Comments 53
Рассуждать можно сколько угодно, докажите это всё регулятору при проведении проверки. Столько нервов и сил потратите, что легче согласиться и написать на пару-тройку документов больше. Сталкивался ни раз. Ни логика ни ссылки на нормативку не помогает ))
По такому принципу можно и налоги приплачивать сверху «кабы чего не вышло». Если есть лишние деньги на разработку «пары-тройки» документов, welcome!
Это всё тоже теория. Если придётся доказывать свою правоту в суде, вот там сразу станет видно, как именно участники разбирательства трактуют упомянутый закон. Он настолько расплывчат, что поди докажи, если чиновник «с той стороны» считает иначе.

К слову, я делал официальный запрос в РКН о том, что и как считать персональными данными, что делать в случае использования сторонних сервисов обработки вида Google Forms, Disqus и т.д. — так вот, в официальном ответе от РКН (храню присланный ими скан заверенного печатью ответа, при необходимости покажу) сказано: мы-де не уполномочены трактовать закон, обращайтесь в Спортлото Минкомсвязи.

Так что самостоятельно трактовать закон можно сколько угодно, пока вас не станут проверять компетентные органы.
Согласен, мифы выгодны РКН, юристам и фирмам, продающим решения по информационной безопасности
UFO landed and left these words here
Статья «о том, как запрашивал РКН и Спортлото о персональных данных»?

Скучновато было бы. Я вам отвечу, как только министерство ответит. Набираемся терпения, это может занять многие недели.
Не совсем. Статья с ответами и тех и других и вашим мнением на этот счет. Может и скучновато, зато полезно.
Персональные данные — это любые сведения о физическом лице

1. Рассуждения упускают момент, что возможность определения лица зависит от возможностей атакующего
2. Роскомнадзор не имеет права комментировать закон. Поэтому все эти цитаты — личные мнения. В случае чего на это опираться нельзя. Увы. Помнится один раз пересекся с депутатом госдумы, так он аж подскочил от сведений, что какой-то роскомнадзор комментирует законы
Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений.

Чего? Чистое нарушение закона
Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными

Вспоминаем, что персональные данные или нет — зависит от атакующего
Аналогичным образом не относятся к ПДн сведения об IP

В Европе — относятся

Дальше комментировать не стал

1. Рассуждения упускают момент, что возможность определения лица зависит от возможностей атакующего

На первом курсе юрфака учат, что норма устанавливает права и обязанности сторон, участвующих определенных отношениях.
По ФЗ 152 обязанным может быть только лицо, обрабатывающее персональные данные. Поэтому и то, являются ли данные «персональными» определяется не с позиции «атакующего», как вы выразились, а с точки зрения лица, которое их обрабатывает.
Если последнее не может идентифицировать физ лицо на основе обрабатываемых данных, то они и не считаются для него «персональными». Следовательно, нет обязанности по ФЗ 152.
Мало ли что другое лицо может узнав номер телефона сразу определить, что им пользуется Иванов Иван Иванович.

В Европе — относятся

Мы про российский закон говорим или вообще?

Дальше комментировать не стал

И правильно. Учите мат. часть.
Вопрос о том что есть, а что нет персональные данные — достаточны они или нет — спорный. Оператор может посчитать что недостаточно и не являются персональными, а проверяющий, что достаточно и персональные. Типичный пример — имя. В общем имя — не ПДн, но если родители крайние оригиналы имя редчайшее, то оно идентифицировать будет точно. Аналогично и айпишник. Статический айпишник в сочетании с ФИО даст возможность идентифицировать точно

Основная проблема закона — решать что есть ПДн, а что нет — будете не вы, а проверяющая организация.
Разумеется, не я. Статья дает повод задуматься, что не все так прямолинейно и однозначно, как это подается лобби от бизнеса информационной безопасности.
Лобби. я бы не сказал что оно есть. Безграмотность законописателей пиарящих горячие темы, безденежье регуляторов, которые не имеют возможности написать подзаконные акты чуть не десятилетиями и нежелание пользователей (скажем так) читать законы, подзаконные акты и документы регуляторов.
Если бы было лобби, то его представители давали бы думцам своих экспертов для написания документов. Вон закон яровой — все — от регуляторов до правительства пытаются год от него отвертеться. 152-ФЗ приняли, поскольку мы тогда по моему в совет европы вошли. Число проверок копеешное по отношению к числу компаний. Запросов от боящихся его как бы года два нету в товарных количествах
Бардак к наличии. Бессмысленный и беспощадный
Был у меня комичный опыт еще в 2008. На семинаре по 152 ФЗ сидели бок о бок представитель РКН и куратор по информационной безопасности. РКН гнул линию, что далеко не всякая обработка выполняется с использованием средств автоматизации. На что куратор чуть его не локтем толкал, мол ты что, родной, всех мимо кассы отправляешь?
Ну ясен пень, что желание заработать на наличии закона никто не отменял. Бизнес и ничего личного. Маркетинговых материалов, описывающих пользователям, как выполнять тот или иной закон именно с их ПО/железом/помощью — вагон и немаленькая тележка.
Почему я и говорю всегда — чтение нормативки и документации лично — это рулез
"… персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна."


Ничего подобного. Любая информация, которая может быть использована при идентификации и отнесена к конкретному лицу — ПД. Закон как раз не требует, чтобы ПД относились к прямо определенному лицу, они могут относиться и к «определяемому», т.е. такому, идентификаиця которого не произведена, а только может быть произведена. О том же самом — и в Конвенции.
Смотрите комментарий выше. Если у обязанного лица нет возможности прямо или косвенно определить физ. лицо на основании обрабатываемых данных, то такие данные не считаются «персональными» со всеми вытекающими последствиями.

Компетентные органы могут по IP определить абонента, который написал данный пост, а вы не можете. Поэтому для компетентных органов — это персональные данные, а для вас нет. В результате закон не может возлагать на вас обязанность получать у меня согласие на обработку IP и хранить его в тайне.

Если честно, то, на мой дилетантский взгляд, в законе не раскрыто определение «идентификация физического лица», что позволяет трактовать «персональные данные» в очень широком диапазоне.

Пару лет назад, когда мы создавали небольшую адресную книгу нашей компании, доступную только для сотрудников, в ней указывались следующие данные: фамилия, имя и личный мобильный телефон. Этих данных вполне достаточно для идентификации пользователя или сотрудника, в том числе любому другому лицу. Со своей стороны попросил наш отдел кадров собрать заявления о том, что сотрудники не возражают о том, что их данные будут размещены на портале. При приёме на работу подобные заявления не предоставлялись на подпись. Один рьяный защитник пытался доказать, что ничего не будет и это не является ПД, но подтвердить статьями законов или судебной практикой он не смог. Портал создали, но с оговоркой, что все проблемы с законом, если возникнут, целиком и полностью лежат на отделе кадров. Криков было много… :)

ИМХО, имени, фамилии и телефонного номера, зачастую достаточно для точной идентификации человека в интернете и жизни. Всё делается по запросам к открытым источникам. Буквально сегодня, имея в распоряжении только дату рождения, имя и фамилию, разыскал телефонный номер, адрес постоянного пребывания человека и помог вернуть документы. Но это, повторюсь, исключительно ИМХО, так как закон не предлагает нам чёткого определения того, что считать персональными данными, а также требуемую их полноту.
Пару лет назад, когда мы создавали небольшую адресную книгу нашей компании, доступную только для сотрудников, в ней указывались следующие данные: фамилия, имя и личный мобильный телефон. Этих данных вполне достаточно для идентификации пользователя или сотрудника, в том числе любому другому лицу.

В вашем конкретном случае указанные в справочнике данные, безусловно, относятся к персональным, поскольку работодатель знает кому они принадлежат. Квалифицировать данные нужно всегда с точки зрения лица, которое их обрабатывает.
Квалифицировать данные нужно всегда с точки зрения лица, которое их обрабатывает.

