Еще один ответ РКН, теперь уже из управления по Приволжскому Федеральному Округу. На тему трансгранична ли передача ПДн через иностранные мессенджеры.
Спасибо @anikina_mariia
Что интересно:
1. Есть определение мессенджера. Это программа для мгновенного обмена сообщениями. По этому хранения нет. Если конечно цель обмена не собирать ПДн в мессенджере. А раз нет хранения, и есть отправитель и получатель на территории России, то и трансграна нет.
В общем, как я и говорил раньше - быстро удаленное не считается обработанным :)
2. Отношения пользователя с Телеграм не являются поручением на обработку. Потому что в пользовательском соглашении Телеграм обещает, что никто доступ к сообщениям не будет иметь, кроме отправителя и получателя. По этому не поручение.
Вот очень, чрезвычайно инновационная мысль. Ее следует обдумать... Начиная с того, почему субъект, как пользователь, вдруг стал оператором, поручающим обработку...
#Позиция_РКН #Трансграничная_передача #Мессенджеры
Спасибо @anikina_mariia
Что интересно:
1. Есть определение мессенджера. Это программа для мгновенного обмена сообщениями. По этому хранения нет. Если конечно цель обмена не собирать ПДн в мессенджере. А раз нет хранения, и есть отправитель и получатель на территории России, то и трансграна нет.
В общем, как я и говорил раньше - быстро удаленное не считается обработанным :)
2. Отношения пользователя с Телеграм не являются поручением на обработку. Потому что в пользовательском соглашении Телеграм обещает, что никто доступ к сообщениям не будет иметь, кроме отправителя и получателя. По этому не поручение.
Вот очень, чрезвычайно инновационная мысль. Ее следует обдумать... Начиная с того, почему субъект, как пользователь, вдруг стал оператором, поручающим обработку...
#Позиция_РКН #Трансграничная_передача #Мессенджеры
👍6❤1🤡1
На прошедшем сегодня вебинаре РКН прозвучало интересное мнение по поводу содержания политики обработки персональных данных. РКН считает и далее рекомендует включать в Политику все сведения про обработку ПДн в разрезе целей – перечни целей, категории, сроки, способы уничтожения и т.п. Обоснование – требование п.2 ч.1 ст.18.1 Правда на слайде «1» выглядит как сноска, что уже заставляет недоумевать.
Но я не понимаю, как можно прочитать этот пункт так, что он будет выглядеть как требование включать данные по целям обработки. Попробую его разбить на блоки (отдельные независимые утверждения), как это выглядит по правилам русского языка.
«издание оператором, являющимся юридическим лицом,
(*1) документов, определяющих политику оператора в отношении обработки персональных данных,
(*2) локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований,
(*3) а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. …»
После документов (*1) идут локальные акты (*2) и это уже разные документы с точки зрения закона. Да и с точки зрения здравого смысла – зачем медучреждению, банку или иной организации, работающей с тайной, считающей свои внутренние процессы конфиденциальной информацией, раскрывать до такой степени подробности обработки ПДн?
Впрочем, РКН, видимо, прекрасно понимает, что заявляет, поэтому далее на слайде «рекомендует» содержание Политики обработки ПДн.
Можно в политике отразить основные макроцели обработки персональных данных на уровне «исполнение трудового законодательства, гражданского кодекса» и т.п. Для определения в какую сторону работает оператор. Но все подробности расписать во внутреннем ЛНА. И такой подход нормально работает.
#Позиция_РКН #Политика_обработки_ПДн
Но я не понимаю, как можно прочитать этот пункт так, что он будет выглядеть как требование включать данные по целям обработки. Попробую его разбить на блоки (отдельные независимые утверждения), как это выглядит по правилам русского языка.
«издание оператором, являющимся юридическим лицом,
(*1) документов, определяющих политику оператора в отношении обработки персональных данных,
(*2) локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований,
(*3) а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. …»
После документов (*1) идут локальные акты (*2) и это уже разные документы с точки зрения закона. Да и с точки зрения здравого смысла – зачем медучреждению, банку или иной организации, работающей с тайной, считающей свои внутренние процессы конфиденциальной информацией, раскрывать до такой степени подробности обработки ПДн?
Впрочем, РКН, видимо, прекрасно понимает, что заявляет, поэтому далее на слайде «рекомендует» содержание Политики обработки ПДн.
Можно в политике отразить основные макроцели обработки персональных данных на уровне «исполнение трудового законодательства, гражданского кодекса» и т.п. Для определения в какую сторону работает оператор. Но все подробности расписать во внутреннем ЛНА. И такой подход нормально работает.
#Позиция_РКН #Политика_обработки_ПДн
🔥6
Из прошедшего в пятницу эфира РКН очень огорчили эти два тезиса.
1. Один из них говорит, что не собирать согласия при поручении на обработку ПДн можно только в случаях, предусмотренных законами. Т.е. в общем случае схема физ-лицо -> оператор -> подрядчик не будет работать на основе договора между ФЛ и оператором. Нужно будет согласие ФЛ в адрес подрядчика.
2. Второй - что ФЗ152 нельзя использовать как набор оснований для обработки. Я и так придерживался этой же позиции, но у многих коллег было мнение, что "если не иное не предусмотрено ФЗ" можно расценивать как разрешение применять например п.5 ч.1 ст.6 ФЗ152. Нет. Нельзя.
В сумме оба пункта дают повод взгрустнуть. Просто жить при подряде обработки не получится. Такие дела.
#Позиция_РКН #Поручение_на_обработку #Согласие_на_обработку
1. Один из них говорит, что не собирать согласия при поручении на обработку ПДн можно только в случаях, предусмотренных законами. Т.е. в общем случае схема физ-лицо -> оператор -> подрядчик не будет работать на основе договора между ФЛ и оператором. Нужно будет согласие ФЛ в адрес подрядчика.
2. Второй - что ФЗ152 нельзя использовать как набор оснований для обработки. Я и так придерживался этой же позиции, но у многих коллег было мнение, что "если не иное не предусмотрено ФЗ" можно расценивать как разрешение применять например п.5 ч.1 ст.6 ФЗ152. Нет. Нельзя.
В сумме оба пункта дают повод взгрустнуть. Просто жить при подряде обработки не получится. Такие дела.
#Позиция_РКН #Поручение_на_обработку #Согласие_на_обработку
❤2
Очередная, прекрасная в своей фантастичности, идея регуляторов:
Я только не понимаю, в чем связь с борьбой с кибермошенниками. Они согласий как не собирали, так и не планируют. На то они и мошенники.
