Форум ''Интернет и Право''

Операторы персональных данных (ПД) должны получать от субъектов письменное разрешение на обработку их данных. Исключение составляют те ПД, которые потребны для исполнения договора между оператором и субъектом ПД.

Соблюдать права субъектов ПД надо. А не хочется. Получать разрешение хлопотно. И клиентов можно отпугнуть. Можно урезать объём ПД до самого минимума. Но жадность не позволяет. Хочется данных как можно больше собрать. И использовать их по своему усмотрению, а не по велению закона.

А теперь небольшая иллюстрация. Сегодня открывал счёт в банке. Условия договора - три страницы мелкого текста. В конце - раздел про персональные данные.
(http://pics.livejournal.com/infowatch/pic/0001rsp3/s320x240)
В согласии субъекта должен быть указан срок его действия. Пожалуйста: «Согласие действует в течение всего срока действия любого из заключаемых с Банков договоров, а также в течение 75 лет с даты прекращения...» Далеко смотрят, орлы! Странно почему не 200 лет? Нам, клиентам не жалко.

В законе о ПД предусмотрено, что согласие на обработку может быть отозвано. Пожалуйста: «Согласие может быть отозвано Клиентом путём направления письменного заявления в Банк. В указанном случае Банк прекращает обработку персональных данных, а персональные данные подлежат уничтожению...» Требования закона выполнены? Хорошо, теперь можно отыграть взад: «...подлежат уничтожению в срок, не превышающий семьдесят пять лет с даты прекращения обязательств сторон...»

Учитывая, что перед нами договор присоединения (ст.428 ГК), клиент вправе требовать изменения этого пункта как "явно обременительного для присоединившейся стороны условия". Сразу, как только деньги с этого счёта уйдут по назначению, ваш покорный слуга с коллегами по кафедре экспериментального права пощупает этот банк на предмет слабины. Проведём ещё один опыт наподобие  предыдущего (http://infowatch.livejournal.com/613.html). Попробуем добиться уничтожения ПД в неастрономические сроки.

Удачи!  ;D
ННФ, держи нас в курсе эксперимента!

ННФ, занятные эксперименты. Так предыдущий опыт(по дисконтным и бонусным системам) осуществляли тоже Вы?  

Уважаемый Николай Николаевич!
Будьте любезны прокомментируйте
Очень хочется знать мнение юриста-информационщика-профессионала
Вопрос - согласно нормам Мин Связи - разрабатывает НПА по ИСПДН
А РСКН после последних изменений Положения таких прав был лишен
(хотя в предыдущих версиях положений были лазейки, которые вымарали)
Суть

РБК 26.03.2009, Москва 13:03:56
Министр связи и массовых коммуникаций РФ Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработать и ввести новые стандарты в области защиты персональных данных.
Как сообщил сегодня И.Щеголев, представляя нового руководителя службы Сергея Ситникова, новые стандарты нужны для того, чтобы информационные системы, которые внедряются, не допускали информационных утечек. "Граждане, которые доверяют свои данные государству, должны быть уверены, что с ними ничего не произойдет", - отметил министр.
http://www.rbc.ru/rbcfreenews.shtml?/20090326130356.shtml

Министр связи и массовых коммуникаций РФ Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработать и ввести новые стандарты в области защиты персональных данных.
Как сообщил сегодня Щеголев, представляя нового руководителя службы Сергея Ситникова, новые стандарты нужны для того, чтобы информационные системы, которые внедряются, не допускали информационных утечек. «Граждане, которые доверяют свои данные государству, должны быть уверены, что с ними ничего не произойдет», — отметил министр.
http://www.klerk.ru/soft/n/?143045

Минкомсвязи РФ считает необходимым ввести новые стандарты в области защиты прав субъектов персональных данных. Как сообщил министр связи и массовых коммуникаций Игорь Щеголев, ведомство разрабатывает соответствующие предложения, передает ИТАР-ТАСС.
Нужно вводить такие стандарты, чтобы новые информационные системы, которые внедряются, не допускали утечки информации, - сказал Щеголев. По его словам, этот вопрос является одним из важнейших направлений деятельности Россвязькомнадзора

НЕ ИМЕЕТ РСКН права разрабатывать и Издавать НПА.!!!

