В последнее время на Хабре все чаще стали появляться статьи на благодатную нынче тему защиты персональных данных (ПДн). Это понятно — тема действительно актуальная, а тут еще и новые поправки к закону приняли. Непонятно другое — ошибки в пояснениях требований закона и предлагаемых решений не только не встречают возражений у хабровчан, но и всячески одобряются и поддерживаются.
Боюсь показаться Д'Артаньяном, но все же считаю необходимым прояснить отдельные моменты, исходя из собственного опыта и знаний (первое чтение закона: лето, 2009 г., с тех пор участвовал в работах по приведению обработки ПДн в соответствие требованиям ФЗ, активно мониторю соответствующие ресурсы на предмет новостей, изменений и обсуждений специалистов по данной теме).
В частности, некоторые замечания, касательно недавней статьи «Что дает обычному человеку Федеральный Закон №152 О персональных данных?», насколько я понял, не озвученные в комментариях.
Итак:
Цитата: "Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указаны в статье 6 федерального закона"
Немного не так. Во-первых, в ст. 6 указаны случаи, когда согласие субъекта вовсе не требуется (их аж 10 пунктов). В пп.1 п.1 статьи 6 устанавливает, что обработка ПДн субъекта может производиться с его согласия, но без уточнения, что «письменное». И это важно. Случаи, когда согласие должно быть именно письменным в законе указаны прямо, это:
— помещение ПДн субъекта в общедоступные источники (ст.8);
— обработка специальных категорий (ст. 10);
— обработка биометрических ПДн (ст. 11);
— трансграничная передача ПДн в страны не обеспечивающие адекватной защиты и не ратифицировавших Евроконвенцию (ст. 12);
— принятие решений, порождающих юридические последствия в отношении субъекта ПДн на основании исключительно автоматизированной обработки (ст. 16).
Все. В остальных случаях согласие может быть дано в любой форме, главное, чтобы Оператор смог доказать, что оно действительно было получено (ст. 9 п.1 «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом»). Например, по информации на сайте Роскомнадзора, проверку успешно прошла организация, на сайте которой перед вводом ПДн пользователь должен был нажать на кнопку «Согласен» под вопросом о предоставлении им своего согласия.
Далее: "Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете."
Спорное утверждения. Если смотреть конкретно на 152-ФЗ, то в нем ничего не говорится о невозможности отказать субъекту в оказании услуги при непредоставлении ПДн. Да, ПДн, которые ему кажутся избыточными, он может не указывать и да, он может обратиться за помощью в Уполномоченный орган (читай: Роскомнадзор). Но, позвольте, давать или не давать Вам карту постоянного покупателя на Ваших условиях будет решать магазин и вряд ли тщательно проинструктированного сотрудника убедит Ваша юридическая грамотность.
Случай из жизни так просто ни в какие ворота не лезет. Давайте расширим тогда применение, «Я пришел в больницу, мне сказали стоять в длинной очереди, так я написал им Запрос и главврач с тех пор лично меряет мне температуру!». Не говоря уже о том, что заработавший интернет никак не влияет на необходимость предоставления ответа провайдером, такое средство может сработать только очень большим чудом.
Есть еще один нюанс: на просторах Интернета встречал мнение специалистов, что законность проверки Роскомнадзора в ответ на обращения субъектов может быть оспорена и вот на каком основании. Проверки производятся в соответствии с Административным регламентом, принятым Роскомнадзором в соответствии с ФЗ N 294-ФЗ от 26.12.2008 г., в котором, в частности, определены всего основания для таких проверок. Только вот незадача, в законе их всего три, а в Регламенте — пять. Из «законных»:
а) возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера;
б) причинение вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также возникновение чрезвычайных ситуаций природного и техногенного характера;
в) нарушение прав потребителей (в случае обращения граждан, права которых нарушены).
Ни о каких нарушениях прав субъектов нет ни слова. Таким образом у пресловутого магазина или провайдера открывается вполне себе возможность отказаться от участия в столь интересном мероприятии как «внеплановая проверка» (если, конечно, есть толковый юрист).
В комментариях прозвучал вопрос, касательно квитанций за квартплату. Связка «Ф.И.О. + адрес места жительства», а тем более "+ телефон" и, возможно "+ задолженность по оплате" без сомнения являются персональными данными. Причем, ни в коей мере не общедоступными. Коммунальщики выкручиваются по разному. Распространенная практика приведения в соответствие — сбор согласий на передачу в открытом виде (как раньше, но по закону) и рассылка в конвертах (оплата конвертов включается в счет). Читал про случай, когда жильцам разослали анкеты с вопросом, какой из приведенных способов они считают предпочтительным.
Ну и напоследок, что же ИМХО дает ФЗ-152 простым гражданам. Во-первых, плановые проверки организаций идут и причем весьма активно. А это значит, что организациям приходится приводить процесс обработки в какой-никакой, а порядок. Например, появилась информация, о признании передачи банками информации в коллекторские агентства незаконной.
Во-вторых, если вам это интересно, то можно обратиться с запросом в организацию, где, как вы считаете, обрабатываются ваши персональные данные, ознакомиться с ними и, при необходимости, потребовать их уточнения, прекращения обработки и т.д., хотя и тут есть свои нюансы, заслуживающие отдельной статьи.
Вот, собственно, и все, что приходит в голову. Возможно, что-то пропустил, но привык смотреть на проблему с позиции организации. С учетом вышеизложенного, остается пожелать поднимать собственную юридическую грамотность, не бояться спрашивать при случае «а с какой целью будет использоваться мой номер телефона?» и внимательно читать, что и где вы подписываете (согласия вида «я Ф.И.О. даю свое согласие на любые действия с любыми моими персональными данными и разрешаю считать их общедоступными», увы, не редкость).