На «Госуслугах» запустят единую платформу для управления согласиями на обработку персональных данных. Пользователи смогут контролировать выданные разрешения и отзывать их в любой момент.
Благодаря новому сервису граждане также смогут уведомлять власти о возможных нарушениях обработки и хранения персональных данных. Инициатива входит во второй пакет мер правительства по борьбе с кибермошенничеством.
Я только не понимаю, в чем связь с борьбой с кибермошенниками. Они согласий как не собирали, так и не планируют. На то они и мошенники.
😁7🔥3👍1
Forwarded from RPPA PRO: Privacy • AI • Cybersecurity • IP
Юрист о персональных данных — авторский канал Натальи Алешковой про право, закон, правоприменение, методологию для специалистов по ПД
ПДн не ПНД — канал с большим количеством комментариев по текущей практике, позициям, запросам и ответам, в уникальной манере автора
Трудовой комплаенс — о рисках, в том числе реализовавшихся, для работодателей в области ПД, трудового права и не только
По душам о труде — кажется, единственный канал, целиком посвящённый обработке персональных данных в HR, автор — юрист по трудовому праву
DPO отвечает — актуальные новости, экспертная аналитика, кейсы и тренды для DPO, юристов, специалистов LegalTech и ИБ
Адвокат Цифры — канал про ПД, ИИ, ИБ и многое другое, снабженный креативными комментариями, зачастую нестандартным взглядом на вещи и, конечно, ПЕРСОНЕМАМИ
О жизни | праве | прайвеси — канал, где простым языком рассказывают о privacy и юриспруденции, делятся чек-листами, лайфхаками и трендами, рассуждают о "privacy-культуре" в бизнесе и о многом другом
ПЕРСОНЕМЫ — единственный русскоязычный канал со смешными картинками и смехо-философией в области приватности
ПД All year round — канал о практике по ст. 13.11 с авторскими комментариями и аналитикой
No Security — понятный канал про внутрянку ИБ, стандарты, фреймворки и метрики, очень полезно для всех, кто интересуется ПД и ИБ
Шёпотом ПРО ПД — мероприятия, дискуссионные клубы и интересные материалы для privacy-энтузиастов
Кстати, если хочешь, подписаться можно не только по ссылкам выше, но и с помощью авторской супер-папки
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🎉2
РКН направил в суд заявление о привлечении Telegram к ответственности по ч.5 ст.13.11 КоАП.
Мессенджер не выполнил обязанности уточнить, блокировать или удалить данные по заявлению субъекта или РКН.
У меня фантазии не хватает представить себе, что там случилось.
#РКН_штраф
Мессенджер не выполнил обязанности уточнить, блокировать или удалить данные по заявлению субъекта или РКН.
У меня фантазии не хватает представить себе, что там случилось.
#РКН_штраф
😁7
Электронная подпись и модульное согласие.
Есть прекрасная тема, модульное согласие. Результат борьбы за законность кадровых процессов с дословным чтением РКН ч.4 ст.9 ФЗ152. (которое про письменную форму согласия, и которая применяется по ст. 88 ТК РФ)
На бумаге все отлично - одна строка с получателем, целью, составом и т.п. - одна подпись субъекта. И документ один, просто подписать,, и подписей с целями много, как хочет РКН.
Другое дело кадровый электронный документооборот. Тоже прекрасная вещь, многое упрощает для HR и для работников. Но с согласиями на обработку ПДн от работников есть серьезные вопросы.
Модульное согласие работника в виде электронного документа будет... Электронным документом (файлом). Если подписывать его усиленной ЭП, то подпись окажется только одна и касательно всего документа (файла). Т.е на выходе будет документ со множеством целей и всего одной подписью. По мнению РКН - это не письменное согласие.
И что делать?
Тут есть несколько вариантов.
1. Превращать модульное согласие в отдельные файлы. Благо техника позволяет. Другой вопрос, что работник может устать подписывать вот это все. И не подпишет все, бегай за ним. Но гарантировано окажемся в рамках закона.
2.Пренебречь, вальсируем Принять риск. Может и не заметят, может и не накажут сразу. Тоже вариант в общем то, если считать деньги.
3. Немножко модернизировать процесс. Согласия можно набрать из списка (проставить чек-боксы и т.п.)? Можно. Пачка согласий (одна цель - один документ) автоматом по нажатию большой красной кнопки "ПОДПИСАТЬ ВСЁ!" превращается в кучку данных согласий. Хороший вариант, если бы не три но
- сомнительно делать много подписей одним нажатием (это вообще законно?);
- будет недешево сделать такую кастомизацию;
- и самое главное, а кто и как будет следить, что работник добросовестно прожал все цели для формирования итогового документа? (характерно и для первого пункта)
Можно конечно как-то интегрировать КЭДО с конечными системами в части обработки ПДн только по получению признака "согл.". Но это из разряда фантастики. Ценник решения вырастает еще больше.
В общем, от согласий даже с работниками надо максимально уходить. Или хотя бы устраивать демонстрации с призывом переписать ст. 88 ТК РФ - на дворе все таки вторая четверть 21-го века и какая то там по счету индустриальная революция.
Не знаю, что окажется реальней и полезней.
Такие дела.
#Модульное_согласие #ЭКДО #КЭДО
Есть прекрасная тема, модульное согласие. Результат борьбы за законность кадровых процессов с дословным чтением РКН ч.4 ст.9 ФЗ152. (которое про письменную форму согласия, и которая применяется по ст. 88 ТК РФ)
На бумаге все отлично - одна строка с получателем, целью, составом и т.п. - одна подпись субъекта. И документ один, просто подписать,, и подписей с целями много, как хочет РКН.
Другое дело кадровый электронный документооборот. Тоже прекрасная вещь, многое упрощает для HR и для работников. Но с согласиями на обработку ПДн от работников есть серьезные вопросы.
Модульное согласие работника в виде электронного документа будет... Электронным документом (файлом). Если подписывать его усиленной ЭП, то подпись окажется только одна и касательно всего документа (файла). Т.е на выходе будет документ со множеством целей и всего одной подписью. По мнению РКН - это не письменное согласие.
И что делать?
Тут есть несколько вариантов.
1. Превращать модульное согласие в отдельные файлы. Благо техника позволяет. Другой вопрос, что работник может устать подписывать вот это все. И не подпишет все, бегай за ним. Но гарантировано окажемся в рамках закона.
2.
