Ответ_РКН_по_трансграничке_в_мессенджерах.pdf
367.1 KB
Теперь и РКН порадовал аналогичным ответом про трансграничную передачу ПДн пользователям мессенджеров на территории РФ. Тоже считают, что это не ТГП. Конечно с учетом всех возможных ограничений и условий.
Спасибо Анастасии @Nastya77854 за предоставленный ответ.
Остается только осторожно радоваться, что одним риском стало меньше.
#Позиция_РКН #Трансграничная_передача
Спасибо Анастасии @Nastya77854 за предоставленный ответ.
Остается только осторожно радоваться, что одним риском стало меньше.
#Позиция_РКН #Трансграничная_передача
И снова про трансграничную передачу. И мессенджеры.
Хочу высказать свое мнение по следам ответов Минцифры и РКН. Их признание, что оператор передавая ПДн субъекту-россиянину не совершает ТГП беусловно прекрасно. И сильно облегчает жизнь простому бизнесу ( я не говорю про тех, кому было запрещено их использовать в силу деятельности - финансы, госкорпорации, госорганы). Но технически все не так просто. Для примера возьму популярный из-за средств автоматизации Telegram.
В этом прекрасном, но безусловно иностранном мессенджере есть два способа обработки ПДн: когда представитель оператора сам вступает в контакт с субъектом и пишет что-то, и когда есть некий бот, с которым работает физическое лицо. Любая из схем согласно документации Tg исключительно клиент-серверная. Т.е. оператор и субъект передают данные только через сервера Телеграм. Они там сохраняются и далее предоставляются получателю. Обработка иностранным лицом на территории иностранного государства есть. Хотя логически данные от российского лица передаются российскому лицу. О чем и говорят регуляторы.
Почему могло возникнуть такое мнение?
Тут можно только гадать. Не знать об архитектуре мессенджера они не могли. Вряд ли считают, что технология peer-to-peer, мертвая со времен оригинального Skype, вдруг там применяется. Вероятно есть какое то сочетание факторов - распространенность среди бизнеса, отсутствие отечественных альтернатив, применение формального подхода - есть CoreAPI (технология Tg, позволяющая запускать боты на собственных серверах, но которая не меняет схему передачи данных), есть российские пользователи и вроде все у нас.
Что теперь делать?
Ну как минимум не собирать данные через иностранные мессенджеры. Логика выше - данные пользователь сначала отправил в Tg на обработку. Слишком серьезное наказание. 1-6 млн. только за первичное нарушение. Доказывается элементарно. И я бы не стал строить ключевые сервисы на базе мессенджеров собственной реализации. Скорее всего как только разовьют сервис Макс о старых выводах забудут. Тут проще использовать отечественные коммуникационные платформы, которые реализуют логику общения на собственных мощностях и подключают мессенджеры в качестве витрин по желанию клиента. Но, повторюсь, сбор и тут крайне рискован.
Хочу высказать свое мнение по следам ответов Минцифры и РКН. Их признание, что оператор передавая ПДн субъекту-россиянину не совершает ТГП беусловно прекрасно. И сильно облегчает жизнь простому бизнесу ( я не говорю про тех, кому было запрещено их использовать в силу деятельности - финансы, госкорпорации, госорганы). Но технически все не так просто. Для примера возьму популярный из-за средств автоматизации Telegram.
В этом прекрасном, но безусловно иностранном мессенджере есть два способа обработки ПДн: когда представитель оператора сам вступает в контакт с субъектом и пишет что-то, и когда есть некий бот, с которым работает физическое лицо. Любая из схем согласно документации Tg исключительно клиент-серверная. Т.е. оператор и субъект передают данные только через сервера Телеграм. Они там сохраняются и далее предоставляются получателю. Обработка иностранным лицом на территории иностранного государства есть. Хотя логически данные от российского лица передаются российскому лицу. О чем и говорят регуляторы.
Почему могло возникнуть такое мнение?
Тут можно только гадать. Не знать об архитектуре мессенджера они не могли. Вряд ли считают, что технология peer-to-peer, мертвая со времен оригинального Skype, вдруг там применяется. Вероятно есть какое то сочетание факторов - распространенность среди бизнеса, отсутствие отечественных альтернатив, применение формального подхода - есть CoreAPI (технология Tg, позволяющая запускать боты на собственных серверах, но которая не меняет схему передачи данных), есть российские пользователи и вроде все у нас.
Что теперь делать?