Боюсь показаться Д'Артаньяном, но все же считаю необходимым прояснить отдельные моменты, исходя из собственного опыта и знаний (первое чтение закона: лето, 2009 г., с тех пор участвовал в работах по приведению обработки ПДн в соответствие требованиям ФЗ, активно мониторю соответствующие ресурсы на предмет новостей, изменений и обсуждений специалистов по данной теме).
В частности, некоторые замечания, касательно недавней статьи «Что дает обычному человеку Федеральный Закон №152 О персональных данных?», насколько я понял, не озвученные в комментариях.
Итак:
Цитата: "Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указаны в статье 6 федерального закона"
Немного не так. Во-первых, в ст. 6 указаны случаи, когда согласие субъекта вовсе не требуется (их аж 10 пунктов). В пп.1 п.1 статьи 6 устанавливает, что обработка ПДн субъекта может производиться с его согласия, но без уточнения, что «письменное». И это важно. Случаи, когда согласие должно быть именно письменным в законе указаны прямо, это:
— помещение ПДн субъекта в общедоступные источники (ст.8);
— обработка специальных категорий (ст. 10);
— обработка биометрических ПДн (ст. 11);
— трансграничная передача ПДн в страны не обеспечивающие адекватной защиты и не ратифицировавших Евроконвенцию (ст. 12);
— принятие решений, порождающих юридические последствия в отношении субъекта ПДн на основании исключительно автоматизированной обработки (ст. 16).
Все. В остальных случаях согласие может быть дано в любой форме, главное, чтобы Оператор смог доказать, что оно действительно было получено (ст. 9 п.1 «Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом»). Например, по информации на сайте Роскомнадзора, проверку успешно прошла организация, на сайте которой перед вводом ПДн пользователь должен был нажать на кнопку «Согласен» под вопросом о предоставлении им своего согласия.
Далее: "Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете."
Спорное утверждения. Если смотреть конкретно на 152-ФЗ, то в нем ничего не говорится о невозможности отказать субъекту в оказании услуги при непредоставлении ПДн. Да, ПДн, которые ему кажутся избыточными, он может не указывать и да, он может обратиться за помощью в Уполномоченный орган (читай: Роскомнадзор). Но, позвольте, давать или не давать Вам карту постоянного покупателя на Ваших условиях будет решать магазин и вряд ли тщательно проинструктированного сотрудника убедит Ваша юридическая грамотность.
Случай из жизни так просто ни в какие ворота не лезет. Давайте расширим тогда применение, «Я пришел в больницу, мне сказали стоять в длинной очереди, так я написал им Запрос и главврач с тех пор лично меряет мне температуру!». Не говоря уже о том, что заработавший интернет никак не влияет на необходимость предоставления ответа провайдером, такое средство может сработать только очень большим чудом.
Есть еще один нюанс: на просторах Интернета встречал мнение специалистов, что законность проверки Роскомнадзора в ответ на обращения субъектов может быть оспорена и вот на каком основании. Проверки производятся в соответствии с Административным регламентом, принятым Роскомнадзором в соответствии с ФЗ N 294-ФЗ от 26.12.2008 г., в котором, в частности, определены всего основания для таких проверок. Только вот незадача, в законе их всего три, а в Регламенте — пять. Из «законных»:
а) возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера;
б) причинение вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, безопасности государства, а также возникновение чрезвычайных ситуаций природного и техногенного характера;
в) нарушение прав потребителей (в случае обращения граждан, права которых нарушены).
Ни о каких нарушениях прав субъектов нет ни слова. Таким образом у пресловутого магазина или провайдера открывается вполне себе возможность отказаться от участия в столь интересном мероприятии как «внеплановая проверка» (если, конечно, есть толковый юрист).
В комментариях прозвучал вопрос, касательно квитанций за квартплату. Связка «Ф.И.О. + адрес места жительства», а тем более "+ телефон" и, возможно "+ задолженность по оплате" без сомнения являются персональными данными. Причем, ни в коей мере не общедоступными. Коммунальщики выкручиваются по разному. Распространенная практика приведения в соответствие — сбор согласий на передачу в открытом виде (как раньше, но по закону) и рассылка в конвертах (оплата конвертов включается в счет). Читал про случай, когда жильцам разослали анкеты с вопросом, какой из приведенных способов они считают предпочтительным.
Ну и напоследок, что же ИМХО дает ФЗ-152 простым гражданам. Во-первых, плановые проверки организаций идут и причем весьма активно. А это значит, что организациям приходится приводить процесс обработки в какой-никакой, а порядок. Например, появилась информация, о признании передачи банками информации в коллекторские агентства незаконной.
Во-вторых, если вам это интересно, то можно обратиться с запросом в организацию, где, как вы считаете, обрабатываются ваши персональные данные, ознакомиться с ними и, при необходимости, потребовать их уточнения, прекращения обработки и т.д., хотя и тут есть свои нюансы, заслуживающие отдельной статьи.
Вот, собственно, и все, что приходит в голову. Возможно, что-то пропустил, но привык смотреть на проблему с позиции организации. С учетом вышеизложенного, остается пожелать поднимать собственную юридическую грамотность, не бояться спрашивать при случае «а с какой целью будет использоваться мой номер телефона?» и внимательно читать, что и где вы подписываете (согласия вида «я Ф.И.О. даю свое согласие на любые действия с любыми моими персональными данными и разрешаю считать их общедоступными», увы, не редкость).