Кому нужен закон о персональных данных

Кому нужен закон о персональных данных

Об операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.

Сбор и обработка персональных данных юридическими лицами – практика распространенная. Кто-то включает персональные данные в договора, кто-то собирает персональные данные для программ лояльности, кто-то собирает для проведения обзвона с целью предложить свои самые современные пылесосы. У каждого свои цели. И это прекрасно, пока не доставляет неудобств людям.
Если у организации недостаточно денег на средства защиты, экспертов, желания – это трудности конкретной организации. Нет денег на средства защиты, ну так пишите на бумаге, но с разрешения владельца. Если интернет-магазин не может обеспечить безопасность информации о заказах, значит не надо хранить эти заказы.
Данная статья позволяет разобраться владельцу персональных данных, каким способом он может заставить оператора персональных данных прекратить нарушать его права.

Основной посыл в законе о персональных данных: информация, содержащая любые персональные данные*, не принадлежит никому кроме самого владельца, и если какая-либо компания хочет их получить, она должна обосновать это желание и получить разрешение от владельца, либо иметь на обработку законные основания. Кроме того, такая компания должна обеспечить безопасность этой информации.

*статья 2. Пункт 1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Разрешение может быть дано как в виде отдельного документа, содержащего подпись владельца, так и в рамках какого-либо договора: на оказание услуг, трудового договора или других форм. Существуют и исключения, когда письменного разрешения не требуется, они указанны в статье 6 федерального закона. Если организация не попадает под пункты, где не требуется разрешения, и письменного разрешения также не имеет, то оператор обязан уничтожить персональные данные в срок, не превышающий 7 дней, (статья 20 пункт 3) и уведомить об этом владельца персональных данных.

Ваши персональные данные могут обрабатывать только для четко определенных целей, никто может их обрабатывать просто так**. Если вам при получении карты постоянного покупателя предлагают указать ваши паспортные данные, наличие недвижимости и счетов в банке, то это избыточная информация, которая не требуется для оказания услуги, и сбор такой информации является незаконным. При этом вам не могут отказать в выдаче карты, если вы не укажете, сколько стоит ваша квартира в этой анкете.

**Статья 1 пункт 3 обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Если какая-либо организация обрабатывает ваши персональные данные, вы имеете право запросить у оператора персональных данных информацию***, касающуюся обработки персональных данных, что указанно в статье 7.

***статья 14 пункт 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Ответ по данному запросу оператор обязан переставить в 30-дневный срок.
Если вам, например, позвонили коллекторы и требуют от вас какие-либо выплаты, не надо с ними ругаться, стоит аккуратно записать из какой организации и кто звонит. После этого следует отправить заказным письмом запрос в эту организацию. В письме необходимо запросить основание обработки, цели обработки и состав, указанный в пункте 7 статьи 14 ФЗ.
Если в течение 30 дней вам не пришел ответ, смело пишите заявление в Роскомнадзор, заодно проверив, числится ли коллектор в реестре операторов персональных данных.

Вот пример последствий для оператора персональных данных по обращению владельца:

Случай из жизни: меня в очередной раз расстроил мой интернет-провайдер своим качеством обслуживания, и я решил посмотреть насколько законно он обрабатывает мои персональные данные. Написав и распечатав письмо с запросом информации из статьи 14, я сходил к ним и отдал под роспись секретарю вместе с претензией на качество обслуживания. На следующий день руководитель технической поддержки (до этого мне так и не удалось с ним поговорить, не переключали) с радостью сообщил, что они все починили, дал мне свои контакты с просьбой звонить если что то будет не так ему лично. Интернет с тех пор работает отлично.

Еще один пример нарушения со стороны оператора персональных данных: после покупки машины в автосалоне по почте пришло письмо от производителя из Германии, в котором говорилось, что я приобрел машину такой-то марки с просьбой оценить качество обслуживания их дилера. При заключении договора в тексте договора не было нигде описано, что я разрешаю обрабатывать свои данные, тем более передавать их кому-либо.
Оператор не уничтожил мои персональные данные после достижения целей обработки (договор исполнен), осуществил трансграничную передачу этих данных и продолжает обрабатывать их в своих информационных системах, без какого-либо основания (приходят СМС с информацией об акциях).

