вторник, 19 июля 2011 г.

Законодательный тупик


Об утечке сведений, содержащихся в отправленных абонентам Мегафона коротких сообщений (СМС) через форму на веб-сайте компании, в публичный доступ через кеш поисковой машины Яндекс, написали многие. Эксперты называют несколько причин случившегося, главной среди которых является пресловутый человеческий фактор. Оставим разбор ситуации техникам, а сами попробуем взглянуть на проблему с точки зрения защиты ПДн и соблюдения прав субъектов ПДн.

Прежде всего о том, что утекло: это номер получателя и некий текст, который по закону подпадает под определение части 2 статьи 23 Конституции РФ (тайна переписки), а случившийся инцидент - под часть 1 статьи 138 УК РФ " Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений" и наказывается "штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года". Роскомнадзор усмотрел в случившемся нарушение оператором закона "О связи", Правил оказания услуг связи, (а следовательно, и лицензионных условий), что тоже влечет за собой административную ответственность. В случае, если все это будет доказано - оператору грозит серьезное разбирательство.

Но вот с точки зрения соблюдения прав граждан как субъектов ПДн дело обстоит куда сложнее. Прежде всего потому, что исходя из формулировок действующего законодательства, крайне тяжело определить, можно ли идентифицировать субъектов, чьи данные так или иначе попали в открытый доступ. Так получается потому, что человеку, не обладающему доступом к базе сотового оператора или не знающему, кому конкретно принадлежит номер, невозможно идентифицировать отправителя (идентифицировать - это значит показать на него пальцем при встрече). Другое дело, что базы данных продаются на каждом углу, однако сами они получены нелегальным способом, и Роскомнадзор их наличие в открытой продаже не должен принимать во внимание. Таким образом, если Роскомнадзор признает, что сведения, передаваемые через веб-форму, являются обезличенными, либо юристы Мегафона докажут, что они являются таковыми, оператор "соскочит" с ПДн, поскольку, согласно действующих нормативов, он не обязан принимать мер по обеспечению их конфиденциальности (ч. 2 ст. 7 152-ФЗ).

С другой стороны, среди утекших номеров обязательно найдется часть, известных не только их владельцам, но и кому-то еще. Предположим, что этим "кем-то еще" оказалась девушка Ира, узнавшая номер мужа Пети, которому "с любовью" писала какая-то "его рыбка", и это была не она (Ира) сама. В этом случае у Пети, по понятным причинам, могут быть серьезные проблемы, по идее подпадающие под определение "морального вреда", а может быть, даже развод и дележ имущества. Поэтому если Роскомнадзор докажет, что данные хотя бы в определенной части не являются обезличенными и позволяют кому-нибудь идентифицировать хотя бы одного субъекта, оператор также "попадет" на административную ответственность за непринятие мер по защите ПДн. Конечно, оператор может заявить, что он в данном случае не определяет целей обработки ПДн и выступает как сервис-провайдер, а цель определяют сами абоненты, отправляющие СМС, и что содержание ПДн в СМС и сопутствующая их обработка это не самоцель - но неизвестно, как на это отреагирует суд.

Роскомнадзор не может установить размер ущерба - он может лишь подтвердить, что было нарушение, что ущерб, возможно, был нанесен, и направить материалы в прокуратуру. И поэтому выбивать компенсацию за причиненный вред и доказывать, что вред был в принципе, придется самому субъекту в суде. Не смотря на то, что в исковом заявлении субъект может попросить сколь угодно большую сумму (некоторые эксперты оценивают сумму исков до 1 млрд. долл.), учитывая судебную практику, рассчитывать на ее получение не приходится, даже ссылаясь на то, что ушла жена и забрала пол-квартиры: от 3 до 10 тысяч рублей - стандартная величина  (нечего было шляться, уважаемый суд).

Теперь о том, какие меры обязан был принять оператор для обработки и защиты данных, передаваемых через веб-форму, в случае, если таковые являются не обезличенными. Прежде всего, организационные: необходимо получить согласие на обработку ПДн с КАЖДОГО, кто отправляет данные через эту форму. Согласия абонента, номер которого указывается в поле "получатель", совершенно недостаточно, поскольку в теле сообщения могут быть не только его данные, но и данные отправителя, и вообще любых третьих лиц (которых надо уведомить). Сюда же "приплетается" трансграничная передача ПДн (доступ к форме возможен из-за рубежа) со всеми вытекающими. Ну и конечно, технические меры - в первую очередь обеспечение конфиденциальности, которую в сетях общего пользования ни чем другим, кроме как шифрованием, не обеспечить. А учитывая необходимость массового и свободного доступа к сервису, это значит HTTPS, SSL и "забугорный" алгоритм, что тоже не есть хорошо с точки зрения российского законодательства. Кроме того, по мнению Дмитрия Евтеева, использование шифрования (равно как и других "методов и способов" - мое примечание) для защиты ПДн, отправляемых через веб-форму, от такого рода утечек не приводит к должному эффекту, и  результат был бы аналогичен.

Как обстоят дела с грядущими поправками в случае их подписания президентом? Поразительно, но точно так же, если еще не хуже. Благодаря изменениям в определении "персональных данных" (пункт 1 ст. 3), совершенно исчезает смысл "обезличенных" ПДн, так как ЛЮБАЯ информация, прямо или косвенно относящаяся к субъекту, будет считаться ПДн. В статье 7 убрана часть 2, благодаря чему оператор будет обязан не разглашать без согласия субъекта любые его ПДн. Сделать ПДн, отправляемые через веб-сайт общедоступными может только сам субъект, и оператор должен доказать, что у него есть основания это полагать и обрабатывать их без согласия субъекта, которое может быть либо письменным, либо с ЭЦП. Но в данном конкретном случае, любое принуждение субъектов к признанию отправляемого текста в качестве общедоступных ПДн является прямым нарушением Конституции. В остальном - никаких изменений: и согласие, и "трансграничка", и методы защиты.

Таким образом, и сейчас, в случае признания ПДн, передаваемых посредством веб-формы для отправки СМС в качестве "позволяющих идентифицировать субъекта", и потом, после подписания поправок президентом, операторам проще отказаться от этого бесплатного сервиса и, тем самым, заставить абонентов безальтернативно тратить свои кровные посредством отправки СМСок исключительно с помощью абонентских терминалов - телефонов, смартфонов и КПК, планшетов и что там еще есть.

Лично для меня, как для стороннего наблюдателя, самым интригующим моментом является тот факт, что какое бы решение не принял сейчас Роскомнадзор и суд, после принятия поправок оно может быть пересмотрено: законопроект, лежащий на подписи у президента, имеет обратную силу, так как действие его распространяется на правоотношения, возникшие после 1 июля 2011 года. Так что пожелаем всем удачи - и субъектам, и оператору, и будем следить за развитием событий.