Не могу с Вами согласиться, так как квалифицировать надо по закону, а он не даёт этого определения.

Исходя из Вашего толкования, иногда даже ник человека может его точно идентифицировать. Необходимо ли и на это оформлять бумажку? :)
Исходя из Вашего толкования, иногда даже ник человека может его точно идентифицировать. Необходимо ли и на это оформлять бумажку? :)

Где вы это у меня увидели? Человека идентифицирует в достаточной мере паспорт.
Вы писали об этом выше:
Квалифицировать данные нужно всегда с точки зрения лица, которое их обрабатывает.


И с этим я не согласился. Закон нуждается в серьёзной доработке, в части уточнения определения субъекта закона.
«Если у обязанного лица нет возможности прямо или косвенно определить физ. лицо на основании обрабатываемых данных, то такие данные не считаются «персональными» со всеми вытекающими последствиями.»

Каким образом это отражено в законе?
Да, я уже понял, что ответить на этот вопрос вам будет нечего.
Не понял выпад. Ответ на ваш вопрос дан в определении ПДн. Если данные не соответствуют требованиям к ПДн с позиции лица, которое их обрабатывает, то для него такие данные не ПДн. Например, ПДн были обезличены оператором и переданы в обезличенном виде для обработки третьему лицу. Такое лицо не может установить субъекта ПДн по обезличенным данным. Поэтому на него по определению не распространяется ФЗ 152.
Критерий ПД — он только один — можно или нельзя отнести данные к конкретному человеку. Кто является «лицом, которое их обрабатывает» — в определении не отражено никак. Обезличивание — это как раз действие, которое приводит к тому, что данные отнести к лицу становится нельзя, но даже и в его определении нет никакого «лица» и его «позиции». Поэтому если оператор «обезличил» данные так, что сам может установить по ним личность — данные не являются обезличенными, даже в том случае, когда «третье лицо» этого сделать не может. И у третьего лица все равно в полный рост наступают все требования 152-ФЗ.
С такой позиции любые данные о физ лице являются персональными, вам не кажется?
О, наконец-то вы поняли. Вообще весь разговор про выполнимость закона надо начинать с того, что он основан на конвенции 1980 какого-то там года, когда компьютеры были большими. Все те принципы, которые в нем сформулированы — они оттуда, из восьмидесятых. Сейчас, когда данные передаются по сетям и кешируются на неизвестном количестве компьютеров, выполнить то же удаление ПД, будет, мягко говоря, трудно. Как и кучу других требований.
Хотя многие «требования ФЗ» на законе не основаны, а выдуманы мудрецами из РКН. Начиная с требования регулировать законом вообще любое упоминание персданных. Именно с этого, кстати, стоило начать статью: с первой статьи ФЗ с описанием сферы его действия и вопроса о том, что такое «автоматизированная обработка».
Пошел разговор «за жизнь». Все право строится на определенных допущениях, которые называются «правовые конструкции». Иногда они далеки от описываемой реальности, но ответственность за их нарушение вполне реальная. Ваш предыдущий аргумент, что все данные о физ лице суть персональные не верен хотя бы потому, что в законе упомянуты также обезличенные данные. Они тоже относятся к физ лицу, но установить его не представляется возможным.
Все данные, которые можно соотнести с лицом — персональные. Я настаиваю. Обезличенные нельзя соотнести, поэтому они в законе выделены отдельно.
UFO landed and left these words here
Пошел разговор «за жизнь». Все право строится на определенных допущениях, которые называются «правовые конструкции». Иногда они далеки от описываемой реальности, но ответственность за их нарушение вполне реальная. Ваш предыдущий аргумент, что все данные о физ лице суть персональные не верен хотя бы потому, что в законе упомянуты также обезличенные данные. Они тоже относятся к физ лицу, но установить его не представляется возможным.
> Ответ на ваш вопрос дан в определении ПДн.

Читаем ФЗ 152, статья 3, пункт 1:

персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);


Поясните, пожалуйста, где тут ссылка на лицо, которое их обрабатывает.