3. Немножко модернизировать процесс. Согласия можно набрать из списка (проставить чек-боксы и т.п.)? Можно. Пачка согласий (одна цель - один документ) автоматом по нажатию большой красной кнопки "ПОДПИСАТЬ ВСЁ!" превращается в кучку данных согласий. Хороший вариант, если бы не три но
- сомнительно делать много подписей одним нажатием (это вообще законно?);
- будет недешево сделать такую кастомизацию;
- и самое главное, а кто и как будет следить, что работник добросовестно прожал все цели для формирования итогового документа? (характерно и для первого пункта)
Можно конечно как-то интегрировать КЭДО с конечными системами в части обработки ПДн только по получению признака "согл.". Но это из разряда фантастики. Ценник решения вырастает еще больше.
В общем, от согласий даже с работниками надо максимально уходить. Или хотя бы устраивать демонстрации с призывом переписать ст. 88 ТК РФ - на дворе все таки вторая четверть 21-го века и какая то там по счету индустриальная революция.
Не знаю, что окажется реальней и полезней.
Такие дела.
#Модульное_согласие #ЭКДО #КЭДО
🤯4👏3
Итак, с первым сентября всех, дорогие друзья! С днем, когда согласия разъединились!
На самом деле не всегда понятно, что все таки должно теперь жить раздельно. И часто встречаются два полярных случая:
1. При регистрации на сайте пользователь с чем-то соглашается, например, с лицензионными условиями и в этом же предложении с обработкой персональных данных по политике.
2. Прямое согласие на обработку ПДн, которое на самом деле не столько и про них, сколько про получение рекламы.
И как это ни парадоксально звучит, но конструкция №1 абсолютно нормальна (я про принцип, а не про детали). В ней пользователь принимает договорные условия и работа с ПДн будет идти в рамках. Тут не нужно ни разделения (согласие с обработкой в соответствии с политикой чисто декларативная вещь), ни изменений текста. Все хорошо
А вот случай №2 нужно исправлять. Договорных условий там нет, нужно согласие на обработку, но ссылка ведет на конструкцию с согласием на получение рекламы. Причем эта конструкция ссылается на отсутствующие явления (простановки галочки точно нет) и точно не разрешает обработку ПДн зарегистрировавшихся пользователей.
Повторюсь, что надо разделять: ознакомления или принятия условий с любыми согласиями на обработку. Оптимальным вариантом будет перевести согласия на обработку в рамки оферты (пользовательское соглашение, условия использования и т.п.), а про рекламу собирать строго отдельно.
Плюс всегда надо помнить, что у согласия на обработку ПДн главные признаки: наличие цели, указания на оператора, на состав ПДн, на действия с ПДн. И согласие не может быть частью какого-то документа.
Такие дела.
#Согласие_на_обработку_ПДн
На самом деле не всегда понятно, что все таки должно теперь жить раздельно. И часто встречаются два полярных случая:
1. При регистрации на сайте пользователь с чем-то соглашается, например, с лицензионными условиями и в этом же предложении с обработкой персональных данных по политике.
2. Прямое согласие на обработку ПДн, которое на самом деле не столько и про них, сколько про получение рекламы.
И как это ни парадоксально звучит, но конструкция №1 абсолютно нормальна (я про принцип, а не про детали). В ней пользователь принимает договорные условия и работа с ПДн будет идти в рамках. Тут не нужно ни разделения (согласие с обработкой в соответствии с политикой чисто декларативная вещь), ни изменений текста. Все хорошо
А вот случай №2 нужно исправлять. Договорных условий там нет, нужно согласие на обработку, но ссылка ведет на конструкцию с согласием на получение рекламы. Причем эта конструкция ссылается на отсутствующие явления (простановки галочки точно нет) и точно не разрешает обработку ПДн зарегистрировавшихся пользователей.
Повторюсь, что надо разделять: ознакомления или принятия условий с любыми согласиями на обработку. Оптимальным вариантом будет перевести согласия на обработку в рамки оферты (пользовательское соглашение, условия использования и т.п.), а про рекламу собирать строго отдельно.
Плюс всегда надо помнить, что у согласия на обработку ПДн главные признаки: наличие цели, указания на оператора, на состав ПДн, на действия с ПДн. И согласие не может быть частью какого-то документа.
Такие дела.
#Согласие_на_обработку_ПДн
1👍6❤2
Gmail и трансграничная передача ПДн.
Обсуждая иностранные мессенджеры и вопросы передачи ПДн через них, как то забылся этот почтовый сервис. А ведь он до сих пор используется многими лицами как инструмент получения и передачи информации, в том числе персональных данных.
РКН, Минцифры ранее нам разъяснили, что мессенджеры они для мгновенного обмена сообщения между пользователями и как бы трансграна в адрес самого сервиса и нет. А как быть с почтовыми службами?
Если смотреть правде в глаза, то технически все еще хуже. Почта изначально устроена как сервер, передающий или принимающий сообщения в формате электронных писем и хранящий их у себя для пользователя. Да, есть всякие протоколы pop3, smtp, где сервер выступает как транспорт, и это было массовым явлением лет ндцать назад. Но современный режим доступа - через веб или веб-приложение к хранилищу на сервере, которое еще и интегрировано с облачным диском.
По этому, если отправлять ПДн на Gmail, то оно там и останется. В иностранных руках на территории другого государства.
Что делать?
Вообще странный вопрос - в современных реалиях использовать гуглопочту в бизнесе рискованно даже не потому, что можно нарушить ФЗ152. Есть сильно отличный от нуля риск лишиться к ней доступа в один не очень прекрасный момент и порушить собственные бизнес-процессы. СМС с кодами восстановления пароля от Gmail на российские номера уже не доходят.
Но все таки, какие есть варианты?
1. Пытаться применить логику РКН по мессенджеру. Мол, я передаю российскому лицу, (получаю от российского лица), ничего не храню и быстро удаляю.
2. Отказаться от такой передачи/от такого сервиса. Если это можно сделать, то лучше сделать. Кажется, что в России достаточно развитых сервисов email, чтобы работать с ними.
З.Ы.: Всякие Google - таблицы, драйвы, формы однозначно будут трансграном. Там цель другая: использовать иностранный сервис именно для сбора/хранения/совместной работы.
Такие дела.
#Трансграничная_передача_данных #Google #Gmail
Обсуждая иностранные мессенджеры и вопросы передачи ПДн через них, как то забылся этот почтовый сервис. А ведь он до сих пор используется многими лицами как инструмент получения и передачи информации, в том числе персональных данных.
РКН, Минцифры ранее нам разъяснили, что мессенджеры они для мгновенного обмена сообщения между пользователями и как бы трансграна в адрес самого сервиса и нет. А как быть с почтовыми службами?