Недавно вышло новое положение о РСКН
http://www.rsoc.ru/site/law/914.shtml

В нем нет таких позиций вот все их права
6. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций с целью реализации полномочий в установленной сфере ведения имеет право:
6.1. запрашивать и получать в установленном порядке сведения, необходимые для принятия решений по вопросам, отнесенным к компетенции Службы;
6.2. проводить необходимые расследования, испытания, экспертизы, анализы и оценки, а также научные исследования по вопросам, отнесенным к компетенции Службы;
6.3. привлекать в установленном порядке для проработки вопросов, отнесенных к компетенции Службы, научные и иные организации, а также ученых и специалистов;
6.4. давать государственным органам, органам местного самоуправления, юридическим и физическим лицам разъяснения по вопросам, отнесенным к компетенции Службы;
6.5. в порядке и случаях, которые установлены законодательством Российской Федерации, применять в установленной сфере ведения меры профилактического и пресекательного характера, направленные на недопущение нарушений юридическими лицами и гражданами обязательных требований в этой сфере и (или) ликвидацию последствий таких нарушений;
6.6. создавать совещательные и экспертные органы (советы, комиссии, группы и коллегии), в том числе межведомственные, в установленной сфере ведения;
6.7. осуществлять контроль за деятельностью территориальных органов Службы, а также за деятельностью подведомственных организаций;
6.8. утверждать образцы служебных удостоверений.

А Руководитель РСКН может только
9.7. на основании и во исполнение Конституции Российской Федерации, федеральных конституционных законов, федеральных законов, актов Президента Российской Федерации и Правительства Российской Федерации издает в пределах своей компетенции акты НЕнормативного характера по вопросам, отнесенным к компетенции Службы.


Видно господин министр Щеголев сам забыл, что тому поручено а что нет.
А вот как-раз Министерство Связи Обязано издавать для РСКН все НПА по защите прав субъектов ПД
(см Постановление Правительства Российской Федерации от 2 июня 2008 г. № 418 О Министерстве связи и массовых коммуникаций Российской Федерации
http://minkomsvjaz.ru/ministry/about/)

5.2. на основании и во исполнение Конституции Российской Федерации, федеральных конституционных законов, федеральных законов, актов Президента Российской Федерации и Правительства Российской Федерации самостоятельно принимает следующие нормативные правовые акты:
5.2.23. требования по информационной безопасности информационных систем, в том числе информационных систем персональных данных (за исключением информационных систем критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи;
5.2.26. нормативные правовые акты по другим вопросам установленной сферы деятельности Министерства и подведомственных Министерству федеральной службы и федеральных агентств, за исключением вопросов, правовое регулирование которых в соответствии с Конституцией Российской Федерации и федеральными конституционными законами, федеральными законами,
6.3. привлекать в установленном порядке для проработки вопросов, отнесенных к сфере деятельности Министерства, научные и иные организации, ученых и специалистов;

При осуществлении правового регулирования в установленной сфере деятельности Министерство не вправе устанавливать не предусмотренные федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации функции и полномочия федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, а также не вправе устанавливать ограничения на осуществление прав и свобод граждан, прав негосударственных коммерческих и некоммерческих организаций, за исключением случаев, когда возможность введения таких ограничений актами уполномоченных федеральных органов исполнительной власти прямо предусмотрена Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами и издаваемыми на основании и во исполнение Конституции Российской Федерации, федеральных конституционных законов, федеральных законов актами Президента Российской Федерации и Правительства Российской Федерации.
10.10. вносит в Правительство Российской Федерации проекты нормативных правовых актов, другие документы, указанные в подпункте 5.1 настоящего Положения;
10.16. издает приказы, имеющие нормативный характер, а по оперативным и другим текущим вопросам организации деятельности Министерства - приказы ненормативного характера.



Интересно кто и что исказил СМИ текст министра Щеголева
Или господин министр не знает своих обязанностей
Или речь идет только о подготовке проектов для рассмотрения?
Все эти игры очень странно выглядят
С уважением
8itsec

Разработает РСКН, подпишет министр связи. В чём проблема-то?