79 комментариев :

  1. >операторам проще отказаться от этого бесплатного сервиса и, тем самым, заставить абонентов безальтернативно тратить свои кровные посредством отправки СМСок исключительно с помощью абонентских терминалов - телефонов, смартфонов и КПК, планшетов и что там еще есть

    Ну почему же :lol:

    Есть ряд забугорных сервисов позволяющих отправлять бесплатные СМС-ки. Т.ч. абоненты будут и далее их отправлять - но уже не пользуясь сервисами ОпСоС-ов.

    Т.ч. опять возвращаемся к потере конкурентного преимущества российскими компаниями и выводу обработки "за бугор"

    ОтветитьУдалить
  2. Алексей, ну не все так плохо. Остановлюсь на комментариях относительно новой версии. Источник взял у Александра Бондаренко здесь. Про ущерб, я с Вами полностью согласен и именно поэтому считал и считаю, что прошлая версия от первого чтения не работала бы. Теперь по пунктам.

    В общем IMHO, у Мегафона основной косяк – нарушение статьи 7. Конфиденциальность персональных данных. А она коррелирует с законом «О связи» и как я слышал более тяжелое наказание поглощает менее и т.д. и т.п. Но в качестве разминки посмотри, что с персданными и как опуская вопрос утечки привести в соответствие.

    Цитата
    Теперь о том, какие меры обязан был принять оператор для обработки и защиты данных, передаваемых через веб-форму, в случае, если таковые являются не обезличенными. Во-первых, организационные: необходимо получить согласие на обработку ПДн с КАЖДОГО, кто отправляет данные через эту форму. Согласия абонента, номер которого указывается в поле "получатель", совершенно недостаточно, поскольку в теле сообщения могут быть не только его данные, но и данные отправителя, и вообще любых третьих лиц (которых надо уведомить).

    Конечно, оператор может заявить, что он в данном случае не определяет целей обработки ПДн и выступает как сервис-провайдер, а цель определяют сами абоненты, отправляющие СМС, и что содержание ПДн в СМС и сопутствующая их обработка это не самоцель - но неизвестно, как на это отреагирует суд.
    Конец цитаты
    Ну, для начала бы я разыграл комедию под названием, а я не оператор. По определению в статье 3 оператор определяет состав ПД и цели обработки. В данном случае состав и цели определяет исключительно субъект, путем написания текста и определения круга лиц, кому этот текст будет доступен, а сюда очевидно включается и сам Мегафон и абоненты, которые указаны в поле получателя. Конечно, жаль что нет явного определения обработчик, но есть статья 6 п.3 и следующий 3. В данном случае Оператором является сам субъект ПД, но под действие закона он не попадает. Тут интереснее что, мы в Операторы записываем самого абонента, и судебные перспективы уже не такие туманные. Определения жесткие, вывод субъекта из под закона то же жесткий.
    Косить под сервис провайдера я бы не стал, а вот в обработчики записался бы. ;)
    А далее есть п 4. статьи 6 об ответственности оператора перед субъектом, вот пусть сам субъект и отвечает перед собой. ;)
    Вообще п.3 статьи 6 (первый который) крайне интересен в этой ситуации, например "… В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона…"
    Всего этого насколько я понимаю указано, не было и с обработчика принявшего разумные меры спрос не велик. С субъекта-оператора то же нет.
    Дальше в следующем комменте. ;) не влезло...

    ОтветитьУдалить
  3. Цитата
    Cделать ПДн, отправляемые через веб-сайт общедоступными может только сам субъект, и оператор должен доказать, что у него есть основания это полагать и обрабатывать их без согласия субъекта, которое может быть либо письменным, либо с ЭЦП.
    Конец цитаты
    Как я понимаю, Вы считаете, что в новой редакции согласие может быть только письменное (или электронное с ЭП), но как тогда трактовать Статью 9 ч. 1 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.? Форма согласия явно не письменная или приравненная к ней.
    Насколько я понимаю, исчезло понятие общедоступные ПД, а появилось "Общедоступные источники персональных данных" (статья 8). Здесь интересный момент получается, фишка используемая операторами для отказа от создания СЗИ в виде письменного согласия с категорированием ПД субъекта как общедоступные ПД приказала долго жить, поскольку ПД, так и остаются ПД, только теперь крутиться могут в общедоступных местах. Форма отправки SMS ни как не тянет на общедоступный источник. Так что это ни при каких обстоятельствах общедоступные ПД. А формой согласия может быть и чекбокс, при условии, что дальше без него не пройти. По крайней я на такой позиции готов бодаться. IMHO.

    Цитата
    Сюда же "приплетается" трансграничная передача ПДн (доступ к форме возможен из-за рубежа) со всеми вытекающими.
    Конец цитаты
    С трансграничной передачей, то же для меня не все прозрачно. Исходя из прямого прочтения статьи 12 нас интересует только передача из России, а в случае доступа к форме из-за рубежа происходит передача в Россию. Случай нахождения абонента за рубежом попадает под действие другой части системы и к рассматриваемой web форме отношения не имеет. Так что трансграничную передачу, при случае я бы то же отмел. ;)

    ОтветитьУдалить
  4. Может хватит паранойи по поводу ПДн?
    Их нет как в SMS! Никто не идентифицировал ни отправителя ни остальных и никто не расписывался, что представленные данные корректны.
    Как в соц.сетях: я могу себя представить кем угодно, кем мне хочется... Может будем защищать фантазии? Я светлый эльф Велирнур, живу в Полидоре

    ОтветитьУдалить
  5. Хороший текст получился, продублирую у себя. ;)

    ОтветитьУдалить
  6. Руслану: Вы оперируете понятиями законопроекта, поэтому на нем и остановимся. Если смотреть дословно, то понятия "обработчик" в нем тоже нет, есть ЛООПДППО, и поручение ему может выписать только другой ОПЕРАТОР, который определяет цели. Поскольку субъект оператором быть не может, т.к. не попадает под действие ЗоПД, то ни о каком поручении и ЛООПДППО речи быть не может. Тем не менее, сыграть в игру "я не оператор" все же стоит, исходя из определения оператора.

    Статьей 9 пунктом 1 действительно предусмотрена любая форма. И все было бы хорошо, если бы не приписка "если иное не установлено федеральным законом". И этим же 152-ФЗ установлено только 2 формы: письменная и ЭЦП. Так что свобода автоматически ограничена: сможете найти ФЗ, который перебивает 152-ФЗ в отношении согласия, получаемого через интернет-форму - бодайтесь, Ваша возьмет. Не сможете - бесперспективняк.

    Единственное, с чем можно согласиться, это, пожалуй, трансграничка, но и то, если текст отправленной СМС не отображается в истории при отслеживании на самом сайте. А он, насколько мне известно, отображается. Так что увы...

    Кругом двойные толкования.

    ОтветитьУдалить
  7. toparenko: да, точно. И как всегда - субъект всем побоку: все штрафы и лавры достаются государству. А ну как лицензию отзовут? :)

    ОтветитьУдалить
  8. Michael: ну, во-первых, они там есть. И идентифицировать человека можно - пример я привел. И я совершенно не понимаю. при чем здесь какие-то расписки о корректности?

    ОтветитьУдалить
  9. Алексей: Вообще-то в определении Оператора присутствуют магические слова "физические лица". ;) Про цели в определении не сказано не слова, это заявлено выше.
    По пункту 4 статьи 6, где предусмотрено две формы согласия, я готов биться, что она возникает только в случаях "предусмотренных федеральным законом", а это закрытый список: общедоступные источники, специальные категории, биометрия, трансграничная передача, автоматические решения и все. В соответствующих статьях идет ссылка на форму. Это пройдет на 100%. Ак что во всех остальных случаях согласие может быть любым. Или я не в то место закона смотрю?
    А история отображается за границу в отношении персданных полученных из-за границы. Если толковать на уровне движения пакетов, то трафик за бугор надо резать. ;) Короче здесь вроде как хорошо. Еще бы Царева на эту тему услышать. ;) А тоя я не юрист.

    ОтветитьУдалить
  10. Michael: Во-первых персданные там есть, во-вторых случай просто напрашивается на препарирование.

    ОтветитьУдалить
  11. Руслану: В "операторе" действительно есть определение "физического лица", но пункт 1 статьи 2 выводит физлиц, если они обрабатывают ПДн для личных и семейных нужд. Так что если доказать, что СМС была отправлена для личной нужды, то такой субъект - не оператор. Если для корпоративной или иной другой - то оператор. Во как :)

    И как же про цели не сказано - статья 3 пункт 2: "а также определяющее цели обработки".

    Внимательно читаем пункт 1 статьи 9. Согласие на обработку ПДн может быть дано ... в любой форме ... позволяющей подтвердить факт его получения ... если иное не установлено ФЗ. Вы ссылаетесь на пункт 4 статьи 9 (а не 6), и готовы биться, и я Вам скажу, что имеете право. Однако здесь опять двойное толкование - о чем идет речь в п. 1 ст. 9: о ФОРМЕ, а не о случаях. Готовы доказать обратное - велкам :)

    А какая разница, откуда она получена? За границу передается - будьте любезны. Да и я, и Царев тоже не юристы :)

    ОтветитьУдалить
  12. Анонимный19.7.11

    Алексей, хорошая статья. Вот только если Вы приведете как данная проблема решалась бы на основе современного европейского законодательства. Тогда на живом примере мы бы все увидели разницу в подходах :)

    ОтветитьУдалить
  13. Алексей: у Царева лучше получается, чем у меня ;)
    Про трансграничную: форму отслеживания статуса править надо и все, не будет там ее.

    Про оператора: про цели я имел в виду какие цели личные или общественные. ;)

    Про форму, я вижу следующую цепочку: Есть определение формы и оно открытое, есть прицеп в виде "если иное не установлено федеральным законом". Далее в Законе перечислены случаи когда это ограничение действует. Наши юристы говорят железобетонно. Хотя им верить… ;)

    ОтветитьУдалить
  14. up: про форму читать как проформу согласия. ;) Чертов телефон.

    ОтветитьУдалить
  15. http://tza.su/2011/07/19/yandeks-megafon-i-obshhedostupnye-sms-uroki-istorii/

    ОтветитьУдалить
  16. Руслан, я бесконечно уважаю стремление человека отстаивать свои права (сам боец) и поддерживаю Ваши мысли. Однако мы с Вами опять ходим вокруг "двойных толкований", которых и в действующем законе предостаточно, а уж в законопроекте - тем более. И поэтому напарываемся на старую поговорку "два юриста, три мнения" :) А в первую очередь, прав окажется регулятор, пришедший проверять, и ЕГО мнение нужно будет оспаривать в суде.

    ОтветитьУдалить
  17. Анонимному: в Европе, увы, отношение к правам человека другое, суд другой, да и операторы за свою репутацию и отсутствие утечек сильно переживают, так как от этого напрямую зависит их капитализация. А у нас - спихнули все на "стороннего администратора сайта", а права субъекта вообще всем побоку. Да и курс акций Мегафона после утечки не шелОхнулся, потому как на открытом рынке не торгуется :)

    ОтветитьУдалить
  18. Анонимный19.7.11

    Алексей,
    "Но вот с точки зрения соблюдения прав граждан как субъектов ПДн дело обстоит куда сложнее." и "Таким образом, и сейчас, в случае признания ПДн, передаваемых посредством веб-формы для отправки СМС в качестве "позволяющих идентифицировать субъекта", и потом, после подписания поправок президентом, операторам проще отказаться от этого бесплатного сервиса" как-то соотносятся? Вы опять из мух котлеты делаете, я вот только не могу понять намеренно или нет.
    Дмитрий

    ОтветитьУдалить
  19. Алексей, так я про суд и говорю! Особенностью, и приятной, Новосибирска является то, что юристы госов крайне неохотно идут в суд и если все разложить по полочкам, можно получить приятный бонус для себя. При условии, что хорошо запугаешь проигранным делом.
    А двойных толкований и в ЕвропАх хватает. Там юристы этим живут. Я хочу сказать, что не такой уж и беспросветняк. Двойные толкования на уровне ФЗ есть хорошо. Плохо, когда они на уровне регламентов и РД.

    ОтветитьУдалить
  20. up: Закон без двойных токований, например 94-ФЗ. Вот это *ец. А здесь не только жить, но работать и спорить можно.

    ОтветитьУдалить
  21. Дмитрию: простите, но это буквоедство. Вы читаете первую строку третьего абзаца и предпоследний абзац. Кто Вам сказал, что они должны как-то соотноситься? Про сложности прав субъекта написано в 3, 4 и 5 абзаце. Вы намеренно в чем-то меня хотите "подловить" или спровоцировать?

    ОтветитьУдалить
  22. Руслану: да, но все-таки у них нет таких преимуществ у контрольно-надзорных органов. В суде у них все равны :)

    ОтветитьУдалить
  23. Автору блога и Руслану:
    Для примера, на одной из конференций Cnews АКАДО рассказало, как они соскочили с автоматизированной обработки ПДн. Они просто написали: адрес установки оборудования вместо адрес клиента и Роскомнадзор при проверке не пикнул.

    Надо продолжать сравнение с тем, что написано? Номер телефона никоим образом не идентифицирует получателя, а только владельца контракта.

    вторая часть моего комментария относилась, естественно, к возможным ПДн в тексте СМС. Не любое ФИО найденное в Интернет является ПДн, так как может не соотносится с реально существующим персонажем, имеющим установленные законом документы, подтверждающие, что ФИО его...

    ОтветитьУдалить
  24. toparenko: пошла тема :) Кстати, уже многие эксперты сказали, что субъектам ничегошеньки не светит по ПДн :( Что и требовалось доказать.