Все приседания из-за того, что нет чёткого определения. Сетевой псевдоним — персональные данные? IP адрес сам по себе? Адрес email? Сочетание всех трёх, указанных выше?

Повторюсь, сами вы можете трактовать как хотите. Вопрос в том, что, когда вас возьмут за жабры компетентные органы, будут ли они трактовать ровно так же, и сумеете ли вы в суде отстоять именно свою трактовку.
Я купил два телефонных номера. Один отдал супруге/подруге/маме/etc. Кто то из них оставил его на сайте с именем и фамилией. ОПСОС идентифицирует меня, а не Екатерину Васильевну, которая по факту и оставила данные на сайте. По вашему это перс данные, а по факту…
Симкарта записана на меня, значит сайт идентифицирует меня через ОПСОСа, а по факту номер не у меня.
То есть, если я представлюсь именем кого-то другого, это имя перестанет быть персональными данными?
1. Как быстро в статье ушли от определения информации, относящейся к физлицу к термину идентификация физлица. Конечно, по емейл лицо не идентифицируешь, а по электронному адресу ivanov.petr@company.ru вполне определяется кто это. И в момент запроса емейла еще неизвестно, будет он (адрес емейл) подходить под ПД или нет, а после — его хранение без согласия будет нарушением.
2. Почему соцсети и сайты поиска работы вы отнесли к источикам общедоступных сведений? Вряд ли в их соглашениях с пользователем есть пункт о том, что после публикации имени и телефона кто угодно в мире имеет право воспользоваться ими для любых целей. Вы не имеете права распарсить авто.ру и хранить у себя всех автовладельцев, например.
Как быстро в статье ушли от определения информации, относящейся к физлицу к термину идентификация физлица.

Потому что первое следует из второго, а не наоборот.

Почему соцсети и сайты поиска работы вы отнесли к источикам общедоступных сведений? Вряд ли в их соглашениях с пользователем есть пункт о том, что после публикации имени и телефона кто угодно в мире имеет право воспользоваться ими для любых целей.

У них есть такая возможность. Если не включили соответствующее условие, их промах. Об этом статья.

Вы не имеете права распарсить авто.ру и хранить у себя всех автовладельцев, например.

Вы путаете режим общедоступных персональных данных со смежным правом изготовителя базы данных запрещать извлечение материалов из его базы данных и осуществлять их последующее использование.

UFO landed and left these words here
Почему не будет считаться «обработкой»? В указанном пункте как раз идет речь об одном из оснований для обработки ПДн наряду с прямым согласием субъекта. В данном случае отдельное согласие не требуется и уведомлять РКН не требуется об обработке.

Если ИП вам не дает свой адрес, то легально вам его взять просто не от куда. Обязать предоставить адрес вы не можете. Просто договор не заключайте.
UFO landed and left these words here
Можно и не перед подписанием, а одновременно в тексте договора. Это обычная практика. Пример даже исключением сложно назвать. Интересно на что живет этот ИП?
UFO landed and left these words here
1) Как минимум необходимо уведомить об обработке ПДн. Сделать это можно путем размещения под формой заказа прямой ссылки на Политику конфиденциальности или Оферту на дистанционную продажу товара (второй способ слабее первого), которая должна содержать ссылку на Политику конфиденциальности.
Сделки на основе оферты на сайте интернет-магазина заключаются в письменной форме. Письменная форма считается соблюденной в случае, когда условия сделки изложены письменно, а не проговариваются устно.
Включение в СМС или имэйл не верно, т.к. уведомление должно предшествовать обработке.
2) Нужно, если данные цели выходят за рамки исполнения договора.
UFO landed and left these words here
UFO landed and left these words here
Есть определенные допущения, которые учитываются при оформлении сделок. Поэтому идентификация по СМС используется повсеместно.
Эти допущения отражены в подзаконных актах? Если нет, то оператору обработки ПД не позавидуешь, когда и если найдётся умник, который оспорит подобное подтверждение. Это просто вопрос времени.
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
Location
Россия
Website
www.it-lex.ru
Employees
2–10 employees
Registered