26

Re: Приказ ФСТЭК № 58 от 05.02.2010

УВЫ! требования которые в настоящий момент нарушаются изменениями не закроются - у закона нет обратной силы-)))

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

27

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

УВЫ! требования которые в настоящий момент нарушаются изменениями не закроются - у закона нет обратной силы-)))

Я уже просил Вас это обосновать. Так и не дождался...

См. ст. 54 Конституции, ст.10 УК РФ и ч.2 ст.1.7 КоАП wink
Смягчающий Закон имеет обратную силу. Устанавливающий и ужесточающий - не имеет.

28

Re: Приказ ФСТЭК № 58 от 05.02.2010

toparenko пишет:
Dmitry Leviev пишет:

УВЫ! требования которые в настоящий момент нарушаются изменениями не закроются - у закона нет обратной силы-)))

Я уже просил Вас это обосновать. Так и не дождался...

См. ст. 54 Конституции, ст.10 УК РФ и ч.2 ст.1.7 КоАП wink
Смягчающий Закон имеет обратную силу. Устанавливающий и ужесточающий - не имеет.

Любые изменения закона о персональных данных будут смягчающий для оператора, но уменьшать меры по защите для субъекта. Соответственно, внесение таких изменений будет с даты принятия поправок. В качестве примера посмотрите 363-ФЗ - для внесения изменения в сроки приведения в соответствия технических систем изменили определение старых систем, при этом требования по правовому обеспечению не вносились!!

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

29

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

Любые изменения закона о персональных данных будут смягчающий для оператора, но уменьшать меры по защите для субъекта. Соответственно, внесение таких изменений будет с даты принятия поправок.

Не-а

Надеюсь, что будет смягчение в вопросе "защиты от регулятора" и установление в вопросе защиты прав субъекта (ибо последнего пока нет).

30

Re: Приказ ФСТЭК № 58 от 05.02.2010

защита от регулятора - 294-ФЗ
защита интересов субъекта - это вопрос постановлений правительства - на уровне ФЗ все прописано в соответствии с конституцией

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

31

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

на уровне ФЗ все прописано в соответствии с конституцией

Неужели?

Тогда объясните мне:
- нафига Закон требует предоставления паспортных данных при предоставлении согласие на обработку ПДн в целях продвижения товаров и услуг (дисконты, оповещение о новых товарах и услугах и т.п.) и политической агитации?
- почему коммерческая организация не имеет права спросить потенциального клиента/работника о наличии судимости?
- почему вместо "презупции добросовестности" оператора в ЗоПД заложена "презумпция виновности"?
- почему для обеспечения доверенности инсайдеров/секретносителей, из числа собственного персонала, работодателю (не гос/муниципальной структуре и не работающего с ГТ) требуется нарушать Закон?
- почему, в нарушение п.3 ст.17 Конституции, право субъекта абсолютизировано
- и т.д. и т.п.

32

Re: Приказ ФСТЭК № 58 от 05.02.2010

toparenko пишет:

Тогда объясните мне:
- нафига Закон требует предоставления паспортных данных при предоставлении согласие на обработку ПДн в целях продвижения товаров и услуг (дисконты, оповещение о новых товарах и услугах и т.п.) и политической агитации?

Для продвижения товаров и услуг нет необходимости спрашивать паспортные данные. Есть требование спросить согласие, но не в письменной форме. На практике - все партнеры, с которыми я работаю по ПДн в части ретайла, не собираются брать данные, больше необходимого в части ФИО, телефон, эл.почта и для рассылки каталога - адрес почтовой доставки. РКН это все согласовал-))

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

33

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:
toparenko пишет:

Тогда объясните мне:
- нафига Закон требует предоставления паспортных данных при предоставлении согласие на обработку ПДн в целях продвижения товаров и услуг (дисконты, оповещение о новых товарах и услугах и т.п.) и политической агитации?