Год назад и вопросов бы не возникло - когда в положении о РСОК была такая обязанность.
Ситуация тем и интересна что за год дважды реформировали РСОК-РСКН и эта позиция из их обязанностей была изъята и перемещена в обязанности МинСвязи - вроде это делалось сознательно?
Если нет - к чему было огород городить?
После поручения 1244 РСОК был обЪявлен "Регулятором".
Как-то все это странно, с 2006 года МинСвязи и само могло все нормы изобрести (есть там и профильные институты и кадров у МинСвязи хватало)
Вот РегионВокс специально "Выростили" в 2008 году для разработки стандартов по защите ПД "Сотовиков" по сути выводя их из-под ведения РСОК.
Опять-же ни одно из Министерств НЕ представляет сведения В РСОК (для включения в реестр "Операторов" ПД).
У МВД,ФСБ и прочих нет информационных систем с ПД?
Т.е. страну опять поделили на "Неприкасаемых" и "Плательщиков"?
Это в общем знакомо.
Вопрос или наивен или глубок так, что в  глубины даже юристы не погружаются?

Уничтожение персональных данных при продаже ж/д билетов (техническая сторона)

http://david-gor.livejournal.com/85121.html

http://david-gor.livejournal.com/83517.html

ОФФ: Кстати, хотел поинтересоваться, будет ли интересно получить приглашения участникам форума сюда:

Форум "Интеллектуальная собственность - XXI век". ТПП РФ+ГД РФ
http://bablaw.livejournal.com/58977.html

хакер в законе? это что-то вроде вора в законе или как?
вы и есть тот самый юрист, готовящий законы для интернета, подрабатывающий в госдуме?
я извиняюсь, просто так о вас написали журналюги. ;)

Я гораздо хуже....

Я не юрист, и в госдуме не подрабатываю. Я там работаю :)

Приятно, что хакеры теперь в госдуме работают :D
это случайно не Жирик свою идею фикс наконец-то реализовал? ;)
А почему Вас не было на арбитражной практике в январе этого года когда в ВАСе обсуждали проект Постановления по ч.4 ГК? ведь никто из Ваших не выступил против пункта о безвиновной ответственности за нарушения авторских прав (если бы выступили то его бы точно не было). а потом Вы (уже после рассмотрения) если не ошибаюсь, громко громко говорили о том как это плохо...
и ещё у меня много вопросов:
почему доработанный такой нужный проект Слуцкера по интернет СМИ так и не довели до первого чтения?

интересное мероприятие, хотелось бы попасть, особо интересует уголовная практика по ст. 147 и ст. 180 УК...
но боюсь я буду на другом мероприятии...
хотя, если будут реальные практики (а не научные деятели), то могу и вырваться.

2 Н.Н. & all:
Преамбула:
Так уж вышло, что я довольно долго был читателем данного ресурса (из ресурсов подобной направленности ещё ЮрКлуб и ДураЛекс столь же регулярно посещаемы мною...). В конце концов решил зарегистрироваться и поучаствовать в некоторых дискуссиях...
Вот, углядел довольно интересную веточку - и решил слегка реанимировать тему.

Амбула:
Н.Н., по поводу уничтожения персональных данных мне очень понравились вот эти дискуссии, упомянутые в этой же ветке чуть ранее:
http://david-gor.livejournal.com/85121.html
http://david-gor.livejournal.com/83517.html

Там промелькнула одно соображение, не получившее дальнейшего развития, а именно про доказательство уничтожения ПД.
Конкретно в применении к Вашему случаю - можете ли Вы (и если да, то на основании чего) потребовать у банка доказать факт уничтожения Ваших ПД (техническую (не)возможность такого доказательства я пока не трогаю)?
Не получится ли так, что банк на голубом глазу заявит, что уничтожил Ваши данные, дабы вынудить Вас отступиться (тогда, даже если Вы подозреваете их в.. гм-ммм... неискренности, уже Вам придётся доказывать неисполнение ими требований закона)?
Существуют ли какие-то действенные законные механизмы "а-ля независимый аудит ПД третьей стороной" (помимо описанных в данном материале - http://infowatch.livejournal.com/613.html), позволяющие убедиться в декларированном уничтожении ПД?
Этой кучей вопросов я так плавно подвожу к мысли, что Ваш смелый эксперимент, скорее всего должен забуксовать среди формальных конструкций и сопутствующей им канцелярщине... :) Кстати, третий месяц уж теме - что-либо сдвинулось?
=========
И ещё одно соображение (тут уж я выступлю со своей, технической колокольни)...
В нормативке о ПД, если я ничего не путаю, есть положение об уничтожении этих самых ПД отовсюду, где они имеют место быть - из всех мест хранения, со всех носителей, и т.д., и т.п.. В поминавшихся тут ссылках в числе таких копий фигурировали в т.ч. и быкапы БД, хранящих ПД.