Если смотреть правде в глаза, то технически все еще хуже. Почта изначально устроена как сервер, передающий или принимающий сообщения в формате электронных писем и хранящий их у себя для пользователя. Да, есть всякие протоколы pop3, smtp, где сервер выступает как транспорт, и это было массовым явлением лет ндцать назад. Но современный режим доступа - через веб или веб-приложение к хранилищу на сервере, которое еще и интегрировано с облачным диском.
По этому, если отправлять ПДн на Gmail, то оно там и останется. В иностранных руках на территории другого государства.
Что делать?
Вообще странный вопрос - в современных реалиях использовать гуглопочту в бизнесе рискованно даже не потому, что можно нарушить ФЗ152. Есть сильно отличный от нуля риск лишиться к ней доступа в один не очень прекрасный момент и порушить собственные бизнес-процессы. СМС с кодами восстановления пароля от Gmail на российские номера уже не доходят.
Но все таки, какие есть варианты?
1. Пытаться применить логику РКН по мессенджеру. Мол, я передаю российскому лицу, (получаю от российского лица), ничего не храню и быстро удаляю.
2. Отказаться от такой передачи/от такого сервиса. Если это можно сделать, то лучше сделать. Кажется, что в России достаточно развитых сервисов email, чтобы работать с ними.
З.Ы.: Всякие Google - таблицы, драйвы, формы однозначно будут трансграном. Там цель другая: использовать иностранный сервис именно для сбора/хранения/совместной работы.
Такие дела.
#Трансграничная_передача_данных #Google #Gmail
Telegram
ПДн не ПНД
Еще один ответ РКН, теперь уже из управления по Приволжскому Федеральному Округу. На тему трансгранична ли передача ПДн через иностранные мессенджеры.
Спасибо @anikina_mariia
Что интересно:
1. Есть определение мессенджера. Это программа для мгновенного…
Спасибо @anikina_mariia
Что интересно:
1. Есть определение мессенджера. Это программа для мгновенного…
1💯6👏1
Чей туфля ИСПДн?
ФЗ152 вышел в далеком 2006м году и внесенные в него понятия с концепциями до сих пор особо не менялись. И, если почти 20 лет назад вопросов - что такое ИСПДн и не могло особо возникнуть, то сейчас... Виртуальность, облачность, сервисы и т.п.х. сильно вылезают за рамки терминологии ФЗ152. По крайней мере приходится сильно думать. А ведь знание - что есть ИСПДн Оператора, а что нет - очень влияет на вопросы защиты персональных данных.
Итак, по определению ИСПДн - это "совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств" Т.е. под определение подпадает любое программное обеспечение, где есть база или базы с персональными данными, алгоритмы их обработки и железо с системным программным обеспечением (чтобы все работало).
Ок, кадровая или учетная система на сервере внутри корпоративной сети однозначно ИСПДн. Оператору нужно ее оформлять, описывать, защищать и всячески соблюдать разные приказы с постановлениями.
А что делать с разными облачными приложениями, личными кабинетами и прочими сервисами, которые почти все Операторы так или иначе используют для обработки ПДн?
В этом и заключается сложность - найти границу, где кончаются ресурсы Оператора и начинается периметр поставщика услуги.
Но здесь прекрасно помогают принципы обработки ПДн (ч.3 и ч.4 ст. 5 ФЗ152) - нельзя объединять базы данных, в которых ПДн обрабатываются в разных целях, а можно обрабатывать только те ПДн, которые отвечают целям Оператора.
И в теории при выяснении чья ИСПДн эти принципы выливаются в вопросы:
✔️ в ИТ продукте есть ПДн, не имеющие отношения к оператору? Ведь у оператора нет цели обрабатывать посторонние ПДн ни в каком виде - ни в качестве данных учеток для входа, ни в виде документов и т.п.
✔️ оператор может управлять разделением (не допускать объединения) баз данных с ПДн для разных целей? Никому не нужна посторонняя информация там же, где обрабатывается собственная.
На практике это выглядит примерно так:
1️⃣ личный кабинет на сайте РЖД для покупки билетов работникам не ИСПДн, т.к. много кто так покупает билеты, вход один для всех;
2️⃣ система КЭДО от крупного провайдера - не ИСПДН, ей пользуются тысячи других организаций, вход один, приложение одно, инфраструктура единая для всех;
3️⃣ выделенный сервер 1С ЗУП в облаке - уже будет ИСПДн, там только данные работников Оператора и сервер управляется оператором и/или по заданию Оператора.
#Оператор #ИСПДн
ФЗ152 вышел в далеком 2006м году и внесенные в него понятия с концепциями до сих пор особо не менялись. И, если почти 20 лет назад вопросов - что такое ИСПДн и не могло особо возникнуть, то сейчас... Виртуальность, облачность, сервисы и т.п.х. сильно вылезают за рамки терминологии ФЗ152. По крайней мере приходится сильно думать. А ведь знание - что есть ИСПДн Оператора, а что нет - очень влияет на вопросы защиты персональных данных.
Итак, по определению ИСПДн - это "совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств" Т.е. под определение подпадает любое программное обеспечение, где есть база или базы с персональными данными, алгоритмы их обработки и железо с системным программным обеспечением (чтобы все работало).
Ок, кадровая или учетная система на сервере внутри корпоративной сети однозначно ИСПДн. Оператору нужно ее оформлять, описывать, защищать и всячески соблюдать разные приказы с постановлениями.
А что делать с разными облачными приложениями, личными кабинетами и прочими сервисами, которые почти все Операторы так или иначе используют для обработки ПДн?
В этом и заключается сложность - найти границу, где кончаются ресурсы Оператора и начинается периметр поставщика услуги.
Но здесь прекрасно помогают принципы обработки ПДн (ч.3 и ч.4 ст. 5 ФЗ152) - нельзя объединять базы данных, в которых ПДн обрабатываются в разных целях, а можно обрабатывать только те ПДн, которые отвечают целям Оператора.
И в теории при выяснении чья ИСПДн эти принципы выливаются в вопросы:
✔️ в ИТ продукте есть ПДн, не имеющие отношения к оператору? Ведь у оператора нет цели обрабатывать посторонние ПДн ни в каком виде - ни в качестве данных учеток для входа, ни в виде документов и т.п.
✔️ оператор может управлять разделением (не допускать объединения) баз данных с ПДн для разных целей? Никому не нужна посторонняя информация там же, где обрабатывается собственная.
На практике это выглядит примерно так:
#Оператор #ИСПДн
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍14
Что такое об*******ние?
Часто сталкиваюсь с предложением обезличить персональные данные и дальше работать с полученным массивом. На вопрос как это сделать в 7 случаях из 10 предлагают заменить звездочками, в 2х случаях сначала подумают, какую часть данных заменить на звездочки, и только настоящий DPO скажет правильный ответ.
Итак, горячо любимый ФЗ152 дает однозначное определение, что такое обезличивание. Это
Ключевое здесь - без использования дополнительной информации. Казалось бы, есть набор И**н И**в, Что можно добавить к этому набору, чтобы отнести к конкретному субъекту? Ничего. Это так и останется набором букв и звездочек - ведь даже неизвестно, сколько там букв было в исходном слове.
Замена звездочками по научному называется маскированием. А по сути - удалением. Очень полезно так делать, если нужно получить для тестов, к примеру, базу с реальными по структуре, но бесполезными по сути данными.
А вот если перемешать символы в ПДн по строгому алгоритму, чтобы можно было им же восставить данные обратно - будет как раз обезличивание. Последние нормативные документы по обезличиванию именно про возможные варианты таких действий. И формально говоря - любое шифрование ПДн - обезличивание (особенно если шифровать не всю базу/файл, а отдельные значения)
По-этому не надо нигде заявлять, что вы занимаетесь обезличиванием, если ИТ для тестовых контуров заменяет ПДн звездочками или случайным образом перемешивает символы. РКН очень не любит обезличивание. До такой степени, что в Приказе №178 про оценку вреда, считает этот самый потенциальный вред высоким, если оператор занимается обезличиванием. Тут напрашивается картинка из шоу "Где логика"
P.S.: Все хочу осилить до конца последнюю нормативку по обезличиванию, которую выпекли для госозера. Но тяжело. Например, в Правилах обезличивания по ПП1154 по оценке одной нейросети в среднем на предложение приходится 150 слов. Сто пятьдесят слов. В среднем. В каждом предложении.
Такие дела.
#Обезличивание_ПДн #Маскирование_ПДн
Часто сталкиваюсь с предложением обезличить персональные данные и дальше работать с полученным массивом. На вопрос как это сделать в 7 случаях из 10 предлагают заменить звездочками, в 2х случаях сначала подумают, какую часть данных заменить на звездочки, и только настоящий DPO скажет правильный ответ.
Итак, горячо любимый ФЗ152 дает однозначное определение, что такое обезличивание. Это
действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Ключевое здесь - без использования дополнительной информации. Казалось бы, есть набор И**н И**в, Что можно добавить к этому набору, чтобы отнести к конкретному субъекту? Ничего. Это так и останется набором букв и звездочек - ведь даже неизвестно, сколько там букв было в исходном слове.
Замена звездочками по научному называется маскированием. А по сути - удалением. Очень полезно так делать, если нужно получить для тестов, к примеру, базу с реальными по структуре, но бесполезными по сути данными.
А вот если перемешать символы в ПДн по строгому алгоритму, чтобы можно было им же восставить данные обратно - будет как раз обезличивание. Последние нормативные документы по обезличиванию именно про возможные варианты таких действий. И формально говоря - любое шифрование ПДн - обезличивание (особенно если шифровать не всю базу/файл, а отдельные значения)
По-этому не надо нигде заявлять, что вы занимаетесь обезличиванием, если ИТ для тестовых контуров заменяет ПДн звездочками или случайным образом перемешивает символы. РКН очень не любит обезличивание. До такой степени, что в Приказе №178 про оценку вреда, считает этот самый потенциальный вред высоким, если оператор занимается обезличиванием. Тут напрашивается картинка из шоу "Где логика"
P.S.: Все хочу осилить до конца последнюю нормативку по обезличиванию, которую выпекли для госозера. Но тяжело. Например, в Правилах обезличивания по ПП1154 по оценке одной нейросети в среднем на предложение приходится 150 слов. Сто пятьдесят слов. В среднем. В каждом предложении.
Такие дела.
#Обезличивание_ПДн #Маскирование_ПДн
👍8👏3❤2😁2🔥1
Если вдруг хочется собирать согласия на сайте при регистрации.
Наверное так бывает, даже в новых условиях, когда согласия собираются отдельно от всего остального. Предположим, что нет никаких правил использования сайта, оферты и т.п.х. Наоборот, есть 3-4 разных способа войти (включая всякие ID или даже Госуслуги) и набор ПДн, которые передаются в базу сайта для регистрации пользователя. Факт обработки есть, а что будет законным основанием обработки? А согласие и будет. Чтобы сделать схему легальной, достаточно в окне входа явно прописать примерно следующее:
Прикручиваем в окно ссылку на политику обработки ПДн, записываем в БД дату и время регистрации и все, мы получаем согласие "в любой позволяющей подтвердить факт его получения форме". Потому что такой путь, и не соглашаясь действием передать на обработку ПДн невозможно. Как доказательство законности работает.
Любое совместное ознакомление с чем то еще, или сбор согласий на рекламу, тоже возможен. Но превратит аккуратное окошко в набор чекбоксов с кучей текста. Маркетологи и прочие менеджеры продуктов такое не одобряют.
Напомню, что ссылку на политику обработки ПДн достаточно разместить в рамках той же формы/страницы. Знакомить или заставлять принимать ее не нужно.
И всегда нужно думать, а не лучше ли прикрутить договор с пользователем (правила использования сайта, например) и в нем легализовать через п.5 ч.1 ст.6 ФЗ152 обработку ПДн? Такая оферта полезна еще и для защиты интеллектуальной собственности, и для обеспечения прочих прав сайтовладельца.
#Согласие_сайт #Регистрация_пользователей #Законное_основание
Наверное так бывает, даже в новых условиях, когда согласия собираются отдельно от всего остального. Предположим, что нет никаких правил использования сайта, оферты и т.п.х. Наоборот, есть 3-4 разных способа войти (включая всякие ID или даже Госуслуги) и набор ПДн, которые передаются в базу сайта для регистрации пользователя. Факт обработки есть, а что будет законным основанием обработки? А согласие и будет. Чтобы сделать схему легальной, достаточно в окне входа явно прописать примерно следующее:
Нажимая кнопку зарегистрироваться или войти через сервис авторизации вы даете согласие (тут могла бы бытьваша рекламассылка на текст согласия) на обработку ваших персональных данных ...
Прикручиваем в окно ссылку на политику обработки ПДн, записываем в БД дату и время регистрации и все, мы получаем согласие "в любой позволяющей подтвердить факт его получения форме". Потому что такой путь, и не соглашаясь действием передать на обработку ПДн невозможно. Как доказательство законности работает.
Любое совместное ознакомление с чем то еще, или сбор согласий на рекламу, тоже возможен. Но превратит аккуратное окошко в набор чекбоксов с кучей текста. Маркетологи и прочие менеджеры продуктов такое не одобряют.