Если статья будет интересна читателям, на последнем примере нарушения выложу формы обращения и пошаговую инструкцию по организации запросов к операторам персональных данных, запросов в Роскомнадзор, расскажу, куда можно обратиться помимо Роскомнадзора, и на какие статьи законодательства ссылаться.

m.habr.com

Всё, что нужно знать о персональных данных

Формы обратной связи, соцсети, иностранные сервера и рога оленя

Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.

Вот что вы спрашивали о персональных данных.

Консультируйтесь с юристом

Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.

Объясните вкратце для тех, кто не в курсе

В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.

За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.

Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц.

Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.

Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.

В Европе паранойя по поводу персданных уже давно

Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.

Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.

Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.

Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.

Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.

У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?

Да, закон нужно соблюдать всем, кто обрабатывает чьи-то персональные данные. Оператором может быть юридическое лицо, ИП , государственный орган или обычный человек, который создал и администрирует форум по интересам. Точное определение, кто является оператором и что такое обработка персональных данных, есть в 3 статье закона.

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд . Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные — то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор — это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым . Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы — являются.

Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы . Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

  • сам проведет проверку;
  • отреагирует на чью-то жалобу.

Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.

Сначала читать, потом подписывать

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

  • доменное имя связано с РФ или субъектом;
  • есть русскоязычная версия сайта;
  • расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
  • потребители содержимого сайта — россияне;
  • есть реклама на русском, которая ведет на этот сайт.
  • Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

    Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

    Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

    В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.

    Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

    Закон о персональных данных защищает данные только физических лиц . Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, — это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

    Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

    В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.

    Вот публикую я пост в фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

    Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

    Все пользователи фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.

    Вы уже разрешили фейсбуку делать с вашими персданными что угодно

    Все согласились на то, что эти данные фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает фейсбук, а не пользователи.

    Так устроена любая соцсеть и общедоступные справочники.

    Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

    Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.

    Геннадий сам сделал свои данные общедоступными , чтобы купить рога оленя. А те, кто позвонит ему по поводу покупки рогов, используют телефон в личных целях.

    Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.

    Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.

    То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например.

    Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.

    Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.

    «Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.

    Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

    Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.

    Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?

    Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.

    Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.

    Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.

    Согласие должно быть осознанным и информированным

    Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.

    У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.

    Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.

    Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

    Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.

    Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?

    Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.

    На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.

    Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.

    Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.

    Обеспечьте техническую безопасность данных и защитите их от утечки.

    Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.

    Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.

    Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.

    Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.

    Закон о персональных данных — это не страшно

    Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.

    Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.

    journal.tinkoff.ru

    Зачем нужен закон «О персональных данных»?

    На весь интернет подозрительно синхронно выплеснулась весть «Стартовые потери России от закона «О персональных данных» оценили в 286 млрд рублей» (а потом — ещё больше).

    Лучше даже так : «Тоталитарный режим персонификации обойдется правительству в 286 миллиардов рублей… в принципе непонятно, как нездоровая экономика нашей страны отреагирует на данное нововведение. Скорее всего, волна недовольств может обрушиться на руководящие органы власти. … Чего же все-таки добивается наша страна. Ответ невероятно прост: Россия станет первой страной, имеющей мощность в 3 раза больше, чем у развивающихся стран, в которой будет введена полная локализация данных. Ради чего она не прочь спустить каких-то 286 миллиардов рублей, несмотря на дефицит бюджета и грозящие последствия».

    Ну, хотя бы не «эта страна». Ладно, кто выступил экспертом? Некий Европейский центр по международной политической экономии (ECIPE). Вот цитата его директора Фредрика Эриксона, наглядно показывающая непредвзятость по отношению к России:

    «Европейский союз был слишком слаб, чтобы снизить уровень своей экономической зависимости от России. Применение ЕС широких экономических санкций крайне неправдоподобно, даже если инвестиции и экспорт в Россию настолько велики, что санкции могли бы привести к банкротству Russia Inc.».

    Очень хотелось бы, но не получится. Понятно, что эксперты скромно умолчали о том, как именно они рассчитывали потери, и огласили лишь конечный вывод. Это же эксперты, им нельзя не верить!

    Но ладно, сами указали, что цель — это локализация данных. Давайте посмотрим — они как-то так написали, что это что-то плохое. Ну и глянем на сам закон.

