Здравия желаю, господа юристы блогозория!

Есть у меня небольшая тяжелая думка. Далеко не по части морали и прочей бодрости духа. С тем к вам и обращаюсь. Поможи’те, будьте добры.

Речь пойдёт о сборе персональных данных. Тех самых, с которыми 152–ФЗ оперирует. Ну а сама проблема под катом.

15 Responses to Юридический форум:Сбор персональных данных

  1. PCXXX:

    Проблема следующая.

    Есть Организация Х, которой принадлежит Сайт добра.
    На этом сайте, размещенном в Интернете (регистрация открыта для любого посетителя) производится сбор идей сотрудников Организации Y.

    Помимо описания сути идей, сотрудники Организации Y указывают на Сайте добра и свою контактную информацию (ФИО, должность, контактный телефон, e–mail). Таким образом, персональные данные сотрудников Организации Y потенциально доступны любому, кто регистрируется на Сайте добра.

    Внимание, вопрос. Насколько это законно? Что нужно сделать, чтобы это было законно? Как организуются подобные штуки в цивилизованном мире, в Лондо’нах, Гуглях и По’рижах.

    Заранее, огромное спасибо.
    БабкаСССР, например.

  2. Tnaev:

    Добавь обязательную регистрацию и пользовательское соглашение, в котором будет пункт, прописывающий передачу этих персональных данных. Добавь (при возможности) пункт — скрыть свои данные. Теоретически всё. Ну и да, если они скрыты, скажите, что «обязуемся не передавать персональные данные «абонентов» третьим лицам, за исключением случаев, прописанных в ФЗ»

  3. PCXXX:

    Спасибо, дружище! Твой совет сделал мой день счастливым. Оказывается всё, или почти всё, чтобы не угодить на нары у меня есть. А именно:
    1. Обязательная регистрация;
    2. Пользовательское соглашение отображается в процессе регистрации и требует обязательного чекбокса ‘Согласен’ > Далее. Просто, сейчас там пустая страничка.
    3. Существует возможность опубликовать предложение анонимно (данные не будут подставляться из карточки пользователя).

    Собственно, бинго! Технически всё ОК. Осталось придумать грамотный текст Соглашения. Так?

  4. Tnaev:

    Угу. Я, помнится, писал справки по этому щастью — если найду — скину тебе.

  5. PCXXX:

    Большое спасибо. Было бы здОрово!

  6. MdNok:

    Еще стоит учесть, если сервер размещен в другой стране — получается трансграничная миграция ПД, что по 152 ФЗ рассматривается более строго.

  7. PCXXX:

    Эээ, вот это уже неприятная новость. Европейский датацентр, однако. И как быть?

  8. Tnaev:

    п.п.1–2 статьи 12ой. Во–первых, понятие «адекватности защиты» больше в законе нигде не фигурирует и четко дать ему определение затруднительно. Отталкиваясь от идеи того, что твой датацентр обеспечивает оную «адекватную защиту», то, следуя букве закона, ты не обязан получать согласие на миграцию ПД. К тому же, у тебя не фигурируют номера паспортов иили биометрические данные.

  9. MdNok:

    Адекватная защита на самом сервере это одно. А вот передача данных через открытый канал связи (хттпфтп, хттпс не является защищенным каналом по нашим законам, он не сертифицирован ФСТЭК и ФСБ) — однозначно недопустима.
    И по самому серверу — далеко не уверен, что они смогут предоставить подтверждение нашим законам, что алгоритм хранения сертифицирован.
    Для себя решил проще — у себя локально прогоняю данные в md5 хеш с солью, в таком виде заливаю на сервер, при обращении сравниваем хеши. Получается что и персональные данные нигде не хранятся (хеш это ведь не данные) и миграции нет по той же причине. Но я гружу на сайт результаты экзаменов с персональными данными, если речь про онлайн регистрацию такой метод может и не пройти, хотя если в браузере сразу делать хеш (не в курсе, что нить типа JS умеет так или нет)

  10. Tnaev:

    надо смотреть практику. Я более, чем уверен, что предполагаемые тобой тех. требования по меньшей мере не обязательны 🙂

  11. Ak0:

    Можно не буду создавать клонов и спрошу тут.
    Сайт X Взял с блогочки резюме со Ф.И.О.+ фото( про коменты и прочее я уже и не говорю) соискателя и разместил у себя на сайте. Данный контент мало того,что нарушает «Федеральный закон Российской Федерации N 152–ФЗ О персональных данных»,но и еще выдает Ф.И.О, в яндексе на первой странице,что является антирекламой для владельца Ф.И.О.
    Как можно «попросить» удалить контент?

  12. LeBig:

    опять ты?!

  13. Ak0:

    ты сам мне адрес дал. Я зануда. Пока своего не добьюсь–не отступлю. Я уже в германию написала,где хостин находится!

  14. MdNok:

    Я общался с двумя представителями контор, что проводили аттестацию наших контор — все в один голос подтвердили все про заливку ПД на удаленный сервер по любому протоколу — это открытые каналы связи и по закону недопустимы.
    А вот если я проведу обезличивание локально и дальше они будут храниться в подобном обезличенном виде — тогда на закон вообще плевать.

    Про подтверждение хранения данных в открытом виде в БД удаленного сервера — сложнее, мне внятно не смогли ответить, видимо не так много практики подобной (банковские и подобные только разве). Но если наша бухгалтерия (бюджетная контора, ВУЗ, да и не только наша) не может взаимодействовать с буржуями в плане оплаты софта, услуг и прочего — то и здесь надо смотреть в том же неоптимистичном направлении.
    Если просветите насчет серверов и как дружат наши законы о ПД с буржуями разных стран — будет замечательно

  15. Tnaev:

    Кхм, вот в подобных материях я уже точно не разбираюсь. извиняйте.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *