Comments 64
Верните мне мой 2007 (ಠ_ಠ)
Ну да ладно, а по теме — работаю в крупной компании, служба безопасности получает всё что хочет: данные от РЖД, ЮТЭЙР по билетам и выполненным поездкам, перелётам, данные от Сбера, от карманного банка по транзакциям, в этом году пошло круче — они получают данные от ОПСОСов по моему местонахождению. О чём блин статья? Если в итоге во всём что я перечислил у них сидят прикормленные сливалы?
Сентябрь уже сгорел :(
В российском законе размытое определение персональных данных — «Информация, по которой получится прямо или косвенно идентифицировать человека». Четкого списка таких данных нет, поэтому на практике часто пользуются правилом: если по информации, которую вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные.
Но есть нюанс. Персональными данными считается то, что ими выгодно считать государству в текущей ситуации. Поэтому, персональными данными может быть признаны данные, собираемые аналитикой Google (опять же, если это выгодно, то есть, если это сайт самого Роскомнадзора или Сбербанка, то всё в порядке, а вот если это сайт «Умного голосования», то нарушение), или даже вам может прилететь просто за форму обратной связи, куда гражданин может ввести свои персональные данные.
Избирательность применения — вообще большая проблема законов в России. Закон о персданных не стал исключением.
Александр, есть ещё "нюансы". Рекомендую покопаться в аналогичной по тематике правоприменительной практике США (да, нужно постараться) и после этого обратить внимание на исключения позволяемые/налагаемые другими законами (особенно для не-граждан США).
Вам должно зайти ;)
Проходил мимо, дискутировать не буду (ибо RTFM)
вообще-то из всей кучи конфиденциальных сведений, сведения относящиеся к ГТ и ПД наиболее четко и однозначно описаны, есть только небольшая ниша, где Ваши ПД не действуют — архивная тайна. т.е. то что попало в архив, оно выведено из требований 152-ФЗ.
тот же сбербанк нарушает, но по грани серьезных штрафов, не заходя, т.е. богатые люди и компании, как и на западе, могут «немного» позволять себе больше нарушений, главное — не пересечь границу между административным и уголовным кодексом. деньги для них не являются проблемой.
другое дело, что подзаконные акты, они все открыты, но они размазаны в части касаемой, по нескольким организациям — ФСТЭК, ФСБ, РосКомНадзор,… (честно не помню). и по разным организациям, есть еще свои, уточняющие, ужесточающие требования.
Нужно хранить ПД на российских серверах — храните где угодно, но чтобы копия обязательно была здесь.
Запрещает хранение на иностранных серверах — хранить можно только здесь, копировать в другие страны строго запрещено.
То, что данные есть еще где-то само по себе не запрещено. А формулировка «запрещено хранить ПД на зарубежных серверах» как раз и зарубежные копии ПД ставит вне закона.
Звучит не как "закон о защите ПД" (если фирма лишится доступа к своим данным из-за рубильника, то она пострадает гораздо сильнее, чем большинство её клиентов, и без всякой указки сверху будет прикладывать все силы, чтобы восстановить данные), а как "закон о защите прав российских силовиков на доступ к ПД"
А что вам мешает честно и откровенно написать на сайте какие данные и с какой целью собираются? Любые потенциальные проблемы с законом этим закрываются, особенно если очевидно что данные не продаются третьим лицам и никак злонамеренно не используются.
Закон не запрещает их сбор и анализ, он просто требует прозрачности и возможности их удаления по требованию — и то если вы храните их в виде который позволяет идентикацию посетителей, т.е. анонимизированные IP уже персональными данными не являются, причём в этом случае можно вообще не сообщать об их сборе.
Писать надо на языке который понятен целевой аудитории сайта, плюс (во избежание недоразумений) на официальном языке в юрисдикции где вы (владелец сайта) являетесь резидентом. Т.е. к примеру если у вас сайт для русскоязычной аудитории но вы в Германии — то лучше бы иметь описание и на немецком.
Проблемы с законом этим действительно закрываются на 99% — пока вы честно информируете о целях сбора данных и способах их обработки, и спрашиваете согласие если оно требуется. Остальной 1% зависит от того что конкретно делает ваш сайт, какие именно данные вы собираете и что с ними делаете ("агрегация для статистики" это слишком абстрактно).
Анонимизированные IP — это сокращённые до /24 IPv4 (первые три байта) и до /48 IPv6 (первые 6 байт).
Подумайте шире. Если комбинация ФИО и номера телефона — ПДн, значит владелец каждого мобильного телефона с записной книжкой является оператором. А если ещё и данные синхронизируются на забугорных серверах, то это прямое нарушение и штраф.
Например, в статье:
В российском законе размытое определение персональных данных — «Информация, по которой получится прямо или косвенно идентифицировать человека».
А вот так в законе:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Это СОВЕРШЕННО разные вещи. Если брать пример из статьи, то… Если по контексту или еще как-то можно определить, что речь идет именно обо мне, то информация, что мой дедушка служил в НДКВ будет моими персональными данными. Т.к. это и есть та «любая информация» из закона.
Ну или другой пример из статьи… Бред по поводу согласия на обработку:
В России, чтобы получить согласие на обработку данных, достаточно к электронной форме добавить строчку: «Когда вы нажимаете на кнопку, вы даете согласие на обработку персональных данных». А рядом дать ссылку на политику обработки. Политика — это страница на сайте, где компания рассказывает, какие данные собирает, как использует и кому будет передавать. Эту страницу держат в открытом доступе.
А вот что говорит закон:
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
По закону пользователь может дать согласие на обработку ПД ТОЛЬКО в своем интересе. Например, какой-то… умник, в общем, придумал, что при продаже товара надо потребовать согласие пользователя, чтобы срать ему дальше рекламой. А вот пользователь этого не хочет, так как это не в его интересе. Так вот этот пользователь кропает телегу в РКН и говорит, что это не в моем интересе и согласие мое не соответствует закону. И контора затрахается пыль глотавши доказывать, что они получили согласие.
Я уж не говорю о примере политики по обработке ПД в качестве согласия на примере дадата… Уж там то оно не соответствует определению ни информированное, ни конкретное, ни сознательное. Одна только фраза в целях обработки: «осуществление деāтелþности, предусмотренной учредителþнýми документами Компании.» убивает сразу все эти положения из закона.
Остальная часть описания по российскому закону в статье такого же уровня ниже плинтуса.
Пожалуйста не пишите больше ничего на тему 152-ФЗ, так как вы в нем вообще ничего не понимаете и запутываете ничего не понимающих читателей еще больше.
Кстати, посмотрел вашу статью. Не могу утверждать насчет истинности или ложности, поскольку я только начинаю интересоваться данной темой, но, на мой взгляд, ваша статья сильно уступает данной статье, которую вы критикуете с точки зрения подачи материала. Никакой структуры, просто поток мыслей как из пулемета. Мне лично тяжело было читать такую «непричесаную» статью.
Я не вдавался в подробности, откуда берутся эти вопросы, так как владелец мелкого магазина, заинтересовавшийся законом о ПД, и так знает, что именно эти вопросы для него актуальны. Иначе статья бы вышла в разы больше.
По поводу «непричесанной статьи»… Вообще-то в это году (не помню, весной или летом) на хабре опубликовали перевод инструкции к европейскому регламенту. С моей точки зрения там было шикарное объяснение ВСЕХ тонких вопросов. Но у меня есть подозрение, что для большинства читающих она показалась абстрактным набором юридической белиберды. Ну и краткостью там авторы точно не страдали. Но если мне еще когда потребуется идти в суд по вопросу персональных данных, я точно перечитаю эту статью и аргументы буду приводить именно те, на которые давили европейцы. Формулировки в наших законах, судя по отличному переводу этой инструкции, практически одинаковые.
И после европейских разъяснений я просто не представляю, что еще можно написать в статье. Там все реально полно и по делу разъяснено. Я оценил, что не могу написать что-либо еще.
PS Обращаю внимание, что вопросы защиты информации не вынесены в закон и ПД и в КоАП отсутствует ответственность за нарушение подзаконных актов. Так как это очень дорого, то очевидно, что впихнуть решение того, что можно и не решать, находится куча желающих. И это благодаря им в рунете куча бреда, направленного на то, чтобы в это вкладывали деньги бизнеса.
Кстати, я попытался найти эту статью, так и не нашел. Может быть дадите ссылку, пожалуйста?
В чем проблема найти статью по теме, когда указан интервал дат, я тоже не очень понимаю, но уж если совсем лень, то статья вот: habr.com/ru/post/494364
да, для меня досихпор загадка — как правильно работать с персональным данными. можете подсказать? было бы здорово если бы вы написали статью
Пожалуйста, не воспринимайте эту статью как серьезное исследование, которое годится для бизнес-задач. Мы хотели показать, что во всех законах много непонятного. А одни и те же формулировки могут по-разному истолковать в аналогичных ситуациях. По крайней мере в России.
Если расскажете, где мы наломали дров и как это исправить, я с удовольствием дополню публикацию. Или давайте вместе напишем еще одну — вы выступите как эксперт, а я помогу все оформить и структурировать
Хотя когда пришлось работать с магазином специфической тематики, где клиенты такие, что могут голову снести владельцам в прямом смысле, если произойдет утечка данных, там мы оценили законодательные рекомендации и требования как очень полезные. Сами бы до некоторых вещей по защите данных не догадались бы.
Европейский и российский законы работают по одному принципу: запрещают обрабатывать данные, пока пользователь не разрешит.
Есть ключевой нюанс: российский закон требует хранить незашифрованные персональные данные в юрисдикции РФ. Это, с одной стороны, защита, с другой стороны, так и вижу Людвига Аристарховича, удивляющегося, кто же это покопался в этих данных…
Европейский закон тоже не дает четкого списка персональных данных, а определяет их даже шире. К персональным данным относят еще и информацию, по которой человека могут оценить, сформировать к нему отношение и повлиять на его поведение.Это вы сами придумали или где-то прочитали? Формулировка любопытная, но к реальности не имеет никакого отношения, разумеется.