Напомню, что ссылку на политику обработки ПДн достаточно разместить в рамках той же формы/страницы. Знакомить или заставлять принимать ее не нужно.
И всегда нужно думать, а не лучше ли прикрутить договор с пользователем (правила использования сайта, например) и в нем легализовать через п.5 ч.1 ст.6 ФЗ152 обработку ПДн? Такая оферта полезна еще и для защиты интеллектуальной собственности, и для обеспечения прочих прав сайтовладельца.
#Согласие_сайт #Регистрация_пользователей #Законное_основание
👍7❤3👏2🔥1
Когда согласия не нужны - требования законов.
Люди настолько привыкли к согласиям, что часто пытаются их собирать там где вообще это не требуется. Субъекты не отстают. Из личного опыта - прибежал субъект с радостными восклицаниями: "Какая классная у вас акция! Давайте сюда ваш бланк согласия! Подпишу быстро и дам вам документы для оформления"
Согласие одно из оснований для обработки. Наверное, самое простое, но, при этом, самое плохое. Хотя бы из-за того, что его можно отозвать в любой момент. Процесс, завязанный на обработку, встает.
Самое же незыблемое из всех оснований - требования законов.
П.2 ч.1 ст.6 ФЗ152:
Оно же самое сложное для применения. По крайней мере тем, кто не сильно погружен в регулирование отдельных отраслей. А законодатели не дают расслабиться, подкидывают все новые и новые поводы для раздумий.
Какие то требования закона очевидны - перечислить налоги в налоговую, выплатить зарплату, зарегистрировать недвижимость, оформить электронную подпись.
Что-то не очень - передать отчетность в госорганы через оператора ЭДО, отправить контрагенту доверенность, транспортную накладную.
А отдельные моменты и вовсе непонятны. Отелю для заселения командированных передать ПДн нужно по согласию? В электронный чек вписать почту покупателя на каком основании? Данные о доставке товара сразу удалять или можно какое-то время хранить?
Вот эти все неясности все-таки исходят из наших законов - миграционного, о кассовой технике, из налогового кодекса и так далее. И никаких согласий тут рядом не стояло.
Единственная сложность - однозначно разобраться в требованиях законов и применить их. Не только лишь все могут в это © Кличко.
Самое страшное, что я видел: договор на оказание услуг дополнительного профессионального образования с образовательной же организацией, в котором имелся образец согласия на распространение персональных данных обучающегося. Это согласие, по мнению юристов контрагента, нужно было, чтобы внести сведения об образовании в ФИС ФРДО и каждая категория ПДн была соотнесена с нормой закона, по которой она была указана в согласии.
И ведь у людей не возникло сомнений в том, что они делали... Сизиф нервно курит в сторонке.
Такие дела.
#Законное_основание #Требование_закона #ФЗ152
Люди настолько привыкли к согласиям, что часто пытаются их собирать там где вообще это не требуется. Субъекты не отстают. Из личного опыта - прибежал субъект с радостными восклицаниями: "Какая классная у вас акция! Давайте сюда ваш бланк согласия! Подпишу быстро и дам вам документы для оформления"
Согласие одно из оснований для обработки. Наверное, самое простое, но, при этом, самое плохое. Хотя бы из-за того, что его можно отозвать в любой момент. Процесс, завязанный на обработку, встает.
Самое же незыблемое из всех оснований - требования законов.
П.2 ч.1 ст.6 ФЗ152:
"обработка персональных данных необходима для достижения целей, предусмотренных ... законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей"
Оно же самое сложное для применения. По крайней мере тем, кто не сильно погружен в регулирование отдельных отраслей. А законодатели не дают расслабиться, подкидывают все новые и новые поводы для раздумий.
Какие то требования закона очевидны - перечислить налоги в налоговую, выплатить зарплату, зарегистрировать недвижимость, оформить электронную подпись.
Что-то не очень - передать отчетность в госорганы через оператора ЭДО, отправить контрагенту доверенность, транспортную накладную.
А отдельные моменты и вовсе непонятны. Отелю для заселения командированных передать ПДн нужно по согласию? В электронный чек вписать почту покупателя на каком основании? Данные о доставке товара сразу удалять или можно какое-то время хранить?
Вот эти все неясности все-таки исходят из наших законов - миграционного, о кассовой технике, из налогового кодекса и так далее. И никаких согласий тут рядом не стояло.
Единственная сложность - однозначно разобраться в требованиях законов и применить их. Не только лишь все могут в это © Кличко.
Самое страшное, что я видел: договор на оказание услуг дополнительного профессионального образования с образовательной же организацией, в котором имелся образец согласия на распространение персональных данных обучающегося. Это согласие, по мнению юристов контрагента, нужно было, чтобы внести сведения об образовании в ФИС ФРДО и каждая категория ПДн была соотнесена с нормой закона, по которой она была указана в согласии.
И ведь у людей не возникло сомнений в том, что они делали... Сизиф нервно курит в сторонке.
Такие дела.
#Законное_основание #Требование_закона #ФЗ152
👏7❤3
Когда согласия не нужны - субъект сторона/поручитель/выгодоприобретатель по договору.
Еще одно не очень понятное, но часто встречаемое в реальной жизни основание для обработки персональных данных - договорные отношения. Часто встречается, потому что практические любое взаимодействие субъекта с организацией любого ранга, это какой то вариант договора. Посещение сайта? Покупка в магазине? Заказ услуги? Договорные отношения. Только не всегда их учитывают, оформляют и, тем более понимают как их употреблять.
Общая схема проста - если субъект что-то хочет от оператора, да еще и с использованием персональных данных, то последнему нужно постараться обернуть все это в какой-то договор с описанием как и какие ПДн он будет использовать. И тогда без всяких согласий появится возможность использовать в рамках отношений персональные данные. Личный кабинет на сайте, доставка товара, доступ в библиотеку. Причем использование будет с понятными и прогнозируемыми сроками обработки.
И даже больше - субъекта можно пропустить через несколько договоров на сайте, где каждый будет являться основанием для обработки разных составов ПДн. Например, тот самый ЛК и сайт по одному соглашению (куда можно и куки прописать), а акция на сайте, уже по другому соглашению.
Из минусов - не получится обойти случаи, когда получение согласия явно прописано законом. Привет рекламе по электрическим сетям. Для них только отдельный чек-бокс. Так же нужно очень аккуратно относится к составу ПДн, собираемых для исполнения договора. Цель получения должна вписываться в рамки приличия.