Ну как минимум не собирать данные через иностранные мессенджеры. Логика выше - данные пользователь сначала отправил в Tg на обработку. Слишком серьезное наказание. 1-6 млн. только за первичное нарушение. Доказывается элементарно. И я бы не стал строить ключевые сервисы на базе мессенджеров собственной реализации. Скорее всего как только разовьют сервис Макс о старых выводах забудут. Тут проще использовать отечественные коммуникационные платформы, которые реализуют логику общения на собственных мощностях и подключают мессенджеры в качестве витрин по желанию клиента. Но, повторюсь, сбор и тут крайне рискован.
🔥4
ПДн не ПНД
Video
Прислали видео из одного популярного канала в Tg. Прекрасная иллюстрация до чего довели страну демократы согласия. Но я понимаю, если в магазин прибегает взмыленный клиент и вопит «Хочу вашу акцию, вот мои персональные данные, дайте подписать согласие». Простым людям простительно не сильно разбираться в основаниях обработки ПДн, это могут «не только лишь все» ©. Но когда дичь про согласия начинает нести юрист и обещает еще что с ним проблем не будет…
Для начала – а ситуация с парнем, который взял контакт девушки в мессенджере и написал ей там, она вообще про ФЗ152? Вот как раз нет. Как гласит п.1 ч.2 ст.1 ФЗ152 – все что про ПДн в личных и семейных нуждах, оно не про этот закон. Конечно, если ничьи права не нарушаются.
Ну хорошо, натянем хорошенько сову на глобус и представим себе девушку в роли оператора ПДн, которая обрабатывает их в целях оказания услуг платного общения. Парень увидел все предупреждения, написал, заплатил. И? Причем тут согласия? П.5 ч.1 ст.6 – договорные отношения в полный рост. Прекрасное основание для обработки. А юрист с экрана выглядит… Нелепо. Тем более когда обещает, что с ним таких проблем не будет. Ага.
На самом деле то проблемы могли быть у девушки, натянись сова на глобус. Но по другим причинам.
Что точно можно сказать – в наличии горячо любимый сбор ПДн с использованием иностранных ресурсов. Парень наверняка бы что то поведал новое про себя. КоАП 13.11, ч. 8 – 30-50 тысяч рублей если частное лицо, и от 1 до 6 млн если признают юридическим. Отсутствие ссылки на политику обработки ПДн в месте сбора ПДн уже мелочь – ч.3 ст.13.11 предусматривает немного. 1.5-3 тысячи для частников и до 50 тысяч остальным. Наверняка девушка о себе ничего и не рассказывала РКН как об операторе. Ч.10 ст.13.11 – граждане платят 5-10 т.р. (к вопросу о том, кто может быть оператором, граждане по КоАП тоже операторы), остальные 100-300 т.р.
Но в целом, чем больше таких вот юристов в роликах, тем ценнее я, как специалист :)
Для начала – а ситуация с парнем, который взял контакт девушки в мессенджере и написал ей там, она вообще про ФЗ152? Вот как раз нет. Как гласит п.1 ч.2 ст.1 ФЗ152 – все что про ПДн в личных и семейных нуждах, оно не про этот закон. Конечно, если ничьи права не нарушаются.
Ну хорошо, натянем хорошенько сову на глобус и представим себе девушку в роли оператора ПДн, которая обрабатывает их в целях оказания услуг платного общения. Парень увидел все предупреждения, написал, заплатил. И? Причем тут согласия? П.5 ч.1 ст.6 – договорные отношения в полный рост. Прекрасное основание для обработки. А юрист с экрана выглядит… Нелепо. Тем более когда обещает, что с ним таких проблем не будет. Ага.
На самом деле то проблемы могли быть у девушки, натянись сова на глобус. Но по другим причинам.
Что точно можно сказать – в наличии горячо любимый сбор ПДн с использованием иностранных ресурсов. Парень наверняка бы что то поведал новое про себя. КоАП 13.11, ч. 8 – 30-50 тысяч рублей если частное лицо, и от 1 до 6 млн если признают юридическим. Отсутствие ссылки на политику обработки ПДн в месте сбора ПДн уже мелочь – ч.3 ст.13.11 предусматривает немного. 1.5-3 тысячи для частников и до 50 тысяч остальным. Наверняка девушка о себе ничего и не рассказывала РКН как об операторе. Ч.10 ст.13.11 – граждане платят 5-10 т.р. (к вопросу о том, кто может быть оператором, граждане по КоАП тоже операторы), остальные 100-300 т.р.
