-
О НАУФОРСтандартыИнформационные материалыОценка квалификации и обучение
ФЗ ″О персональных данных″. Вопросов больше, чем ответов. Обсудим?
Правила форума Сергей С.
Рег.: 07.11.2006
Сообщений: 97
Сообщ. #1 от 04.06.2009 12:11 
Коллеги, не смог найти поиском по форумам тематики, связанной с ФЗ ″О персональных данных″.
Тематика не связана напрямую с профессиональной деятельностью, но касается всех нас.
Нарушение Закона ведет к ответственности вплоть до уголовной.
Хотелось бы оценить масштаб бедствий при применении положений этого Закона в деятельности профучастников. Хотелось бы понять, что в этом Законе нас касается напрямую, что необходимо предпринять в обязательном порядке.
При прочтении Закона практически каждая статья порождает нездоровый агрессивный вопрос, адресованный законодателям, хотя цель, ради которой этот Закон написан, благая и не вызывает сомнений.
Предлагаю в этой ветке (если иных нет) собрать эти вопросы, обсудить их и выработать свой подход, свою позицию, свое решение, которое можно будет принять в своей организации.
В качестве затравки задам свой намеренно глупый агрессивный вопрос:
″В ходе переговоров я получил визитку, в которой указаны Фамилия, Имя, Отчество, Компания, Должность, рабочие и мобильные телефоны, электронные адреса и пр. Эти данные позволяют однозначно идентифицировать лицо. Скажем, визитка, содержит ″Медведев Дмитрий Анатольевич, Президент Российской Федерации, тел....″ однозначно определит физическое лицо, не ошибетесь :)
1. Вправе ли я внести эти данные в свой мобильный телефон? Я буду использовать их не в личных целях, а для ведения телефонных переговоров от лица компании, которую я представляю.
2. Вправе ли я внести эти данные во внутренний справочник своей организации для того, чтобы ими могли пользоваться другие сотрудники компании для переговоров, адресации почты?
3. Нужно ли вместе с визиткой в ходе переговоров получить письменное согласие субъекта персональных данных на их обработку, если нет - то почему?″Lulu
г. Москва
Рег.: 30.01.2007
Сообщений: 105
Сообщ. #2 от 04.06.2009 12:53 
Иденитфикация происходит на основании документа, удостоверяющего личность, поэтому по визитке нельзя идентифицировать человека.Сергей С.
Рег.: 07.11.2006
Сообщений: 97
Сообщ. #3 от 04.06.2009 14:50
2Lulu
Ваше мнение понятно. Очень хотел бы с Вами согласиться, но не могу.
Идентификация останков царской семьи проводилась без документов, удостоверяющих личность, и они были идентифицированы.
Идентификация человека, потерявшенго паспорт производится на основании свидетельских показаний.
В разных случаях идентификации используют разные методы. Т.е., скажем, ДНК человека или отпечатки его пальцев - это тоже его персональные данные, которые позволяют идентифицировать физическое лицо и никакой документ тут не нужен.
Если читать 152-ФЗ, то:
″персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;″
В приведенном мной примере информации о ФИО и должности вполне достаточно, чтобы ОПРЕДЕЛИТЬ лицо. Сразу определенный образ перед глазами встает. Разве нет?
Ну, а мобильный телефон в визитке или адрес электронной почты, безусловно, относится к ОПРЕДЕЛЕННОМУ лицу.
Вопрос о визитке, безусловно, несколько бредовый. Но я хотел таким образом попытаться аргументированно ″удалить″ из требований закона бредовые составляющие, оставив лишь реальные и понятные требования.Александр
УК
Рег.: 02.04.2008
Сообщений: 20
Сообщ. #4 от 04.06.2009 15:09
если ваши действия не подпадают под
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
при этом вы
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
то скорее всего вы уже нарушили ″Статья 22″
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
и если не разберетесь чем именно занимается ваша организация, то возможно нарушите
″3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.″
Сергей С.
Рег.: 07.11.2006
Сообщений: 97
Сообщ. #5 от 04.06.2009 16:36 
2Александр
1) Нет, не попадают. Я, как представитель юридического лица (юрлицо), внес данные с визитки в корпоративную базу данных, собственный мобильный телефон не для личных нужд.
2) Я оператор - юрлицо (представитель), обрабатывающее персональные данные с визитки.
3) Да, обрабатываю - собираю, систематизирую, коплю
4) Нет не нарушил - уведомил орган в отведенный Законом срок
5) Чем занимаюсь - знаю. Не знаю что и как соблюсти, чтобы не нарушить этот Закон, а потому и задаю свои вопросы.
Сожалею, но так и не получил ответа на три своих глупых вопроса в головном топике, зато получил известные мне цитаты из документа :(
Так кто же ответит?Александр
УК
Рег.: 02.04.2008
Сообщений: 20
Сообщ. #6 от 04.06.2009 17:40
если вы осуществляете обработку персональных данных потенциального клиента, то вам придется получить согласие.