    ОтветитьУдалить
  25. Анонимный19.7.11

    Алексей, не хочу я вас подлавливать и тем более провоцировать. Я пытаюсь сформулировать в своем понимании вашу позицию и у меня ничего не получается. Мне видятся те же противоречия, на которые вы указываете в 152-ФЗ и поправках к нему. Т.е. цель не согласуется с последующем текстом. Может быть я не прав, может не понимаю, вот и задаю вопросы. Отвечать на них или нет - это ваше дело.
    Дмитрий

    ОтветитьУдалить
  26. Michael:

    > Номер телефона никоим образом не идентифицирует получателя, а только владельца контракта.

    Идентифицирует в случае, если владелец контракта и есть пользователь.

    > Не любое ФИО найденное в Интернет является ПДн

    Согласен. Так никто и не говорит про ЛЮБОЕ. Смотрим что написано в посте:

    С другой стороны, среди утекших номеров обязательно найдется часть, известных не только их владельцам, но и кому-то еще ... Поэтому если Роскомнадзор докажет, что данные хотя бы в определенной части не являются обезличенными и позволяют кому-нибудь идентифицировать хотя бы одного субъекта, оператор также "попадет" на административную ответственность за непринятие мер по защите ПДн...

    > соскочили с автоматизированной обработки ПДн

    Ну, по-всякому соскакивают, но это здесь при чем? Сейчас "соскок" идет на технический сбой, вызванный по вине третьих лиц. От обработки ПДн им не отмазаться, пусть даже и обезличенных.

    ОтветитьУдалить
  27. Дмитрию: цель поста - показать, что есть неразрешимые проблемы как у субъектов, так и у операторов. И они БУДУТ и после принятия законопроекта. Именно поэтому он и называется "законодательный тупик". Какие Вы увидели несоответствия - для меня загадка. Три абзаца про субъекта, три - про оператора. Что касается позиции - так Вы прямо спросите, что Вас интересует, а не занимайтесь отловом блох в текстовке. Это персональный блог, я - не профессиональный журналист.

    ОтветитьУдалить
  28. Анонимный19.7.11

    Несоответствие мне видится в настроении ваших постов: сначала вы говорите как плохо субъекту, а сводится к тому, что на субъекта все, как и раньше, наплевали, а плохо сделали оператору. Но ото чисто мое восприятие текста, и я его ни в коем случае не навязываю.
    А про законодательный тупик согласен. Только он был и до ФЗ-152 и после его принятия, и после Резниковского проекта, и Плигиского, и принятого. Почему вы возлагали такие надежды на этот законопроект - для меня загадка, т.к. я не видел ни в первой, ни во второй версии, ни в принятой никаких изменений, касающихся установления баланса интересов между субъектом и оператором. Изменился только баланс между оператором и регулятором. А субъект как был всем пофиг, так и остался. Если бы вы были представителем регулятора или ответственным лицом оператора (в смысле официально представляли его в своем блоге), то мне было бы понятно как этот законопроект на вас отражается. Вы, мне кажется, все-таки рассуждаете с точки зрения субъекта ПДн и гражданина, хоть и находящегося в теме, вот и ставят меня рассуждения о ущемлении операторов в тупик. Мне вот не важно как и чем они данные защищают, главное, чтоб мне хорошо было. Это не только и,даже не столько, к этому посту, а к более ранним, уж извините за небольшой офтопик.
    Дмитрий

    ОтветитьУдалить
  29. Дмитрию: ответил в предыдущей ветке, отвечу и здесь. Так получается потому, что в комментариях разговор идет исключительно об этом. И мусолим эту тему и мусолим. Спрашивайте про субъектов - отвечу. Поговорим. А связка между этими двумя темами - в том, что нет никакого смысла навязывать операторам дорогие и неэффективные меры защиты, когда не выполнены ЦЕЛИ закона - защита ПРАВ субъектов. Ни в самом законе. ни в законодательстве в общем. но это я уже раз 500 сказал и написал. И обсудили. Вы блог весь почитайте. Статейки там с коллегами написанные в прошлом году...

    Должен быть БАЛАНС интересов, понимаете? А его НЕТ. Как нет и прав у субъектов. И прав у операторов.

    И в том, что я ставлю себя на место обоих сторон - нет ничего крамольного. Или Вы видите здесь с моей стороны "двойные стандарты"?

    ОтветитьУдалить
  30. >Идентифицирует в случае, если владелец контракта и есть пользователь.

    Слово "если" - принципиально. Значит в общем - не идентифицирует (из SMS непонятно, что отправитель или получатель - владелец контракта)

    По остальному - соглашусь, что вопрос судебного разбирательства, а не нашего теоретизирования

    ОтветитьУдалить
  31. Ronin19.7.11

    Алексей, Вы упорно уходите от всех фактов, которые Вам привели и продолжаете упирать на ПДн. Зачем? Все ведь предельно просто.
    Сообщения написаны кем угодно. Я могу зайти на такой сервис и на любой произвольный номер написать "Василий Андреевич, я получил ваши анализы - у вас такой-то диагноз" и отправить. Потом окажется, что этот номер Ваш, но сообщение, само-собой, содержит полный бред, а не сведения о состоянии здоровья. Так как эта отправка неконтролируема и никто не может подтвердить корректность сведений, то ни о каких ПДн речи идти не может. Поэтому, если жена и увидит мой номер телефона в сообщении от "рыбки", то это ровным счетом ничего не значит с юридической точки зрения - это могли приколоться коллеги (хотя жене это нужно будет объяснить, и не факт, что поверит).
    Так что остается только номер телефона, который хоть и привязан к субъекту и даже к паспорту, сейчас можно купить зарегистрированным на кого угодно. Но это мы не рассматриваем, так как вроде тоже незаконно.
    В сухом остатке - у нас обработка какого-то текста, отправленного кем угодно, который должен быть доставлен конкретному субъекту, который обладет сим-картой с указанным в сообщении номером. Как было сказано ранее, установить субъекта по номеру мы не можем легально, если это не наш знакомый и он нам сам не передал номер. В данном случае нарушения конфиденциальности нет, так как мы и та эту информацию знаем. А ссылаться на текст сообщения как на ПДн по указанным причинам нельзя.

    ОтветитьУдалить
  32. Анонимный19.7.11

    Ну вот, куда-то делся мой вам ответ :-(. Жаль. Придется еще раз писать.
    "Что касается позиции - так Вы прямо спросите, что Вас интересует, а не занимайтесь отловом блох в текстовке." Ок, как вы считаете, что изменилось бы, если бы был принят другой более ранний законопроект с поправками к ФЗ-152 для субъекта ПДн? Мне видится, что ничего.
    Как относится ст. 19 этого занопроекта к правам и свободам человека до и после ее правки?
    Я вот вижу, что с бизнеса могут требовать что-то, лишнее и те ли могут требовать другой вопрос, но с точки зрения субъекта ничего не меняется. А то, что на него могут переложить расходы, я уже писал, на него могут переложить все, что угодно и он с этим смирится.
    С уважением, Дмитрий

    ОтветитьУдалить
  33. Michael и Ronin: ну вот как Вы читаете? А я про что пишу в посте? Как раз про ЭТО ЖЕ САМОЕ! Что в подавляющем большинстве ПДн в СМС могут быть только ОБЕЗЛИЧЕННЫЕ! Это 3 абзац. В 4 и 5 абзаце рассматриваются УНИКАЛЬНЫЕ случаи, когда субъекта все-же можно идентифицировать.