Для продвижения товаров и услуг нет необходимости спрашивать паспортные данные. Есть требование спросить согласие, но не в письменной форме. На практике - все партнеры, с которыми я работаю по ПДн в части ретайла, не собираются брать данные, больше необходимого в части ФИО, телефон, эл.почта и для рассылки каталога - адрес почтовой доставки. РКН это все согласовал-))

То, что РКН это согласовал еще не значит, что нет "косяка" в ЗоПД:
1. Необходимость доказательства согласия вынуждает брать его письменно

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Ну а далее смотрим, что там должно сдержаться wink

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

34

Re: Приказ ФСТЭК № 58 от 05.02.2010

Согласие берется на бумаге, но не по форме письменного согласия - конституция выше.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

35

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

Согласие берется на бумаге, но не по форме письменного согласия - конституция выше.

Конституции как раз эта избыточность не противоречит (раз указали в согласии эти данные - значит согласны). Это противоречит Евроконвенции:

Статья 5. Требования, предъявляемые к данным

Персональные данные, проходящие  автоматическую обработку:
с. должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;

36

Re: Приказ ФСТЭК № 58 от 05.02.2010

если брать 152-ФЗ - то минимально необходимые для достижения цели.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

37

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

если брать 152-ФЗ - то минимально необходимые для достижения цели.

По выделенному красным - ткните пальцем, хде это в 152-ФЗ.

38

Re: Приказ ФСТЭК № 58 от 05.02.2010

Статья 5. Принципы обработки персональных данных
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

39 (2010-03-31 15:50:22 отредактировано toparenko)

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

Статья 5. Принципы обработки персональных данных
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

Та же статья:
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;

Закон требует... Хотя клиенты "шарахаются" от такого...

Кстати "оператор" в данном случае не определяет ни цели, ни объем обрабатываемых ПДн.

40

Re: Приказ ФСТЭК № 58 от 05.02.2010

Коллеги - объясните тупому: после 58 Приказа операторам ПДн (т.е. конфиденциалки) по-прежнему надо получать лиценизю на ТЗКИ - или это требование осталось для компаний, привлекаемых операторами по аутсорсингу (т.е. оказывающих услуги по ТЗКИ сторонним организациям на коммерческой основе)? Ведь если для собственных нужд ставим МСЭ, это не будет "деятельностью" в понимании ГК, и не будет "услугой в области ИБ" в понимании ОКВЭД (услуга предполагает наличие 2 сторон и возмездность в отношениях между ними).

41

Re: Приказ ФСТЭК № 58 от 05.02.2010

DmitryV пишет:

Коллеги - объясните тупому: после 58 Приказа операторам ПДн (т.е. конфиденциалки) по-прежнему надо получать лиценизю на ТЗКИ - или это требование осталось для компаний, привлекаемых операторами по аутсорсингу (т.е. оказывающих услуги по ТЗКИ сторонним организациям на коммерческой основе)? Ведь если для собственных нужд ставим МСЭ, это не будет "деятельностью" в понимании ГК, и не будет "услугой в области ИБ" в понимании ОКВЭД (услуга предполагает наличие 2 сторон и возмездность в отношениях между ними).

См.

42

Re: Приказ ФСТЭК № 58 от 05.02.2010

DmitryV пишет:

Коллеги - объясните тупому: после 58 Приказа операторам ПДн (т.е. конфиденциалки) по-прежнему надо получать лиценизю на ТЗКИ - или это требование осталось для компаний, привлекаемых операторами по аутсорсингу (т.е. оказывающих услуги по ТЗКИ сторонним организациям на коммерческой основе)? Ведь если для собственных нужд ставим МСЭ, это не будет "деятельностью" в понимании ГК, и не будет "услугой в области ИБ" в понимании ОКВЭД (услуга предполагает наличие 2 сторон и возмездность в отношениях между ними).

Если за оказание услуги вы берете деньги, а в услугу согласно договора входит техническая защита персональных данных - то надо получать лицензию.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС