проблем, потому что это нормально. Каждая песня — отдельный объект охраны. Хотя диск один. И продан только один раз. Просто со штрафами надо аккуратнее.
Так вот. Возвращаясь, к персональным данным. База одна. Но объектов охраны — много. Потому что персональные данные — это идентификационные данные одного конкретного лица (так следует из определения, на которое я ранее сослался). И объект защиты — не защита персональных данных как общественные отношения. Не сама база данных (это же просто как компакт диск с песнями). А отдельно интересы каждого физического лица. Иначе чем отличается ответственность в нарушении интересов тысячи человек от одного? Ударить одного и ударить нескольких — нарушение одно или несколько?
Удачи в доказывании, что это только один раз было.
Вы не могли бы пальцем указать формулировку, где ответчица «пост-фактум выразила своё согласие»? Это требует отдельной мотивировки и обоснования судом. Я даже в решение первой инстанции залез, но увидел там только "От проведения по делу судебной экспертизы на предмет установления соответствия записи, времени ее производства и необходимости истребовании дополнительных доказательств существования переговоров, Шишкина Е.С. отказалась" и "Признание стороной ответчика данных обстоятельств в силу ст. 68 ч.2 ГПК РФ освобождает истца от их дальнейшего доказывания".
Это не вопрос получения согласия на ведение записи. Это всего лишь вопрос относимости доказательства, т. е. заявлений о фальсификации не было, опровержений не предоставлено. Потому что это не тайна личной переписки и пр. Сначала это было чётко выявлено при спорах с госорганами — там это публичная функция. Потом с гражданско-правовыми спорами практика колебалась, но теперь, как видите, всё ок — если вопрос касается только гражданско-правовых отношений, то никакой тайны здесь нет, если спор идёт между сторонами такого «общения».
Я могу, конечно, ошибаться, но насколько я помню по такой статье УК РФ всякие пост-фактум согласия роли не играют и дело должно быть доведено до конца, потому что ответственность за сам факт действий, указанных в ст. 137 УК РФ «Нарушение неприкосновенности частной жизни». И вроде эта статья не относится к тем, дела по которым могут быть прекращены, если потерпевший заберёт заявление.
По мнению апелляционной инстанции, запись разговора между истицей и ответчицей была сделана первой без уведомления о фиксации разговора, а потому такая информация получена помимо воли Шишкиной (Белан) Е.С., что недопустимо в силу вышеприведенной нормы закона.
При этом не было учтено, что запись телефонного разговора была произведена одним из лиц, участвовавших в этом разговоре, и касалась обстоятельств, связанных с договорными отношениями между сторонами. В связи с этим запрет на фиксацию такой информации на указанный случай не распространяется.
Определение Верховного Суда РФ от 6 декабря 2016 г.
Электронная почта, насколько я понимаю, подтверждается аналогично бумажному заказному письму — сервер отчитывается, что до адресата она дошла (в аккаунт, к примеру, вошли).
Плюс ввели стадию обжалования в ЦБ. При этом в новом же пункте 13.6 указано, что комиссии ЦБ банк должен рассказать всё подробно и с документами: "финансовая организация обязана представить в сроки, установленные межведомственной комиссией в запросе, мотивированное обоснование принятого решения об отказе от проведения операции или об отказе от заключения договора банковского счета (вклада), а также мотивированное обоснование о невозможности устранения оснований".
Интересно. Я просто не сталкивался с такой претензией. Придирались даже не месту исполнения, а к месту заключения?
Лично не работал с такими спорами, но практику немного изучал. Это вообще очень сложные дела. Но насколько я знаю, банки сейчас хотя бы обязали указывать причину блокировки. Раньше такой обязанности не было и компаниям приходилось через суд разными способами обязывать раскрыть причину блокировки. Потому что без причины в суд идти не с чем. Полный, конечно, был абсурд.