    ЗЫ: Или мне пора уже завязывать с писаниной и идти к психологу, раз меня никто не понимает? :)))

    ОтветитьУдалить
  34. Дмитрию: Увеличение сроков ответа на запрос с 7 до 30 дней - это не ухудшение прав субъекта? А косвенные варианты Вы не рассматриваете (затраты, перетекшие на плечи субъектов)? И в дополнение к тому, что он по прежнему ничего не получит от оператора в случае утечки (а они с таким подходом продолжат возникать), он еще и "поднагрузится" инфляцией.

    ОтветитьУдалить
  35. Анонимный19.7.11

    Алексей, я был бы рад если на субъектов не ложились затраты на что-нибудь. Но оператор может просто поднять тариф, а уж затраты на что там он покрывает он вам говорить и не будет. Такой вариант вы не рассматриваете. Я вот вижу, что как никто ПДн не защищал так и не будет - ответственности никакой. Про утечки - вы же сами говорили, что утечки это одно, ущерб - это совершенно другое. А ФЗ-152 не улучшал ситуацию с доказывание ущерба ни до ни после поправок. Мне видится, что для субъекта это закон не много делает. С увеличением сроков - ну ладно, допустим оператор просрочил его и что? Да ничего. А 7 или 3000 дней там неважно.
    Дмитрий

    ОтветитьУдалить
  36. Алексей,

    Все понятно, но уникальные случаи никогда не урегулируешь. Всегда будет суд (он для того и придуман)

    Например, идентифицировать можно по nomer.org, зная только ФИО и некоторую вспомогательную информацию. Это все уникальные случаи целенаправленного сбора информации.

    ЗЫ. писать сюда прекращаю, так как истерию по ПДн не остановить :-))

    ОтветитьУдалить
  37. Дмитрию: ну, Вы спросили чем - я ответил. Все остальное это предмет для обсуждений и рассуждений. И раз никто не защищает не смотря на неэффективные и "драконовские" меры, то зачем гнобить тех, кто защищает, но эффективно а не на бумаге для галочки? А так получается - операторам гайки закручиваем, все на них плюют, а субъект по прежнему побоку. Пишите закон, удовлетворяющий ЦЕЛИ - защищайте ПРАВА субъектов, а не ДАННЫЕ. 1001 раз повторяюсь...

    ОтветитьУдалить
  38. Michael: А я о чем пишу? :)))) "И поэтому выбивать компенсацию за причиненный вред и доказывать, что вред был в принципе, придется самому субъекту в суде." Ну что за "диагональное чтение? :)))))

    ОтветитьУдалить
  39. Я так думаю, что название статьи очень правильное, на это и был рассчитан маленький информационный конфликт с Мегафоном. Поясню. Формирование общественного мнения - это тот козырь который можно предъявить при лоббировании своих интересов. Появление этой утечки наталкивает меня на мысль об искусственном происхождении данной проблемы. Я не знаю лично системного администратора Мегафона, но что то подсказывает мне о его достаточной компетенции по недопущению подобных ляпов. Знаете в автомобильной практике есть понятие - управляемый занос: очень близко мне кажется.
    А народ кинулся искать коллизии и противоречия в законах, в том числе и 152ФЗ, это несомненно положительно, но не решает проблемы.
    Посмотрите на результат: народ на экранах со слезами на глазах говорит об ущемлении его прав в области ПД и что они завалят суды исками.

    ОтветитьУдалить
  40. Анонимный19.7.11

    А я никого и не гноблю, я просто не вижу неэффективных и "драконовских" мер. Я вижу нежелание защищать. Т.к. это необоснованные затраты. Не обоснованные - потому, что нет никакой ответственности (штраф 10 тыс - смешно, а деятельность не слышал, чтоб приостанавливали). Раз нет ответственности, какие бы меры ни были, не будут все их соблюдать. Кто-то будет, но таких будет меньшинство. А про "операторам гайки закручиваем, все на них плюют, а субъект по прежнему побоку", по-моеему, так и есть. И будет, только не потому,что гайки закручивают, а потому, что на субъекта всем плевать. Мне вот все вспоминается, уж не знаю его судьбу, законопроект о том, что выполнять решения Страсбургского суда не обязательно, а ранее свое мнение об этом высказал председатель Конституционного суда, только более обще: типо, нам международное право не указ, у нас свое. Я вот не вижу никакой озабоченности "правами и свободами".
    Дискуссию с вами я завел из-за того, что большинство ваших постов по 152-ФЗ и его проблемах последовало после непринятия согласованного с экспертами законопроекта, а принятия другой редакции. Проблемы то и раньше были, только о них мало кто говорил. Например, в первой редакции Резника каких-то существенных изменений в сфере "прав и свобод" я не нашел, из чего делаю вывод, что они мало кого волновали уже в то время.
    Дмитрий

    ОтветитьУдалить
  41. > hard29139

    > Появление этой утечки наталкивает меня на мысль об искусственном происхождении данной проблемы.

    Такая теория имеет полное право на существование. особенно учитывая, что Яндекс уже неоднократно засветился своей горячей дружбой со спецслужбами (кошелек Навального). Так что накануне подписания поправок президентом и в условиях создавшегося резонанса такая провокация очень даже уместна. Вот только к ПДн она не имеет весьма опосредованное отношение, но кому до этого есть дело...

    ОтветитьУдалить
  42. Дмитрию о затратах субъекта. Три оператора: первый защищает по "правилам" и услуга для субъекта дороже. Второй защищает не хуже, но не по правилам - цена ниже. Третий не защищает вовсе - еще дешевле. Кого выберет субъект?

    ОтветитьУдалить
  43. > Я вижу нежелание защищать.

    Я Вас уверяю, что у авторов инициативы такого нежелания нет и не было никогда. Если говорить про 19 статью - то это несогласие с теми гостайновскими методами 20-летней давности, что там написаны. Они НЕАДЕКВАТНЫ ни затратам, ни требованиями современного ИТ. Защитить ПДн, как и любую другую информацию, можно другими, гораздо более эффективными методами. Но государство не дает потому что "не сертифицировано". А обязательная сертификация (другой НЕТ) - это бессмысленная трата денег, ровным счетом ничего не дающая оператору и лоббирующая интересы определенных производителей и испытательных лабораторий, ясно кем курируемых.

    ОтветитьУдалить
  44. >Дискуссию с вами я завел из-за того, что большинство ваших постов по 152-ФЗ и его проблемах последовало после непринятия согласованного с экспертами законопроекта, а принятия другой редакции.

    Проблема "бояре подменили грамоту" в том, что до этого момента еще можно было вести какой-то разговор с исполнительной и законодательной властью. Можно было о чем-то говорить, убеждать, находить компромисы...
    Но все это было лишь до тех пор, пока все о чем обсуждали и согласовывали 2 года на разных уровнях не было отправлено на свалку в духе беспредела 90-х...