Но есть некий технический нюанс...
Во-первых, файлы быкапа содержат всю инфу "скопом", без разделения по, в нашем случае, персонам - иными словами, нет быкапа данных Иванова, быкапа данных Петрова и т.п.: соответственно, нельзя уничтожить, к примеру, файлы "Bckp_20090520_Petrov", "Bckp_20090422_Petrov"... etc. ... и успокоиться.

Отсюда вытекает "во-вторых": файлы быкапов практически всех современных БД имеют некий формат, отличный от формата "просто файла с данными" (типа текстовика с ПД вида "один чел - один абзац").
Соответственно, текстовик можно открыть, найти (поиском) ПД конкретного чела - и удалить данный абзац: текстовик от этого не пострадает.
Иное дело файл быкапа - если вырезать из него (например, hex-editor`ом) "поля", хранящие ПД конкретного чела, то файл быкапа будет покорёжен.

Т.е., для каждой конкретной БД будет необходим инструмент (от производителя или от третьих лиц), позволяющий изменение файла быкапа без повреждения его структуры, влекущего за собою невозможность восстановления из него "снимка" БД на момент быкапа. Причём, скорее всего, придётся не удалять ПД из быкапа, а затирать их (нулями, единицами, да чем угодно), т.к. иначе при восстановлении БД из данного быкапа мы получим нарушение целостности БД из-за наличия ссылок на отсутствующие строки таблиц, откуда данные удалялись (я уже так и вижу кислые рожи DBA и ISO, внезапно потерявших уверенность в своих быкапах :))...
Альтернативой подобной "Утилите Препарирования Быкапов" может служить, пожалуй, лишь restore  каждого быкапа в копию БД, затирание/изъятие из этой копии ПД конкретного чела и последующий backup этой копии обратно.

Причём неважно, как будет обработан файл быкапа (утилитой или процедурой "restore -> erase PD -> another backup") - в процессе обработки нас ждут ещё несколько сюрпризов...
Для начала - далеко не все конторы/лавки/ведомства ограничиваются пятью (десятью, ...тью) версиями быкапов: даже при ежедневном быкапе имеем 365 версий в год, больше тысячи за год, на глубину 3-5 лет (нормальный срок для многих надобностей) - 3-5тысяч версий. Про инкрементные быкапы напоминать не стОит: они, как правило, используются для файл-серверов - у БД каждый быкап есть независимая копия (может быть вариант инкремента с журналом/логом изменений, но это мало что меняет по сути проблемы). Соответственно, самые старые ПД придётся "выковыривать" практически из всех имеющихся "тысяч" версий быкапов. Если вспомнить о том, что нормальная схема хранения важной инфы предполагает многократное (не менее 3-х) дублирование резервных копий с разнесением их территориально, то придётся либо организовывать "центры уничтожения ПД" во всех местах хранения быкапов, либо организовать процедуру доставки копий в один такой "центр" с последующим развозом по местам хранения "обработанных" быкапов. Ну или, как вариант, удалённый доступ из единого "центра" ко всем хранилищам - но тогда всё-равно придётся превращать их из "камер хранения" (а-ля "банковская ячейка") в некие датацентры с возможностью доступа к хранимым данным (что, опять же, не порадует DBA и ISO).

Кроме того, хорошо бы не просто создавать новые, откорректированные быкапы, но ещё и вести некий учёт этих корректировок - типа, обращается г-н Пупкин В.В. насчёт уничтожения своих ПД, а ему и говорят, мол, "уважаемый, а Ваши ПД уже того, тю-тю, почикали (ну, например, по сроку давности, или по иному законному основанию), т.ч. спите спокойно!".
Но тогда как лучше учитывать? Вести отдельную БД корректировок? А если там попадутся два или более Пупкиных В.В. (Ивановы, Петровы, Сидоровы и прочие Кузнецовы у нас не в дефиците с любым набором "фамилия-имя")? Дополнять ИННом/номером паспорта/ещё чем то для точной идентификации? - дык, получается, опять копим ПД.
Можно не учитывать, ограничиться запросом к БД, откуда данные должны были удалиться - запрос вернул "зеро", значит, ПД на данную персону в БД отсутствуют. Но тогда требуется как-то обеспечить жёсткую взаимозависимость процедур удаления ПД из БД и из быкапов этой БД, чтобы не вышло так, что из БД данные удалили, а с быкапами что-то не заладилось...

---

Это я так подробно расписАл, какие технические вопросы и проблемы вытекают из попытки буквально исполнить данный закон в случае нахождения ПД в современной БД, для того, чтобы показать, на какие "подводные грабли" могут напороться собиратели и хранители ПД.
Собственно, я вполне понимаю их трудности (не разделяя, однако, этой их всеобщей мании "знать всё обо всех") и их нежелание "выпускать джинна из бутылки", влезая во все эти тонкости (подозреваю, что им проще формально отбрехаться "усё в порядке, шэф"/голосом Папанова/). Однако, ИМХО, джинн тот уже давно выпущен  самим фактом наличия подобной практики "собирательства"...

Может ли оператор соврать? В принципе, может. Как это доказать? Дождаться, когда он использует ПД - это и будет доказательством. Ведь оператор хранит ПД не просто "шоб було", а для использования. Если ПД хранятся с условием никогда ими не пользоваться, то субъекта это, скорее всего, удовлетворит.


По идее, это должны проконтролировать госорганы при проведении "процедуры оценки соответствия", предусмотренной в Постановлении 781.


Всё просто. Если ПД архивируются (бэкапятся), то оператор обязан обеспечить уничтожение ПД в том числе и в архиве. Оператор выделяет соответствующий бюджет с шестью нолями, и за работу принимаются эксперты, затем проектировщики, затем программисты и инженеры. Сделанное ими решение сертифицируется, чем и подтверждается, что ПД будут уничтожены везде, где надо. Если такого бюджета нет, то выделяется половина, и за работу принимаются юристы, которые доказывают, что в существующей системе ПД и так уничтожаются или вовсе не обрабатываются, или то, что обрабатывается - не персональные данные. Когда денег не хватает даже на юристов, выделяется 1/10,  за дело принимаются посредники, которые договариваются в соответствующих проверяющих и сертифицирующих органах. Выданные документы подтверждают, что ПД уничтожаются должным образом.

2 Н.Н.

Ну да - собственно, этот момент я и пытался осветить более детально с технической стороны... :)
 
М-м-мммм... Т.е., каждая шарашка (сиречь, "оператор"?), собирающая в настоящее время ПД (и собирающаяся продолжать делать это в дальнейшем), должна будет выкатить эту кучу ноликов из своего кошелька?  Сомневаюсь я что-то... Не, ну можно, конечно, попытаться подпереть эту ментальную конструкцию грозными НПА (вплоть до включения сбора ПД в список лицензированных видов деятельности), а потом стричь купоны с тех, кто не пожелает следовать буквально этому маразму, но... в общем, бессмертное черномырдинское "как всегда..." брезжит.

"Решение"? Дык ведь тех БД сейчас используется - мама не горюй! Одних серверных частей сколько - MSSQL, Oracle, DB2, Informix, IB/FB/Ya, MySQL, Postgress. "Междумордия" доже писаны на чём попало - Дельфи, Си в вариациях, Ява/дотнеты разные и т.д., и т.п. Во, блин, они все обрадуются...

Или мыслится единообразная платформа (БД)? Типа, "нам по..., на чём вы там работаете и на какой БД зиждится ваша система управления - вот вам единое (единственное) утверждённое и сертифицированное решение и вперёд!" Помня недоброй памяти "алкогольный АТЛАС" - верю в реальность прогноза, не задумываясь...
Заодно подкормим "серых" - появится новый повод для проверок ("а предъявите-ка, граждане, доку... тьфу, сертифицированную БД для сбора и хранения ПД!").
Да, и не забыть бы к новому "атласу" прикрутить возможность удалённого доступа для сами-знаете-кого... ну, под предлогом очередного приступа борьбы с/за <нужное вписАть>...
 

Во-о-о-оооот! Собственно, что и требовалось доказать - сие не вопрос процедуры, а вопрос веры в её наличие. Технологии в данном случае, тсзть, лишь косметика на трупе - для придания убедительного лоска...

Спасибо, Николай Николаевич, я, в общем-то, так и думал, но посоветоваться никогда не бывает лишним... :)