Но в целом, чем больше таких вот юристов в роликах, тем ценнее я, как специалист :)
👏3😁3
Forwarded from КиберТопор
Стало известно, что команда мессенджера намерена выполнить все требования закона «о приземлении» и открыть полноценный филиал.
🕹КиберТопор — Подписаться
Please open Telegram to view this post
VIEW IN TELEGRAM
Скоро сентябрь. И вот такое творчество наконец-то уйдет в прошлое. Никто не сможет (хочется верить) на основании обычного договора подписать меня на тысячи рассылок и спамить мегатоннами рекламы. Или продавать мои контакты. Но это радость простого человека. Которому, кстати, РКН всего год назад заявил, что такой вот договор нормально и поводов возбуждаться нет. Как ни жалуйся.
Но что делать очень ответственному за обработку персональных данных?
Смотрим в ч.1 ст.9 ФЗ152, которое вступит в силу с 1 сентября:
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.»
Тут сразу можно выделить два направления, в которые придется копать:
1. Документы, которые подписываются. Нужна инвентаризация или проверка документов, где могут быть вшиты зачем-то согласия на обработку персональных данных. Там где согласия «на всякий случай» нужно будет их удалить, но обязательно вписать условия работы с ПДн. Договор сам по себе основание для обработки. А вот те согласия, которые у нас оформляются по закону (на получение рекламы, на спецкатегории, на биометрию и т.п.) думать как оформлять отдельно. Как придумается, бежать собирать с действующих. Прерывать же бизнес-процесс никто не станет?
2. Информация и документы, которые подтверждаются. А тут все веселее. Если договора с вшитыми согласиями встречаются не часто, то формы на сайтах или приложениях с совмещенными «Подтверждаю ознакомление с … и даю согласие на …» сплошь и рядом. И их надо будет «расшивать». Т.е. провести инвентаризацию, поставить задачу, выделить ресурсы, доработать. И мало разделить такие формы (вот маркетинг будет ругаться), так надо еще не сломать хранение подтверждений факта получения согласий.
И да, не забываем про трудоустройство. Анкеты кандидатов, если они вдруг на бумаге или содержат общую кнопку подтверждаю и соглашаюсь, тоже должны разделиться.
Но что делать очень ответственному за обработку персональных данных?
Смотрим в ч.1 ст.9 ФЗ152, которое вступит в силу с 1 сентября:
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.»
Тут сразу можно выделить два направления, в которые придется копать:
1. Документы, которые подписываются. Нужна инвентаризация или проверка документов, где могут быть вшиты зачем-то согласия на обработку персональных данных. Там где согласия «на всякий случай» нужно будет их удалить, но обязательно вписать условия работы с ПДн. Договор сам по себе основание для обработки. А вот те согласия, которые у нас оформляются по закону (на получение рекламы, на спецкатегории, на биометрию и т.п.) думать как оформлять отдельно. Как придумается, бежать собирать с действующих. Прерывать же бизнес-процесс никто не станет?
2. Информация и документы, которые подтверждаются. А тут все веселее. Если договора с вшитыми согласиями встречаются не часто, то формы на сайтах или приложениях с совмещенными «Подтверждаю ознакомление с … и даю согласие на …» сплошь и рядом. И их надо будет «расшивать». Т.е. провести инвентаризацию, поставить задачу, выделить ресурсы, доработать. И мало разделить такие формы (вот маркетинг будет ругаться), так надо еще не сломать хранение подтверждений факта получения согласий.
И да, не забываем про трудоустройство. Анкеты кандидатов, если они вдруг на бумаге или содержат общую кнопку подтверждаю и соглашаюсь, тоже должны разделиться.
🔥2❤1👍1
Очень интересный и всегда актуальный вопрос - кто оператор, а кто обработчик?
И ответ на вопрос часто упрощает жизнь. Или усложняет.
Итак, оператор согласно определению это тот, кто самостоятельно определяет цели обработки или для обработки есть требования закона. Часто сталкиваюсь (до сих пор) с мнением, что юридическое лицо обрабатывает только ПДн работников, по этому оно не оператор. Увы, это ошибка. Любая чуть более сложная организация, чем точка по продаже семечек на рынке, сталкивается с наймом. Это значит обработка ПДн соискателей (а там где соискатели, недалеко до их руководителей). Не забываем про родственников у работников, которые болеют, хотят подарков на новый год и разных материальных выплат. А ведение хозяйственной деятельности? Там заключение договоров, получение счетов, актов и т.п. В них есть ПДн. Их тоже нужно обрабатывать.
А чем обработчик отличается от оператора? Главное, это временная роль и в отношении части процессов обработки ПДн. Любой оператор может в каком-то процессе стать обработчиком. Потому что попадет в зависимость от другого оператора - он даст данные и скажет что с ними делать, как делать. Вся разница в наличии или отсутствии свободы выбора целей при отношениях с другими операторами.
Когда встает вопрос, заключать или нет с контрагентом поручение на обработку, всегда нужно задать вопрос - он сам с ними будет что-то делать, они ему нужны чтобы работать с субъектами ПДн вне рамок предмета договора? А тут возможны только варианты, когда есть прямой договор с субъектом (ну или выгодоприобретение и прочее по п.5 ч.1 ст.6 ФЗ152), когда есть требование закона или законные условия (научная работа, сми).
#Поручение #Оператор #Обработчик
И ответ на вопрос часто упрощает жизнь. Или усложняет.
Итак, оператор согласно определению это тот, кто самостоятельно определяет цели обработки или для обработки есть требования закона. Часто сталкиваюсь (до сих пор) с мнением, что юридическое лицо обрабатывает только ПДн работников, по этому оно не оператор. Увы, это ошибка. Любая чуть более сложная организация, чем точка по продаже семечек на рынке, сталкивается с наймом. Это значит обработка ПДн соискателей (а там где соискатели, недалеко до их руководителей). Не забываем про родственников у работников, которые болеют, хотят подарков на новый год и разных материальных выплат. А ведение хозяйственной деятельности? Там заключение договоров, получение счетов, актов и т.п. В них есть ПДн. Их тоже нужно обрабатывать.
А чем обработчик отличается от оператора? Главное, это временная роль и в отношении части процессов обработки ПДн. Любой оператор может в каком-то процессе стать обработчиком. Потому что попадет в зависимость от другого оператора - он даст данные и скажет что с ними делать, как делать. Вся разница в наличии или отсутствии свободы выбора целей при отношениях с другими операторами.
Когда встает вопрос, заключать или нет с контрагентом поручение на обработку, всегда нужно задать вопрос - он сам с ними будет что-то делать, они ему нужны чтобы работать с субъектами ПДн вне рамок предмета договора? А тут возможны только варианты, когда есть прямой договор с субъектом (ну или выгодоприобретение и прочее по п.5 ч.1 ст.6 ФЗ152), когда есть требование закона или законные условия (научная работа, сми).
#Поручение #Оператор #Обработчик
🔥3❤1
Продолжая тему оператор vs обработчик. Отличие не только в том, кто определяет цели обработки, но и кто определяет основания для обработки. Вернее не так, какие основания определены для каждой роли. И тут обработчик выявляется легко - у него единственное основание это согласие (хотя минимум одно исключение есть, необычайное и удивительное, как и все в законах о ПДн). Причем согласие должен получать оператор. Тот самый, который с данными работает и по закону, и по договору.
Но часты случаи, когда оператор передает ПДн другому оператору. Самое очевидное - работодатель отдает сведения в Налоговую, Соцстрах и т.п. Менее очевидное, когда работодатель передает данные работников для их обучения по охране труда, по медосмотрам, для брони гостиниц и покупок билетов. Это все те самые случаи обработки в силу закона. Да, гостиницам и транспортным компаниям (не агрегаторам - это важно!) нужны данные пользователей их услуг в силу регуляции их деятельности. Тут согласия не оформляются, не смотря на всю мощь и силу ст. 88 ТК РФ.
Но! Нельзя просто так взять и передать персональные данные™. При отношениях оператор-оператор действует ч.3 и ч.4 ст.18 ФЗ152 - или один или другой оператор обязаны уведомить об такой вот передаче и обработке. Если нет требований закона (кажется, про налоговую никому не надо рассказывать). Все как обычно. Ну и кто это должен сделать предполагается, что операторы разберутся сами. Хорошо бы, но не всегда получается определить что вообще и кто должен... :)
#Оператор #Передача_ПДн #ФЗ152
Но часты случаи, когда оператор передает ПДн другому оператору. Самое очевидное - работодатель отдает сведения в Налоговую, Соцстрах и т.п. Менее очевидное, когда работодатель передает данные работников для их обучения по охране труда, по медосмотрам, для брони гостиниц и покупок билетов. Это все те самые случаи обработки в силу закона. Да, гостиницам и транспортным компаниям (не агрегаторам - это важно!) нужны данные пользователей их услуг в силу регуляции их деятельности. Тут согласия не оформляются, не смотря на всю мощь и силу ст. 88 ТК РФ.
Но! Нельзя просто так взять и передать персональные данные™. При отношениях оператор-оператор действует ч.3 и ч.4 ст.18 ФЗ152 - или один или другой оператор обязаны уведомить об такой вот передаче и обработке. Если нет требований закона (кажется, про налоговую никому не надо рассказывать). Все как обычно. Ну и кто это должен сделать предполагается, что операторы разберутся сами. Хорошо бы, но не всегда получается определить что вообще и кто должен... :)
#Оператор #Передача_ПДн #ФЗ152
👍2
Два приказа ценой от 50 до 100 тысяч рублей.
Постановление Правительства 1119, которое про требования к защите персональных данных при обработке в ИСПДн, обязует операторов выпускать 2 приказа.
1. Назначать ответственных за защиту персональных данных в ИСПДн с уровнем защищенности 3 и выше. Отдельный вопрос, как это защищает данные, но тем не менее.
2. В целом это не приказ, конечно же. Постановление говорит, что перечень лиц, допущенных к обработке ПДн в системе в связи с должностными обязанностями, должен утверждаться руководителем организации. Еще тогда, в 2012м, на практике было понятно, что это нереально даже для не очень больших организаций - утверждать у генерального директора каждый доступ рядового работника в систему. По этому все тихо сошлись на составлении списка должностей организации, которым нужно работать с ПДн, и утверждении его приказом.
И что самое веселое - КоАП ст. 13.12 в ч.6 относит это вот к требованиям по защите информации и оценивает отсутствие приказов до 100 тысяч рублей. За каждый. А приказов по сути должно быть ровно по количеству подпадающих ИСПДн (в идеале). А еще недавно было на порядок дешевле не выполнять такие сугубо бюрократические меры защиты.
#ИСПДн #Персональные_данные #КоАП #ПП1119 #Проблемы_ФЗ152
Постановление Правительства 1119, которое про требования к защите персональных данных при обработке в ИСПДн, обязует операторов выпускать 2 приказа.
1. Назначать ответственных за защиту персональных данных в ИСПДн с уровнем защищенности 3 и выше. Отдельный вопрос, как это защищает данные, но тем не менее.
2. В целом это не приказ, конечно же. Постановление говорит, что перечень лиц, допущенных к обработке ПДн в системе в связи с должностными обязанностями, должен утверждаться руководителем организации. Еще тогда, в 2012м, на практике было понятно, что это нереально даже для не очень больших организаций - утверждать у генерального директора каждый доступ рядового работника в систему. По этому все тихо сошлись на составлении списка должностей организации, которым нужно работать с ПДн, и утверждении его приказом.
И что самое веселое - КоАП ст. 13.12 в ч.6 относит это вот к требованиям по защите информации и оценивает отсутствие приказов до 100 тысяч рублей. За каждый. А приказов по сути должно быть ровно по количеству подпадающих ИСПДн (в идеале). А еще недавно было на порядок дешевле не выполнять такие сугубо бюрократические меры защиты.
#ИСПДн #Персональные_данные #КоАП #ПП1119 #Проблемы_ФЗ152
👍5
Forwarded from 🔥Full-Time Trading
❗️️🇷🇺 Хакеры сообщили о взломе систем $AFLT «Аэрофлота». По их заявлениям, операция длилась около года и завершилась якобы полным уничтожением внутренней ИТ-инфраструктуры авиакомпании. По их данным, уничтожено порядка 7000 физических и виртуальных серверов, получено более 20 Тб данных — СМИ
👉 FTT - подписаться
👉 FTT - подписаться
😨1
🔥Full-Time Trading
❗️️🇷🇺 Хакеры сообщили о взломе систем $AFLT «Аэрофлота». По их заявлениям, операция длилась около года и завершилась якобы полным уничтожением внутренней ИТ-инфраструктуры авиакомпании. По их данным, уничтожено порядка 7000 физических и виртуальных серверов…
Масштаб конечно впечатляет. Каким-то образом уничтожили физические сервера. Украли террабайты данных. Многие каналы пишут про то, что данные клиентов тоже украдены. Кажется, это будет первый случай применения новых статей про утечки ПДн. Хочется только пожелать Аэрофлоту удачи.