    И именно потому в Открытом письме излагалась лишь одна просьба: отклонить законопроект и направить его на __общественное обсуждение__

    >Проблемы то и раньше были, только о них мало кто говорил

    Были проблемы и очень много о них говорили. Но действительно не было такого общественного резонанса

    ОтветитьУдалить
  45. Анонимный19.7.11

    To Сергей:
    "Кого выберет субъект?" Смотря какой. Большинство, я уверен, третьего. О ПДн и Конституции они только слышали, да и то мельком. Они детей кормят, им не до этого. :-)
    To Алексей:
    Я думаю, вовсе не потому, что "не сертифицировано". Давайте подумаем, почему пошлины таможенные на зарубежные автомобили не понижают, а Автоваз, который производит, скажем, не очень хорошие автомобили поддерживают в огромном размере. И вроде никто не кричит. А ГЛОНАСС? Но это лирика...
    Мое мнение: очень хорошо, что операторам не разрешили выбирать методы и средства, потому, что иначе они (кроме авторов инициативы) нв своем большинстве вообще не будут ничего делать; очень плохо, что нет ответственности. А адекватны или нет - это дело десятое. Вы видите всех такими же продвинутыми и обеспокоенными проблемами соблюдения прав и свобод, как и вы. Может у вас в регионе (городе, улице, университете) все так и есть. У меня как раз обратное.
    Дмитрий

    ОтветитьУдалить
  46. Анонимный19.7.11

    Вихорев.

    Алексей, давайте не приплетать сюда то, что нельзя приплести. Законодательство РФ не ограничивается только Законом о ПДн. В данном случае с Мегафоном все это подпадает под нарушения ст. 53 Закона «О связи» и ст. 138 УК РФ, и не более того.

    По поводу идентификации субъекта по номеру. В данном случае это даже не ОБЕЗЛИЧЕННЫЕ ПДн! Ст. 2 Закона о связи говорит «…абонент - ПОЛЬЗОВАТЕЛЬ УСЛУГАМИ СВЯЗИ, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации…» и далее ст. 53 этого же закона говорит: «…К сведениям об абонентах относятся фамилия, имя, отчество или ПСЕВДОНИМ абонента-гражданина … (обратите внимание: ФИО и псевдоним – в одном ряду!) Поэтому любой сотовый оператор докажет, что по номеру телефона, даже имея базу кому они принадлежат, однозначно идентифицировать субъекта – нельзя! (А вдруг это не имя, а псевдоним!) Для идентификации надо иметь базу текстов договоров на обслуживание, где и указано: ФИО это или псевдоним.

    Теперь о том подпадает ли этот случай под юрисдикцию закона о ПДн или нет. Здесь правильно кто-то заметил: обработка в личных целях – не подпадает под юрисдикцию закона. Если Петя пишет Маше о своих горячих чувствах – это ПДн, но передача сообщения ИСКЛЮЧИТЕЛЬНО в личных целях и, следовательно не подпадает под юрисдикцию закона о ПДн, Если же директор Петр Иванович посылает СМС секретарю Марии Степановне, что бы она заказала столик в ресторане, то здесь передача СМС в служебных интересах, но здесь нет и ПДн (Телефон Марии Степановны может быть вообще зарегистрирован на фирму), и, следовательно, опять этот случай не подпадает под юрисдикцию закона о ПДн. Но зато ОБА случая хорошо ложатся под ст. 138 УК РФ, а если вспомнить ст. 53 Закона «О связи» (Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации.), то и под него то же.
    Так что кесарю – кесарево, а слесарю – слесарево….

    ОтветитьУдалить
  47. Дмитрию: круг замкнулся - вопрос менталитета и мироощущения :)

    С.В.В: Сергей Викторович, рад видеть :) Повторюсь еще раз: ОБЩЕЙ МАССЕ - нельзя, но Ире, жене Пети, однозначно можно! Я и пишу про исключения. Про личные и служебные писал я. А если номер на фирму не зарегистрирован, но передается СМС "Светлана зарегистрируй доверенность на имя Иванова И.И. паспорт такой-то выдан тогда-то проживает там-то?" Это какой случай?

    Про УК - наказание ей предусмотрено только за намеренные деяния, а тут идет ненамеренные - технический сбой системы.

    В целом - это мы с Вами знаем, что это НЕ попадает под 152, а Вы посмотрите, как субъекты реагируют, какая масс-истерика :)

    ОтветитьУдалить
  48. Вообще интересно, еще вчера всем была известна истина "Не болтай!" - это в отношении телефонных разговоров, т.е. я так понимаю гарантий о конфиденциальности при ведении разговоров по открытым каналам связи "0"! Разговаривая разговоры о личном по телефону необходимо помнить о том что этот разговор , в принципе , может быть подслушан (растиражирован). Я так думаю уповать, кроме как на себя, в данной ситуации на Мегафон не стоит.
    Дело не стоит выведенного яйца, а шума то шума ...!
    О шуме я уже писал.

    ОтветитьУдалить
  49. Анонимный19.7.11

    "Круг замкнулся - вопрос менталитета и мироощущения" Ага.
    "В целом - это мы с Вами знаем, что это НЕ попадает под 152, а Вы посмотрите, как субъекты реагируют, какая масс-истерика :)" Поистерят дня 2 и утихнет. Реагирование субъекта - обращение в суд или Роскомнадзор, мое мнение. Подождем, посмотрим. :-)
    Дмитрий

    ОтветитьУдалить
  50. Ronin19.7.11

    Алексей, наверное я не совсем понятно изложил мысли. Основной упор был на то, что текст смс вообще к персональным данным отнести сложно, а соответственно 152-ФЗ тут ни при чем. Просмотрите ещё раз доводы - текст об измене отправлен непонятно кем и непонятно о чем - не есть ПДн субъекта, которому этот текст адресован. Может отправитель банально ошибся номером.

    ОтветитьУдалить
  51. Анонимный19.7.11

    Вихорев.

    Правильно Алексей, масс-истерика, которой Вы способствуете (вот что, мне не нравится. а не то, что идет обсуждение).

    По поводу Иры и Пети. А кто даст 100% уверенность. что именно эти субъекеты общались? А может быть кто-то взял Петин телефон и с него наборал СМС своей жене с выражением пламенных чувств? А Ира потом это приняла за любовницу. Каждый думает в силу чвей испорченности.

    По поводу Доверенности на имя Иванова. Это обработка ПДн в интересах основной деятельности организации. Это должно быть оговорено в трудовом договоре, в согласии субъекта на обработку ПДн и прочее. И оператором здесь выступает именно организация, а не оператор связи.