З.Ы.: С согласиями на распространение есть маленькая фича - они прекрасно заменяются тем самым договором. Просто потому, что ст.10.1 ФЗ152 применяется к тем случаям, когда основанием распространения является только согласие.
Такие дела
#Законное_основание #ФЗ152
Еще одно не очень понятное, но часто встречаемое в реальной жизни основание для обработки персональных данных - договорные отношения. Часто встречается, потому что практические любое взаимодействие субъекта с организацией любого ранга, это какой то вариант договора. Посещение сайта? Покупка в магазине? Заказ услуги? Договорные отношения. Только не всегда их учитывают, оформляют и, тем более понимают как их употреблять.
Общая схема проста - если субъект что-то хочет от оператора, да еще и с использованием персональных данных, то последнему нужно постараться обернуть все это в какой-то договор с описанием как и какие ПДн он будет использовать. И тогда без всяких согласий появится возможность использовать в рамках отношений персональные данные. Личный кабинет на сайте, доставка товара, доступ в библиотеку. Причем использование будет с понятными и прогнозируемыми сроками обработки.
И даже больше - субъекта можно пропустить через несколько договоров на сайте, где каждый будет являться основанием для обработки разных составов ПДн. Например, тот самый ЛК и сайт по одному соглашению (куда можно и куки прописать), а акция на сайте, уже по другому соглашению.
Из минусов - не получится обойти случаи, когда получение согласия явно прописано законом. Привет рекламе по электрическим сетям. Для них только отдельный чек-бокс. Так же нужно очень аккуратно относится к составу ПДн, собираемых для исполнения договора. Цель получения должна вписываться в рамки приличия.
З.Ы.: С согласиями на распространение есть маленькая фича - они прекрасно заменяются тем самым договором. Просто потому, что ст.10.1 ФЗ152 применяется к тем случаям, когда основанием распространения является только согласие.
Такие дела
#Законное_основание #ФЗ152
👍7❤5
Маленькая фишка договора как основания для обработки ПДн.
Операторы для оказания услуг физ лицам часто, очень часто привлекают подрядчиков. Доставку, техподдержку ИТ сервисов, колл-центры и так далее. Я разбирал ранее вопрос с согласием в адрес таких вот подрячиков-обработчиков. Схема громоздкая, сбор согласий и управление ими вещь трудозатратная.
Так вот, договор с субъектом, где прописаны третьи лица, как подрядчики для исполнения договоренностей и обработчика ПДн, и будет тем самым согласием, про которое упоминается в ч.3 ст.6 ФЗ152. Форма не описана, как законное основание и явно выраженное согласие (и не на действие а на некое поручение) такой ход вполне себе применим и применяется.
Просто есть несколько особенностей:
1️⃣ Нужно этот список вести и актуализировать, а субъекта просить проверять периодические изменения.
2️⃣ От заключения поручения на обработку оператор не освобождается. С подрядчиками по прежнему нужно подписывать такой документ, но правовым основанием будет уже не только согласие на передачу и обработку (на всякий случай лучше указывать расплывчато - обеспечение правовых оснований на операторе)
3️⃣ Такая конструкция не позволяет обходить случаи, когда согласие обязательно для получения по закону.
#Согласие_на_поручение #Обработчик #Правовое_основание
Операторы для оказания услуг физ лицам часто, очень часто привлекают подрядчиков. Доставку, техподдержку ИТ сервисов, колл-центры и так далее. Я разбирал ранее вопрос с согласием в адрес таких вот подрячиков-обработчиков. Схема громоздкая, сбор согласий и управление ими вещь трудозатратная.
Так вот, договор с субъектом, где прописаны третьи лица, как подрядчики для исполнения договоренностей и обработчика ПДн, и будет тем самым согласием, про которое упоминается в ч.3 ст.6 ФЗ152. Форма не описана, как законное основание и явно выраженное согласие (и не на действие а на некое поручение) такой ход вполне себе применим и применяется.
Просто есть несколько особенностей:
#Согласие_на_поручение #Обработчик #Правовое_основание
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
ПДн не ПНД
Обработка по поручению. Грусть формулировок
Наш горячо любимый ФЗ152 разрешает передавать персональные данные на обработку подрядчикам, называя тех лицами, осуществляющими обработку персональных данных по поручению оператора. Основание здесь единственное…
Наш горячо любимый ФЗ152 разрешает передавать персональные данные на обработку подрядчикам, называя тех лицами, осуществляющими обработку персональных данных по поручению оператора. Основание здесь единственное…
👏7❤1
Когда без согласий на обработку ПДн никуда?
Все таки есть случаи, когда согласия нужны и обязательны. Перечислю, конечно же не все, но самые известные точно.
Итак, номер один в списке: согласие, когда нет (вернее оператор не может подобрать) других оснований обработать персональные данные, но очень хочется. Чаще всего встречается при заполнении различных форм (обратной связи, анкет и прочих вещей). Не реже согласия зачем-то собирают в госучреждениях. Раньше точно было.
Номер два: согласие на получение рекламы. Очень популярное согласие и будет становится еще популярнее. Теперь его точно нельзя вшивать ни в какие оферты, договора и включать в другие согласия. Совсем нельзя. Кроме ФЗ152 про это согласие нам говорит ФЗ38 "О рекламе" в ст.18
Номер три: согласия работников на передачу (предоставление, распространение, доступ) их ПДн третьим лицам. Суровая и очень древняя статья 88 ТК РФ требует делать это только с письменного согласия работников. Исключения прописаны в законах. Но их найти и правильно истолковать еще та задача. Не только лишь все могут это. В одном недавнем отчете об аудите по ФЗ152 видел выявленное нарушение - отсутствие согласия на передачу ПДн командированных отелю.
Номер четыре: согласие на обработку спецкатегорий. Сюда же можно добавить обработку сведений о судимости. Но есть нюансы. Про судимость могут обрабатывать сведения только в госорганах или иных организациях, прописанных в законах. А вот медики и страховщики в большинстве случаев данные о здоровье пациентов могут обрабатывать без согласия в соответствии со ст.10. Но очень часто собирают его. Наверное есть какое-то письмо Минздрава.
Номер пять: биометрия. Задокументированные особенности организма применять для определения личности организма без его согласия запрещено. Кроме тех случаев, что перечислены в ч.2 ст.11. Но там в основном про правосудие и госслужбу.
Номер шесть: совсем не очевидное, но скоро станет актуальным и востребованным. Согласие на обработку ПДн в целях автоматического принятия решений, влекущих юридические последствия для субъекта. Почти пересказ ч.1 ст.16 ФЗ152. Если объяснять на русском, то Искусственный Идиот в любой своей ипостаси не может решать насчет человеков. Если человеки не высказали согласие на это. Сейчас точно актуально для всяких ботов, автоматически собеседующих кандидатов. В ближайшем будущем еще что-то появится. Вон, говорят, в Албании в министры нейросеть назначили. Что будет дальше?