Обработка по поручению. Грусть формулировок
Наш горячо любимый ФЗ152 разрешает передавать персональные данные на обработку подрядчикам, называя тех лицами, осуществляющими обработку персональных данных по поручению оператора. Основание здесь единственное и прямо указано в ч.3 ст.6 ФЗ152 :
И печаль в том, что не указано с какого именно согласия. И вот отсюда начинается полет фантазии. Самое частое, что я вижу: "Раз поручение с согласия, значит согласие должно быть на поручение". Более экзотический формат: "Согласие на привлечение". Но в реальности все чуть-чуть по другому.
Что такое поручение?
В ГК РФ есть целая глава под номером 49 которая так и называется, "Поручение". В ст.971 раскрывается суть: это, во-первых, договор между двумя сторонами, во вторых он касается отношений двух юридических лиц (если чуть упрощать), а в-третьих, это делегирование прав и обязанностей от одной стороны другой.
А имеется у субъекта?
Верно, у него есть только персональные данные, право на конфиденциальность и отношения с оператором. И нет права влиять на деятельность оператора. Т.е. согласиться на обработку персональных данных он может, а вот разрешить или запретить заключать договор поручения - нет.
Складываем вместе.
Если оператор вдруг решает отдать обработку ПДн в рамках процесса третьему лицу (ему так захотелось), то начинает работать ч.3 ст.6. Оператор заключает поручение на обработку ПДн с подрядчиком, а с субъекта собирает согласие на передачу и обработку в адрес подрядчика. Конечно же, согласие оформляется отдельно от остальных документов и информации.
И никаких согласий на поручение.
Кстати, еще одна логическая конструкция в пользу такой схемы: невозможно определить действие "поручить" как операцию обработки, на которую мог бы дать согласие субъект по п.1 ч.1 ст.6
Наш горячо любимый ФЗ152 разрешает передавать персональные данные на обработку подрядчикам, называя тех лицами, осуществляющими обработку персональных данных по поручению оператора. Основание здесь единственное и прямо указано в ч.3 ст.6 ФЗ152 :
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
И печаль в том, что не указано с какого именно согласия. И вот отсюда начинается полет фантазии. Самое частое, что я вижу: "Раз поручение с согласия, значит согласие должно быть на поручение". Более экзотический формат: "Согласие на привлечение". Но в реальности все чуть-чуть по другому.
Что такое поручение?
В ГК РФ есть целая глава под номером 49 которая так и называется, "Поручение". В ст.971 раскрывается суть: это, во-первых, договор между двумя сторонами, во вторых он касается отношений двух юридических лиц (если чуть упрощать), а в-третьих, это делегирование прав и обязанностей от одной стороны другой.
А имеется у субъекта?
Верно, у него есть только персональные данные, право на конфиденциальность и отношения с оператором. И нет права влиять на деятельность оператора. Т.е. согласиться на обработку персональных данных он может, а вот разрешить или запретить заключать договор поручения - нет.
Складываем вместе.
Если оператор вдруг решает отдать обработку ПДн в рамках процесса третьему лицу (ему так захотелось), то начинает работать ч.3 ст.6. Оператор заключает поручение на обработку ПДн с подрядчиком, а с субъекта собирает согласие на передачу и обработку в адрес подрядчика. Конечно же, согласие оформляется отдельно от остальных документов и информации.
И никаких согласий на поручение.
Кстати, еще одна логическая конструкция в пользу такой схемы: невозможно определить действие "поручить" как операцию обработки, на которую мог бы дать согласие субъект по п.1 ч.1 ст.6
👍1
Проблема поручений и согласий.
С одной стороны, схема оператор-обработчик хорошо ложится на ситуации, когда данные передаются, обрабатываются, цель достигается, обработка прекращается. Но не менее реже встречается обработка по поручению, когда подрядчик поддерживает ИСПДн - сайт, систему управления отношения с клиентами и т.п. И вот с ней есть проблема. И даже не одна
1. Не часто, но подрядчики меняются - одни уходят, другие приходят. Или их просто становится больше. А в ИСПДн накоплены мегатонны клиентских данных. Можно разлогинить всех и/или собирать согласия при входе. Но это в лучшем случае охватит половину субъектов, которые продолжают пользовать сервис (кто перестали, не захотели соглашаться или прошли по другим каналам никак и не затронет). А с остальными как быть? По сути их обработка подрядчиком будет не очень законна. Пока из рабочих вариантов тут выводить список третьих лиц и обязать субъекта самостоятельно отслеживать изменения в этом списке. Решение на грани, если чуть-чуть забыть про некоторые обороты ч.1 ст.9 ФЗ152. Технических решений, которые бы блокировали доступ к данным в отношении которых нет согласия, я как то не видел. И даже не могу представить себе архитектуру подобного монстра.