    Про УК - Вы не правы, Диспозиция Ст. 138 не предполагает наличие какого либо ущерба! (Кстати, к прошлому обсуждению - обратите внимание - для наказания ущерб не важен, и действия намеренные или не намеренные - в диспозиции статьи не указаны) Комментарии к статье гласят: Нарушение тайны переписки. переговоров и иных сообщений имеет место в случае, когда корреспонденция становится достоянием других лиц без согласия адрессата (обратите внимане: адресата, а не субъекта ПДн)

    ОтветитьУдалить
  52. Ronin: не соглашусь. В тексте СМС содержатся персональные данные - хоть по старому, хоть по новому определению, хоть по Европе хоть по Америке. Другое дело, что невозможно определить, какому субъекту они относятся.

    ОтветитьУдалить
  53. СВВ:

    > Диспозиция Ст. 138 не предполагает наличие какого либо ущерба!

    Вообще-то я в курсе и писал, что УК138 не относится к ПДн, так что оставим ее в покое.

    > Это должно быть оговорено в трудовом договоре, в согласии субъекта на обработку ПДн и прочее.

    Еще одно подтверждение того, как далеки государственные требования с реалиями бизнеса.

    > По поводу Иры и Пети.

    А это уже пусть петя объясняет, и если Ира его прижучит, то тут уж никуда не деться от морального ущерба.

    > которой Вы способствуете

    Приятно слышать Вас в своем репертуаре :) have a nice day ;)

    ОтветитьУдалить
  54. Анонимный19.7.11

    Вихорев.
    Правильно, Алексей! ПДн есть, но доказать, что с их помощью можно идентифицировать субъекта - нельзя. значит, это ОБЕЗЛИЧЕННЫЕ ПДн. И закон о ПДн здесь гне действует.

    ОтветитьУдалить
  55. СВВ: ну вот, видите. Я всегда говорю, что два профессионала всегда могут найти общее мнение хотя бы по одному вопросу. А с учетом определенного мнения части читателей, согласно которого я себя к такой категории причислить права не имею - это вдвойне приятно :)

    А вот здесь:

    > И закон о ПДн здесь гне действует

    уточню: он действует, но в части, касающейся обезличенных ПДн.

    ОтветитьУдалить
  56. Анонимный19.7.11

    Вихорев.

    А какие ограничения накладывает закон на обработку обезличенных ПДн? Напомните.

    ОтветитьУдалить
  57. Ограничений - никаких. Но именно это в действующем законе и прописано :)

    ОтветитьУдалить
  58. Анонимный19.7.11

    По поводу обезличенных Пдн. А как быть вот с этим?

    http://www.peeep.us/f00ccdd9

    ОтветитьУдалить
  59. Анонимному: так я и говорю - в основной массе обезличенные, но есть исключения. Анализом того, являются указанные Вами данные обезличенными или нет, как раз и занимается Роскомнадзор. И дальнейшее развитие в зависимости от результата анализа я расписал.

    ЗЫ особо показательное - второе сверху, для Unistream или чего-то похожего :) Только иностранный гражданин. Третье снизу тоже ничего :)

    ОтветитьУдалить
  60. Анонимный19.7.11

    По поводу в массе обезличенные. Вопрос тоже спорный. Любой у кого есть знакомый на мегафоне, берет свою записную книжку и осуществляет поиск по этому номеру. И в случае успеха получает о нем пикантную информацию. Данная информация будет относиться к конкретному физическому лицу и следовательно будет являться ПДн.

    ОтветитьУдалить
  61. Анонимный19.7.11

    Вихорев.

    Про Роскомнадзор - заблуждение. У РКН 2 функции: контроль исполнения закона о связи. (Здесь есть состав 138 УК РФ и они могут предать дело в прокуратуру.) ЧВторая функция - контроль прав субъетов ПДн. (здесь им делать нечего, т. к. возмещение ущерба и возмещение морального вреда - компетенция ГК РФ, а по граждаскому праву, бремя доказательства лежит на заявителе, то есть на субъекта ПДн.

    ОтветитьУдалить
  62. > Вопрос тоже спорный.

    Ну а я о чем?

    > Про Роскомнадзор - заблуждение

    Это Вы Роскомнадзору скажите, чей представитель во всех СМИ заявил, что они этим как раз занимаются.

    ОтветитьУдалить
  63. Анонимный19.7.11

    Вихорев.

    Анониму. Это неверно. Даже, если есть знакомый в Мегафоне, то максимум, что можно получить, эт о информацию о том. что некто Пупкин (неизвестно: псевдоним это или истинное имя) является членом сообщества "абоненты Мегафон", но это не ПДн, по ним идентифицировать субъекта - проблематично ...

    Так что пикантная информация будет относительно Имярек какого-то....

    ОтветитьУдалить
  64. Анонимный19.7.11

    Вихорев.

    Да, занимаются, но исполняя свою ПЕРВУЮ функцию, следя за законоам о связи, а не о ПДн. Не надо путать.

    ОтветитьУдалить
  65. > это не ПДн, по ним идентифицировать субъекта - проблематично ...

    Вы 9 комментариев сверху говорили что это ПДн. И "проблематично" - не значит "невозможно в принципе".

    ОтветитьУдалить
  66. Анонимный19.7.11

    Да, господин Вихорев классно написал - контроль прав субъектов :) У РКН все таки защита прав субъектов :) В полномочия РКН есть право обращаться в суд в защиту прав субъекта, соответственно РКН и будет доказывать :)

    ОтветитьУдалить
  67. Анонимный19.7.11

    Анонимному +100, уже за удаленную ссылку в том числе с паспортными данными в смс.

    И вообще, в законе как действующем, так и в новой редакции нет понятия "обезличенные ПДн", есть понятие "обезличивание".

    Нет речи и об идентификации, а в новой редакции так вовсе - "ПДн - информация, относящаяся к косвенно определенному лицу".

    Другой аноним

    ОтветитьУдалить
  68. Вихореву:

    > Не надо путать.

    Вы выше на 16 комментариев заявляли, что ни закон о связи, ни УК138 не имеет отношения к ПДн, а имеет отношение к АДРЕСАТУ, и я с этим согласен. Стало быть, РКН проверяет ПДн как раз по своей второй функции. Иначе Вы сами себе противоречите.

    ОтветитьУдалить
  69. Анонимный19.7.11

    Вихореву,

    у Вас знакомые есть с номером на Мегафоне? Добрые жители сети всю смс переписку из яндекса утянули. Найти сайты с этой перепиской сейчас плевое дело. Можете поискать знакомый номерок. И если Вы это найдете, то информация которая будет там содержаться будет иметь отношение в том числе и к владельцу номера, то есть к конкретному известному Вам человеку. И это не ПДн?