Это не банк сливает ПД своим конкурентам, а БКИ. К сожалению, по умолчанию при любом обращении в любое кредитное учреждение предполагается разрешение на фиксацию данного обращения в БКИ. Ещё более противный аспект — единая база ОСАГО...
Непонятно, зачем нужно требование о том, чтобы данные пользователей из России хранились на серверах в России. Это только из-за желания российских спецслужб иметь возможность получения доступа к ним, а самому пользователю это не нужно, скорее наоборот?
И как тогда быть международным сервисам? Если каждая страна примет такой закон, что данные её пользователей должны в ней находиться, данные российских пользователей должны лежать в России, киргизских — в Киргизии, папуа-новогвинейских — в Папуа-Новой Гвинее, габонских — в Габоне и т.д., сервис должен поставить свои сервера в каждой стране и наладить сложную систему взаимодействия между ними. Если пользователь из одной страны пишет пользователю из другой, то как обеспечить передачу персональных данных пользователя из одной страны в другую? (должен же получатель идентифицировать отправителя, значит, нужно передать ему персональные данные в его страну).
И как определить страну, к которой относится пользователь международного сервиса, если он её явно не указал? по языку? по IP-адресу первичной регистрации? по телефонному номеру? что будет, если он укажет не свою страну, а другую?
По ним не найти конкретного Ивана Иванова — таких в России тысячи. Значит, имя и фамилия — это не персональные данные.
Получается, Иван Иванович Иванов — не персональные данные, а Луи-Эммануэль Сосипатрович Иванов-Пржебышевский — персональные?
Я правильно понимаю, что любой телефонный справочник — от бумажных изданий прошлого века до записной книжки в телефоне — превращает своего владельца в оператора персданных?
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
Если же обработка происходит с другими целями, то да. Записная книжка в телефоне делает оператором персональных данных. Т.е. открыл ты лавочку торгующую шариками с гелием и разослал смс об этом по всей своей адресной книге. А кто-то из получателей накропал телегу в РКН. И все, под исключения ст. 1 ты не подходишь, т.е. ты полноценный оператор персональных данных и отвечаешь по всей строгости закона — от 1 до 3 тыс. руб., если сможешь доказать, что ты выступал тут как обычное физлицо, либо от 5 до 10 тыс., если привлекут как ИП (должностное лицо)
Пока все это на бумаге и штрафы серьезные разве что для какого-нибудь стартапа, а не для крупного оператора сотовой связи, службы доставки и интернет-магазина.
Телефоны и фио как «улетали» из их базы, так и продолжают улетать.
Европейский закон тоже не дает четкого списка персональных данных, а определяет их даже шире. К персональным данным относят еще и информацию, по которой человека могут оценить, сформировать к нему отношение и повлиять на его поведение.
Что такое «европейский закон»? Их там вагон и маленькая тележка только на уровне законодательства ЕС. В Евросоюзе есть еще такое понятие, как «данные, которые можно сопоставить с личностью». Например, «владелец автомобиля госномер ХХХ». Госномер — не ПД, но «владелец ...» можно сопоставить с конкретным физлицом. И оборот таких данных регулируется отдельно от собственно ПД.
Личное наблюдение:
- В РФ буквально на каждый чих при заключении договора в реальности подкладывают на подпись бумажку о согласии на обработку ПД. Доходит до абсурда, что такую бумажку просил подписать военкомат (как будто если бы я отказался, это хоть что-то могло изменить)
- В ЕС (конкретно во Франции) такого нет. В 90% случаев информация об обработке ПД включена в основной договор, подписывать отдельную бумагу не надо
На практике эта разница здорово упрощает жизнь простому клиенту, потому что меньше анкет надо заполнять (многие анкеты о согласии на обработку ПД требовали руками указывать все свои реквизиты такие как ФИО, паспорт и прописку).
Мне интересно, связано ли это с различием в законодательстве (и тогда получается, что gpdr совершеннее) или просто российские организации предпочитают перестраховаться (особенно государственные).
Пока для себя я знаю только, что в gpdr явное согласие клиента лишь ОДНА из шести причин для обработки ПД. Например, если обработка требуется по закону (продавец международных авиабилетов обязан передать ваши паспортные данные пограничникам) или для выполнения основного контракта (работодатель не может выплатить вам зарплату не зная ваших банковских реквизитов). В этих случаях дополненное согласие не нужно. Но этот момент совершенно не отражен в статье.
С другой стороны есть уголовная статья об уклонении от призывной службы и административная за уклонение от призывных мероприятий и медосвидетельствования. Таким образом согласие на обработку ПД от военкомата это как кошка, отпустившая мышку во время игры. Вроде мышка и может дернуться вперёд, но итога это не изменит. Так что подобные согласия выглядят скорее как насмешка. Избежать службы в армии, разумеется, можно, но точно не так.
Роскомнадзор душит с защитой персональных данных. Как с этим на Западе?