2. Ситуация еще хуже - данные обрабатываются в системе подрядчика по поручению, а у того... Свои подрядчики по обслуживанию ИСПДн и тоже по поручению. Технически еще один "каскад согласий". Причем большой вопрос - кто их должен собирать и как обновлять.
3. И нельзя забывать, что всегда может прилететь отзыв согласия и придется тратить ресурсы на его исполнение.
Ситуацию можно исправить, если законодательно определить границы исполнения договоренностей с субъектом. Использовать перечисление в оферте/договоре третьих лиц, условия передачи, обязательства, заключение поручений но без всяких согласий. Де-факто оно так и происходит. Но де-юре мы живем в законодательных парадигмах прошлого века.
С одной стороны, схема оператор-обработчик хорошо ложится на ситуации, когда данные передаются, обрабатываются, цель достигается, обработка прекращается. Но не менее реже встречается обработка по поручению, когда подрядчик поддерживает ИСПДн - сайт, систему управления отношения с клиентами и т.п. И вот с ней есть проблема. И даже не одна
1. Не часто, но подрядчики меняются - одни уходят, другие приходят. Или их просто становится больше. А в ИСПДн накоплены мегатонны клиентских данных. Можно разлогинить всех и/или собирать согласия при входе. Но это в лучшем случае охватит половину субъектов, которые продолжают пользовать сервис (кто перестали, не захотели соглашаться или прошли по другим каналам никак и не затронет). А с остальными как быть? По сути их обработка подрядчиком будет не очень законна. Пока из рабочих вариантов тут выводить список третьих лиц и обязать субъекта самостоятельно отслеживать изменения в этом списке. Решение на грани, если чуть-чуть забыть про некоторые обороты ч.1 ст.9 ФЗ152. Технических решений, которые бы блокировали доступ к данным в отношении которых нет согласия, я как то не видел. И даже не могу представить себе архитектуру подобного монстра.
2. Ситуация еще хуже - данные обрабатываются в системе подрядчика по поручению, а у того... Свои подрядчики по обслуживанию ИСПДн и тоже по поручению. Технически еще один "каскад согласий". Причем большой вопрос - кто их должен собирать и как обновлять.
3. И нельзя забывать, что всегда может прилететь отзыв согласия и придется тратить ресурсы на его исполнение.
Ситуацию можно исправить, если законодательно определить границы исполнения договоренностей с субъектом. Использовать перечисление в оферте/договоре третьих лиц, условия передачи, обязательства, заключение поручений но без всяких согласий. Де-факто оно так и происходит. Но де-юре мы живем в законодательных парадигмах прошлого века.
Каждую пятницу Т2 в ...
Как то уже за гранью добра и зла. Есть две симки у Т2, и по одной из них каждую пятницу вот такое. Причем каждый раз я подтверждал данные через Госуслуги, отправлял заявления на актуализацию. Через неделю - повтор.
Самое смешное, что в Т2 считают, что у меня может поменяться дата и место рождения...
Пожаловался в РКН. По графе "ПДн -другое". Даже интересно, что ответят.
Или надо было на связь жаловаться?
Как то уже за гранью добра и зла. Есть две симки у Т2, и по одной из них каждую пятницу вот такое. Причем каждый раз я подтверждал данные через Госуслуги, отправлял заявления на актуализацию. Через неделю - повтор.
Самое смешное, что в Т2 считают, что у меня может поменяться дата и место рождения...
Пожаловался в РКН. По графе "ПДн -другое". Даже интересно, что ответят.
Или надо было на связь жаловаться?
🤣2🤩1
Такое применение нейросетей является прекрасным примером ст. 16 ФЗ152 про принятие решений исключительно на основе автоматизированной обработки. Интересно, они собирают письменные согласия, приняли закон какой или просто не знают про эту норму? 🙄
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Коммерсантъ
Сейчас администрация Санкт-Петербурга начала тестировать для отбора кандидатов на госслужбу нейросеть, разработанную Национальным исследовательским университетом ИТМО. Пока ИИ тренируется на кандидатах в молодежный кадровый резерв.