    ОтветитьУдалить
  70. Анонимный19.7.11

    По-моему, тут тупик не законодательный, а тупик парадигмы. Отличная иллюстрация устарелости понятия «персональные данные», и даже шире - «прайвеси» в наше время. «Текст сообщения + номер телефона адресата этого сообщения» - является ли разглашение этого куска информации нарушением «прайвеси»? Совершенно неоднозначная вещь. И что-то мне подсказывает, что хоть десятки формулировок определения «персональных данных» для закона перебирай - не найти одну чёткую однозначную такую, которая бы устраивала бы без оговорок значимое большинство {произвольно взятых людей | экспертов}. Выходит, проблема не в формулировке, т.е., в итоге - не в законе! Проблема тут философская.
    [offtop]А философски лично я считаю, что «прайвеси» человека ограничено стенами его жилища. Вышел на улицу - ты в обществе. Никакая информация, относящаяся к (жизне)деятельности человека в обществе, не может считаться «персональной» и должна быть общедоступной (именно ОБЩЕдоступной! если она будет доступной для узкого круга ограниченных лиц, получится 1984 по Оруэллу). Понятие «коммерческая тайна» - тоже нездоровая вещь, дающая широчайшее поле деятельности для коррупции (не только государственной, но и корпоративной!). Конечно, резко вдруг к такому «информационному коммунизму» из сегодняшнего дня перейти нереально (тут даже десятилетий мало, наверное), но всё же мне кажется, что это лучшее из возможных направлений развития общества. Та же экономика за счёт исключения мощной силы трения в виде коррупции, «прайвеси» и «коммерческой тайны», могла бы ого-го как развиться. Уж здорово это мне напоминает будущее по версии Стругацких...[/offtop]

    1Сник из Мухосранска.

    ОтветитьУдалить
  71. Анонимный19.7.11

    Вихорев.

    Анониму. ГДЕ Вы видете ПДн? Вы можете получить от Вашего визави из Мегафона только даннные об АБОНЕНТЕ этой сети, но не о СУБЪЕКТЕ ПДн, а это суть разные вещи. Повторюсь: Вы уверены, что это не псевдоним? Вы уверены, что именно тот человек, который себя обозначил в базе Мегафона воспользовался телефоном и именно он послал ту или иную СМС? Получив информайцию от визави, Вы можете только с уверенностью говорить о том, что некто, назвавшийся Пупкиным, является абонентом Мегафона и не более того.

    ОтветитьУдалить
  72. Анонимный19.7.11

    Вихореву. Завидное упорство :) Речь не идет о псевдониме, речь идет о номере абонента, который в совокупности с Вашей записной книжкой позволяют определить субъект. А сведения в сообщении могут относятся как виртуалу с псевдонимом так и к уже определенному Вами субъекту. Тем самым Вы получаете сведения (порой весьма чувствительные) о конкретном физическом лице. По определению это ПДн.

    ОтветитьУдалить
  73. Анонимный19.7.11

    Вихорев.

    Анониму. Я зарегистрировал телефон на себя, но пользуется им мой внук. Ваш визави даст мне информацию только о том. что телефон принадлежит мне, но не внуку. Если же я воспользуюсь СВОЕЙ записной книжкой, то только я получу информацию о том, что пишет мой внук. Для остальных это будет бред, который пишу я. И где здесь ПДн?

    ОтветитьУдалить
  74. Анонимный19.7.11

    Вихореву. Ну Вы ведь упорствуете только ради упорства. Вот у меня в телефонной книжке есть 100 записей, из них треть Мегафоновские. Я точно знаю, что за этими номерами стоят конкретные люди (и не важно на кого зарегистрирован этот номер). Люди могут быть мне близко знакомы, а могут быть и совсем не очень. Я беру утекшую базу смс, произвожу по ней поиск и узнаю, что у кого-либо из этих КОНКРЕТНЫХ людей есть интрижки на стороне, в семье не очень хорошо, финансовые проблемы и т.д. То есть не обладая изначально информацией об интимной жизни, финансовом состоянии и т.д. я имею возможность все это узнать. И так по факту я знаю фио+дополнительную информацию, которая относится к КОНКРЕТНОМУ человеку. След я получил не имевшиеся у меня ранее персональные данные. И это я заметьте воспользовался легальным способом, а можно скачать базу мегафона и узнать ПДн по всем фигурантам смс-скандала.

    ОтветитьУдалить
  75. Анонимный19.7.11

    "буду краток" (с)

    Закон о персональных данных - в ж.о.п.у.
    (что в нынешней редакции, что в законопроекте)
    извините.


    На данный момент он (закон) _ничего_ не даёт "субъекту персональных данных". Вообще.

    Мы не в америках, получить кредит _только_ по номеру паспорта или номеру пенсионного страхования у нас _пока_ нельзя (ибо НЕЗАКОННО).

    А всё остальное - это всякая х.р.е.н.ь. (в смысле "моральный ущерб"). А если "моральный ущерб - ГК вам в руки:
    ст. 151 (часть 1), ст. 1095, 1099 (часть 2), и вообще - глава 59, параграфы 3 и 4.

    Ситуация с Мегафоном и Яндексом просто идеально вписывается в формулировку "Возмещение вреда, причиненного вследствие
    недостатков товаров, работ или услуг". И пофиг - "оператор" или "обработчик".

    С.Цветухин

    P.S. IMHO, разумеется.

    ОтветитьУдалить
  76. Мда.
    Пример про Иру и Петю неверный. Ира уже знала "ПДн" Пети - его номер. Ничего нового из яндекса она не узнала. Соответственно пример не корректен и явно вырожденный)

    Ну а вообще: с какой стати провайдер должен отвечать за контент, который гуляет по его сети? Тайна связи - пожалуйста. Однако, если кому-либо заблагорассудится отправлять сведения ОВ в тексте смс, каких гарантий он может ожидать от обычного провайдера? ДА никаких! Или вы предалагаете защититься по самое 1А??

    Не нужно приплетать проблему ПДн ко всему, что движется и повышать градусы.
    А что касается РКН, так он просто голоден по событиям рядом с ПДн, вот и чешется активно.

    ОтветитьУдалить
  77. Вихореву.
    Ваше представление об идентификации как я смотрю не претерпело никаких эволюционных изменений..
    Вот тут посмотрите - не про вашу презентацию ли речь? )
    http://a-datum.ru/index.php?option=com_content&view=article&id=113:2010-03-03-12-21-47&catid=65:2010-02-23-08-16-37&Itemid=78

    ОтветитьУдалить
  78. Анонимный20.7.11

    Вихорев - tiger-66.

    Да, это так, а разве есть возражения? Дело в том, что я почти уверен, что ЛЮБОЙ оператор связи (вернее его юристы) используют полоджения ст. 53 закона "О связи", что бы отвязаться от Закона О ПДн. К сожалению, от 138 ст. УК им вряд ли это удасться сделать ...

    ОтветитьУдалить
  79. >Да, это так, а разве есть возражения?

    Возражения насчет чего? Насчет того как вы, вроде бы специалист иб, понимаете идентификацию? Есть возражения и очень большие.. Они именно в статейке в указанной выше ссылке и содержаться.
    Ну а еще мне вспоминается случай как в споре с г-ном Лукацким вы утверждали, что ваша организация вообще не является ОПЕРАТОРОМ ПДн )
    Вот я и думаю - чему ж вы людей научить сможете на своих курсах с таким пониманием вопросов? (

    ОтветитьУдалить