    Следует отметить, что чтение журналистских материалов на тему законодательства всегда затруднительно: юриспруденция — очень специфическая область, и мало кто в ней разбирается. Тема IT обладает теми же особенностями. При этом депутаты, выдвигающие законы, крайне редко обладают нужной юридической и компьютерной квалификацией, особенно одновременно, и принимают законы со скоростью, за которые их хорошо бы успеть просто прочитать.

    Ну а журналисты, которые об этом пишут… ну, вы поняли. Так что при чтении публикаций на тему эти особенности надо учитывать, очень уж часто применяется метод «сам не слышал, но мне Рабинович напел». Так что посмотрим в первоисточник.

    Федеральный закон № 242-ФЗ, о котором идёт речь, вносит в Федеральный закон № 152-ФЗ «О персональных данных» следующие изменения:

    «1) статью 18 дополнить частью 5 следующего содержания:

    «5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона»».

    Указанные исключения связаны с международными обязательствами, осуществлением правосудия и другой работой органов государственной власти, а также научной, творческой и журналистской деятельностью. Не вижу повода для паники.

    Беглый обзор публикаций (включая обсуждения ранних редакций закона) выявил две главные «пугалки».

    Первая: нельзя будет пользоваться зарубежными магазинами, бронировать билеты в гостиницах и т.д. — им что, специально в РФ сервера заводить? Однако если иностранное юридическое лицо не имеет представительства на территории России, на него не распространяются требования законов РФ, что логично.

    Вторая: будет невозможно оформлять шенгенские визы (был такой массовый вброс от «анонимного европейского чиновника»). Однако эта процедура относится к имеющимся международным соглашениям и к исполнению полномочий органов власти — оба исключения прописаны в законе.

    Остальное вида «для иностранных компаний слишком дорого хранить личную информацию клиентов в каждой стране, где они работают» даже не заслуживает внимания.

    Почему это? Какая разница, где хранить информацию, тем более что для большинства компаний объём соответствующей информации не особо велик. Например, представитель Lenovo сообщил , что компания перенесла персональные данные российских клиентов: «Это небольшой объем информации, который занял около терабайта — такой объем можно хранить даже в обычном ноутбуке».

    Да и вообще паники среди иностранных фирм не наблюдается : Cisco изначально хранила часть данных в России, не видят проблем в переносе информации eBay, PayPal, AliExpress, Samsung, Booking.com (как раз сайт для бронирования отелей). Даже Google с 2014 года заранее переносил сервера в российские дата-центры. Это — сходу, и понятно, что пишут лишь о самых крупных компаниях. Но как-то незаметно, чтобы из-за закона иностранные компании начали разбегаться.

    Ясно, на кого рассчитан вброс: любому технически хоть сколько-нибудь грамотному человеку понятно, что данные безразлично, где хранить, расходы больших корпораций на аренду стойки в дата-центре ничтожны по сравнению с оборотом, а для небольших компаний речь по сути идёт о том, чтобы завести специальный жёсткий диск, на котором ещё место под любимые сериалы останутся. Даже если будет дублирование данных — это не принципиально для любой организации.

    Зачем вообще разрабатывали закон? Заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству, Председатель временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова объ ясняет :

    Честно говоря, несколько мутновато. Я бы сказал, что видение данных тут на уровне распечатки, а не самих данных. Мол, тут мы может проконтролировать, чтобы не спёрли то, на чём данные хранятся. К сохранности самих данных это не имеет ни малейшего отношения, начиная с шифрования и заканчивая охранником с дробовиком в серверной: «По сигналу стрелять по вот этим коробочкам».

    Может, тогда будет проще заставить выполнять требования российских законов? Но, скажем, Twitter последовательно не выполняет требования российского законодательства, в том числе направленные на противодействие экстремизму, хотя аналогичные запросы США удовлетворяет, чем и хвастается. Ну и чем поможет, если сервер с данными «какой у кого никнейм» будет на территории России? Да что там Twitter — в изначально российском «вконтактике» можно найти всё, от гей-порнографии до парадов гордости самостийных бандеровцев, включая явно русофобские и антироссийские паблики и группы — лучше бы тут зачисткой занялись.

    Более того, а как можно проверить, хранятся ли эти самые персональные данные именно на этом сервере в РФ? Конечно, специалист определит — но для этого нужен полноценный доступ в систему, что без санкции суда затруднительно. Но ладно — сами разрешили, но как убедиться, что на сервере все-все персональные данные и именно россиян? А вдруг несколько байт хранится на сервере в другой стране, как отследить такое вопиющее нарушение закона?

    Юридический аспект закона также шедеврален. Читаем определение: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

    Любая информация… косвенно, Карл!

    Это даже не «позволяющая идентифицировать лицо», а вообще любая. Всё, что написали (сказали, записали на видео) лично вы, и всё, что написали (сказали, записали на видео) о вас другие. Как-то даже не смешно. Похоже, те, кто выдал такую формулировку, вообще никогда не пользовались интернетом.

    При этом некоторые хотят ещё расширить понятие: «Помощник президента Игорь Щеголев предложил расширить понятие персональных данных, включив в них информацию о действиях пользователей в интернете, например в соцсетях… В качестве примера Щеголев привел поисковые запросы, данные геолокации и информацию о посещаемых пользователями сайтах. Эти данные напрямую не идентифицируют человека, но характеризуют его привычки, поведение и мировоззрение, а значит, могут считаться персональными».

    Таким образом, закон юридически как минимум не проработан, а технически как минимум странен.

    Уже имеется факт практического применения : «В Роскомнадзор уже поступило решение Симоновского районного суда, где более 60 сайтов признаны нарушителями закона «О персональных данных». Эти ресурсы размещали различные базы данных и справочники с персональными данными россиян». Одобряю, но ради этого городить настолько большой огород?

    Доверять голословным утверждениям всяких «экспертов» не стоит — никто не будет резать выгодных для России бизнес-партнёров. И я бы сказал, что данный закон — очередной результат применения традиционного метода «бешеного принтера», если бы не одно обстоятельство: Барак Обама потребовал от правительства Китая отменить введение законопроекта, схожего с российским законом о персональных данных: «Мы ясно дали понять, что это то, что они должны изменить, если они хотят продолжить иметь деловые отношения с США».

    Причём Китай, в отличие от РФ, требует не только хранить персональные данные китайских пользователей на территории КНР, но и предоставлять записи о действиях пользователей по запросу силовых ведомств Китая, а при использовании шифрования данных ключи будет необходимо предоставить спецслужбам КНР. Более того, оборудование для банковского сектора должно проходить специальную сертификацию, а для госзакупок будет запрещено приобретение продукции таких фирм, как Cisco Systems, Apple, Intel и т.д., необходимо будет приобретать местную технику.

    Мы пока не можем позволить себе подобного — но если рассматривать закон «О персональных данных» как подготовительный к подобном комплексу мероприятий — то это очень правильный закон по своей сути, а вот текущие формулировки надо бы подредактировать.

    Подписывайтесь на наш канал в Telegram

    Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter

    politrussia.com

    Смотрите так же:

    • Страхование тракторов по осаго Страхование трактора Владельцы автотранспортных средств знают, что страховать спецтехнику крайне необходимо, поскольку никто не защищен от опасных и/или неприятных ситуаций на дороге. Страхование трактора не только дает гарантию […]
    • Правила r1 В настоящее время сложилась ситуация, когда для Федерации тайского бокса России нет иного выхода, как приложить все усилия для принятия карательных мер к организаторам поединка по правилам R1, заявленным как правила «тайского бокса» и не […]
    • Закон постановки тс на учет Закон постановки тс на учет Срок регистрации автомобиля после покупки в 2018 году — сколько дней дается для постановки ТС на учет в ГИБДД Средства с объёмом двигателя свыше 50 см³ и максимальной скоростью более 50 км/час, а также прицепы […]
    • Программа по закону божьему Программа по закону божьему Этот труд описывает полную программу по Закону Божию для средних школ - ту же самую, которая преподавалась в православной России. Сейчас она рассчитана на школы где преподается Закон Божий. Если дети посещают […]
    • Приказ предприятия о медосмотре Приказ о прохождении медосмотра на предприятии Формирование приказа о прохождении медицинского осмотра является отправной точкой для процедуры обследования работников организации в плане состояния здоровья. Кто обязан проходить […]
    • Алименты 2018 кз Алименты в Казахстане, как подать на алименты Закон Республики Казахстан обязывает родителей содержать своих несовершеннолетних детей. Но не все родители хотят этого. Что же делать, если бывший супруг отказывается выплачивать алименты? […]