#Ъузнал
Please open Telegram to view this post
VIEW IN TELEGRAM
😁1
Поручай но проверяй - интересная опция ч.3 ст.6 ФЗ152
Как ни странно, но закон нам дал не только удивительные формулировки, но и некоторые практические инструменты управления обработчиками. Да и в целом некоторое влияние на бизнес-процессы. Хотя тут тот самый случай, когда удивительные формулировки вместились в один флакон с возможностями.
ч.3 ст.6 кроме всего прочего гласит, что
Удивительное тут то, что в поручение включается требование к обработчику подтверждать соблюдение им норм обработки ПДн до начала обработки. Хорошо, подписались с обработчиком, попросили до обработки подтвердить его благонадежность. А он в ответ "я не оператор, уведомлений не подвал, политику не писал, про ФЗ152 в первый раз от вас услышал.". И зачем такой контрагент? Очевидно, что быстро он защиту ПДн не наладит, а работать нужно сейчас. Законодатели почему то решили, что нужно вот так, сначала выбирать а потом думать, что выбрали. Лучше все таки проверять контрагентов до заключения договора и принимать решение уже с учетом оценки соответствия.
А как ее проводить, эту оценку? Пока самое простое и реализуемое, что пришло в голову - анкетирование по разложенным на части требованиям ч.3. То, что можно проверить независимо (политику, регистрацию в РКН и т.п.); по заполнению (на достоверность) - некоторые вещи можно реализовать только в комплексе комплексе; или получив какие то выдержки в электронном виде. Особая фишка - дать примеры с намеренными ошибками и потом грустить над их копипастой в ответах. Да даже опубликованная политика обработки ПДн на сайте только про сайт или с датой -5 лет назад уже заставляет насторожиться.
Самое веселое, что видел (не считая полностью скопированной собственной политики на одном маленьком сайтике) - ответ одной широко известной в узких кругах компании с юридическим фокусом, что они операторы только в части ПДн работников.
Так что проблемы с пониманием, а тем более исполнением ФЗ152, могут быть где угодно.
Что полезного дает такой вот инструмент анкетирования - хоть какую-то достоверную информацию для оценки рисков и управления ими. Принимать решения и доносить до коллег позицию проще, имея на руках чистосердечные признания :)
#Поручение #Обработчик #ФЗ152_полезность
Как ни странно, но закон нам дал не только удивительные формулировки, но и некоторые практические инструменты управления обработчиками. Да и в целом некоторое влияние на бизнес-процессы. Хотя тут тот самый случай, когда удивительные формулировки вместились в один флакон с возможностями.
ч.3 ст.6 кроме всего прочего гласит, что
"В поручении оператора ... должна быть установлена обязанность ... по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей ...
Удивительное тут то, что в поручение включается требование к обработчику подтверждать соблюдение им норм обработки ПДн до начала обработки. Хорошо, подписались с обработчиком, попросили до обработки подтвердить его благонадежность. А он в ответ "я не оператор, уведомлений не подвал, политику не писал, про ФЗ152 в первый раз от вас услышал.". И зачем такой контрагент? Очевидно, что быстро он защиту ПДн не наладит, а работать нужно сейчас. Законодатели почему то решили, что нужно вот так, сначала выбирать а потом думать, что выбрали. Лучше все таки проверять контрагентов до заключения договора и принимать решение уже с учетом оценки соответствия.
А как ее проводить, эту оценку? Пока самое простое и реализуемое, что пришло в голову - анкетирование по разложенным на части требованиям ч.3. То, что можно проверить независимо (политику, регистрацию в РКН и т.п.); по заполнению (на достоверность) - некоторые вещи можно реализовать только в комплексе комплексе; или получив какие то выдержки в электронном виде. Особая фишка - дать примеры с намеренными ошибками и потом грустить над их копипастой в ответах. Да даже опубликованная политика обработки ПДн на сайте только про сайт или с датой -5 лет назад уже заставляет насторожиться.
Самое веселое, что видел (не считая полностью скопированной собственной политики на одном маленьком сайтике) - ответ одной широко известной в узких кругах компании с юридическим фокусом, что они операторы только в части ПДн работников.
Так что проблемы с пониманием, а тем более исполнением ФЗ152, могут быть где угодно.
Что полезного дает такой вот инструмент анкетирования - хоть какую-то достоверную информацию для оценки рисков и управления ими. Принимать решения и доносить до коллег позицию проще, имея на руках чистосердечные признания :)
#Поручение #Обработчик #ФЗ152_полезность
👍3❤1