Кажется, основное перечислил. Может показаться, что упустил два важных: согласие на распространение и согласие на поручение. Нет, все верно. Согласие на распространение является частным случаем простого согласия. Оно становится обязательным только в случае, если основной тип согласия обязательный (те же спецкатегории). Ну а согласие на поручение оно вообще не про персональные данные.
Такие дела.
#Согласие_на_обработку #Согласие_на_рекламу #ФЗ152
Все таки есть случаи, когда согласия нужны и обязательны. Перечислю, конечно же не все, но самые известные точно.
Итак, номер один в списке: согласие, когда нет (вернее оператор не может подобрать) других оснований обработать персональные данные, но очень хочется. Чаще всего встречается при заполнении различных форм (обратной связи, анкет и прочих вещей). Не реже согласия зачем-то собирают в госучреждениях. Раньше точно было.
Номер два: согласие на получение рекламы. Очень популярное согласие и будет становится еще популярнее. Теперь его точно нельзя вшивать ни в какие оферты, договора и включать в другие согласия. Совсем нельзя. Кроме ФЗ152 про это согласие нам говорит ФЗ38 "О рекламе" в ст.18
Номер три: согласия работников на передачу (предоставление, распространение, доступ) их ПДн третьим лицам. Суровая и очень древняя статья 88 ТК РФ требует делать это только с письменного согласия работников. Исключения прописаны в законах. Но их найти и правильно истолковать еще та задача. Не только лишь все могут это. В одном недавнем отчете об аудите по ФЗ152 видел выявленное нарушение - отсутствие согласия на передачу ПДн командированных отелю.
Номер четыре: согласие на обработку спецкатегорий. Сюда же можно добавить обработку сведений о судимости. Но есть нюансы. Про судимость могут обрабатывать сведения только в госорганах или иных организациях, прописанных в законах. А вот медики и страховщики в большинстве случаев данные о здоровье пациентов могут обрабатывать без согласия в соответствии со ст.10. Но очень часто собирают его. Наверное есть какое-то письмо Минздрава.
Номер пять: биометрия. Задокументированные особенности организма применять для определения личности организма без его согласия запрещено. Кроме тех случаев, что перечислены в ч.2 ст.11. Но там в основном про правосудие и госслужбу.
Номер шесть: совсем не очевидное, но скоро станет актуальным и востребованным. Согласие на обработку ПДн в целях автоматического принятия решений, влекущих юридические последствия для субъекта. Почти пересказ ч.1 ст.16 ФЗ152. Если объяснять на русском, то Искусственный Идиот в любой своей ипостаси не может решать насчет человеков. Если человеки не высказали согласие на это. Сейчас точно актуально для всяких ботов, автоматически собеседующих кандидатов. В ближайшем будущем еще что-то появится. Вон, говорят, в Албании в министры нейросеть назначили. Что будет дальше?
Кажется, основное перечислил. Может показаться, что упустил два важных: согласие на распространение и согласие на поручение. Нет, все верно. Согласие на распространение является частным случаем простого согласия. Оно становится обязательным только в случае, если основной тип согласия обязательный (те же спецкатегории). Ну а согласие на поручение оно вообще не про персональные данные.
Такие дела.
#Согласие_на_обработку #Согласие_на_рекламу #ФЗ152
15❤10🔥5👌3😁2
Забытое письменное согласие
На самом деле есть еще одно согласие, прямо прописанное в ФЗ152, но... Не работающее чуть меньше, чем полтора десятка лет.
Итак, статья 8 - общедоступные источники персональных данных!
Не поленюсь, процитирую:
Итак, когда то давно, в середине нулевых, законодатели еще помнили такие забавные штуки, как бумажные телефонные книги, и решили как-то их легализовать. Причем цифровизация и автоматизация уже шагала по планете полным ходом и законодатели попытались как то это прикрутить. И на выходе получилась такая вот конструкция:
1. Некий общедоступный (какой?) источник
2. Внесение данных строго с письменного согласия (очень удобно, ага).
3. Исключение ПДн в любое время по требованию субъекта (нереализуемо в принципе)
4. Цель обработки - только информационное обеспечение (фантазия отказывает представить себе что там имелось ввиду).
На самом деле вначале статья 8 была несколько больше и после первой кардинальной реформы ФЗ152 в 2011м году ей пытались пользоваться в крупных холдинговых структурах. Но реальность быстро разбила в дребезги мечты о прекрасных и всем доступных корпоративных справочниках. Именно по вышеуказанным причинам.
И сейчас статья 8 вместе с ее письменным согласием - этакий аппендикс в теле здорового и энергичного закона. Вроде и есть, и свой, родной, но не нужен, и удалить жалко, не болит же.
Такие дела.
З.Ы.: На фото намек на недопустимые последствия распространения персональных данных. Кто смотрел, тот поймет ;)
#ФЗ152 #Согласие
На самом деле есть еще одно согласие, прямо прописанное в ФЗ152, но... Не работающее чуть меньше, чем полтора десятка лет.
Итак, статья 8 - общедоступные источники персональных данных!
Не поленюсь, процитирую:
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Итак, когда то давно, в середине нулевых, законодатели еще помнили такие забавные штуки, как бумажные телефонные книги, и решили как-то их легализовать. Причем цифровизация и автоматизация уже шагала по планете полным ходом и законодатели попытались как то это прикрутить. И на выходе получилась такая вот конструкция:
1. Некий общедоступный (какой?) источник
2. Внесение данных строго с письменного согласия (очень удобно, ага).
3. Исключение ПДн в любое время по требованию субъекта (нереализуемо в принципе)
4. Цель обработки - только информационное обеспечение (фантазия отказывает представить себе что там имелось ввиду).
На самом деле вначале статья 8 была несколько больше и после первой кардинальной реформы ФЗ152 в 2011м году ей пытались пользоваться в крупных холдинговых структурах. Но реальность быстро разбила в дребезги мечты о прекрасных и всем доступных корпоративных справочниках. Именно по вышеуказанным причинам.
И сейчас статья 8 вместе с ее письменным согласием - этакий аппендикс в теле здорового и энергичного закона. Вроде и есть, и свой, родной, но не нужен, и удалить жалко, не болит же.
Такие дела.
З.Ы.: На фото намек на недопустимые последствия распространения персональных данных. Кто смотрел, тот поймет ;)
#ФЗ152 #Согласие
😁10👍1