если это действующий клиент то всегда можно сослаться на
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора (например 115-ФЗ);
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
Сергей С.
Рег.: 07.11.2006
Сообщений: 97
Сообщ. #7 от 05.06.2009 13:33 
2Александр
Правильно ли я понял, что если потенциальный клиент пришел для общения на тему возможного заключения договора с моей организацией, то получив в руки визитку я должен одновременно получить от него согласие на обработку содержащихся на ней данных?Александр
УК
Рег.: 02.04.2008
Сообщений: 20
Сообщ. #8 от 05.06.2009 14:00
Если на основании полученной информации (визитки) вы осуществляете обработку персональных данных то да.
Я только не понимаю, зачем вам при получении визитки осуществлять обработку персональных данных (зачем вообще об этом кому-то говорить), в моем понимании, если закон или договор вас однозначно заставляет обрабатывать персональные данные только в таком случае нужно исполнять 152-ФЗ.
Пример:
Профессиональные участники является оператором в силу 115-ФЗ.
Обработка персональных данных начинается в момент заключения договора (заполнения анкеты и т.п.), при этом, если договор не заключен, у вас нет обязанности обрабатывать персональные данные.
Сергей С.
Рег.: 07.11.2006
Сообщений: 97
Сообщ. #9 от 05.06.2009 14:38 
Вопрос про визитки, как я уже говорил, ″глупый″.
Понятно, что я не собираюсь согласовывать с тем, кто мне эту визитку вручил вопрос внесения данных с визитки в свой мобилный телефон. Раз дал, значит наделил меня правом пользоваться этой информацией. Ну, по-житейски так...
Просто на нем хочу ″обкатать″ выход из несуразных требований ФЗ.
Ваши вопросы не понятны:
″зачем обрабатывать?″ - внесение записей в мой мобильник, но с производственными (не личными) целями - это обработка и систематизация. Кроме того, уверен, что и Вы у себя на работе вносите данные в Outlook, а то и в корпоративную базу данных (как, например, я), чтобы другие сотрудники могли воспользоваться знанием этого контактного лица.
″зачем говорить?″ - считаю, что законодательство надо соблюдать или, по-крайней мере, стремиться к этому.
Таким образом, полагаю, что на вопрос про визитки ответ получен:
- если данные из визитки будут использованы не в личных целях и будут обработаны, то при получении визитки я должен заручиться письменным согласием на обработку персональных данных от физического лица, давшего мне эту визитку :)
Ну а уж кто и как будет отвечать этому требованию 152-ФЗ - дело всех и каждого...Александр
УК
Рег.: 02.04.2008
Сообщений: 20
Сообщ. #10 от 05.06.2009 14:55
наверное вы правы, только ответе на вопрос: как вы собираетесь исполнять статью 19 (особенно относительно мобильных телефонов)???
″Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий″
Сергей С.
Рег.: 07.11.2006
Сообщений: 97
Сообщ. #11 от 05.06.2009 16:05
Наверное, Вы неправильно меня поняли.
Я на защищаю положения данного ФЗ и не даю рецепты по соблюдению его требований.
Я равно как и Вы, вижу некие несуразности и пытаюсь понять, что можно и нужно сделать, без чего можно аргументированно обойтись, а что вообще невозможно сделать.
Понятно, что обсуждая эти несуразности, приходится становиться то на сторону исполнителя и искать аргументы с этой стороны, то на сторону законодателя, цитируя требования ФЗ.
Что касается приведенной Вами цитаты, то тут Вы меня ставите на сторону исполнителя:
1. ″Принимать необходимые меры″ не означает обязательное шифрование и криптографию. Они указаны, как одна из возможных мер. Меры в совокупности должны обеспечить защиту от случайного доступа и пр. Таким образом, если я установлю на свой мобильник код блокировки, не буду оставлять мобильник без присмотра и не буду давать им пользоваться другим людям, я обеспечу защиту этих персональных данных.″
2. Я пользуюсь сертифицированным телефоном, о чем свидетельствует наклейка Ростеста на внутренностях телефона. Сертификация означает, что телефон соответствует всем техническим и законодательным требованиям Российской Федерации. Т.е. он, можно сказать, досрочно прошел сертификацию обязательность которой в части персональных данных наступает лишь с января будущего года.
Ну и если есть желание, пожно порыться в ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. N 781 ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ и там поискать еще что-нибудь в защиту моего любимого телефона. Но это уже лишнее.
Убедил?Для того чтобы участвовать в форуме, зарегистрируйтесь на сайте. Если вы уже регистрировались, войдите на сайт НАУФОР, используя свой e-mail и пароль.
