Здравия желаю, господа юристы блогозория!
Есть у меня небольшая тяжелая думка. Далеко не по части морали и прочей бодрости духа. С тем к вам и обращаюсь. Поможи’те, будьте добры.
Речь пойдёт о сборе персональных данных. Тех самых, с которыми 152–ФЗ оперирует. Ну а сама проблема под катом.
Проблема следующая.
Есть Организация Х, которой принадлежит Сайт добра.
На этом сайте, размещенном в Интернете (регистрация открыта для любого посетителя) производится сбор идей сотрудников Организации Y.
Помимо описания сути идей, сотрудники Организации Y указывают на Сайте добра и свою контактную информацию (ФИО, должность, контактный телефон, e–mail). Таким образом, персональные данные сотрудников Организации Y потенциально доступны любому, кто регистрируется на Сайте добра.
Внимание, вопрос. Насколько это законно? Что нужно сделать, чтобы это было законно? Как организуются подобные штуки в цивилизованном мире, в Лондо’нах, Гуглях и По’рижах.
Заранее, огромное спасибо.
БабкаСССР, например.
Добавь обязательную регистрацию и пользовательское соглашение, в котором будет пункт, прописывающий передачу этих персональных данных. Добавь (при возможности) пункт — скрыть свои данные. Теоретически всё. Ну и да, если они скрыты, скажите, что «обязуемся не передавать персональные данные «абонентов» третьим лицам, за исключением случаев, прописанных в ФЗ»
Спасибо, дружище! Твой совет сделал мой день счастливым. Оказывается всё, или почти всё, чтобы не угодить на нары у меня есть. А именно:
1. Обязательная регистрация;
2. Пользовательское соглашение отображается в процессе регистрации и требует обязательного чекбокса ‘Согласен’ > Далее. Просто, сейчас там пустая страничка.
3. Существует возможность опубликовать предложение анонимно (данные не будут подставляться из карточки пользователя).
Собственно, бинго! Технически всё ОК. Осталось придумать грамотный текст Соглашения. Так?
Угу. Я, помнится, писал справки по этому щастью — если найду — скину тебе.
Большое спасибо. Было бы здОрово!
Еще стоит учесть, если сервер размещен в другой стране — получается трансграничная миграция ПД, что по 152 ФЗ рассматривается более строго.
Эээ, вот это уже неприятная новость. Европейский датацентр, однако. И как быть?
п.п.1–2 статьи 12ой. Во–первых, понятие «адекватности защиты» больше в законе нигде не фигурирует и четко дать ему определение затруднительно. Отталкиваясь от идеи того, что твой датацентр обеспечивает оную «адекватную защиту», то, следуя букве закона, ты не обязан получать согласие на миграцию ПД. К тому же, у тебя не фигурируют номера паспортов иили биометрические данные.
Адекватная защита на самом сервере это одно. А вот передача данных через открытый канал связи (хттпфтп, хттпс не является защищенным каналом по нашим законам, он не сертифицирован ФСТЭК и ФСБ) — однозначно недопустима.
И по самому серверу — далеко не уверен, что они смогут предоставить подтверждение нашим законам, что алгоритм хранения сертифицирован.
Для себя решил проще — у себя локально прогоняю данные в md5 хеш с солью, в таком виде заливаю на сервер, при обращении сравниваем хеши. Получается что и персональные данные нигде не хранятся (хеш это ведь не данные) и миграции нет по той же причине. Но я гружу на сайт результаты экзаменов с персональными данными, если речь про онлайн регистрацию такой метод может и не пройти, хотя если в браузере сразу делать хеш (не в курсе, что нить типа JS умеет так или нет)
надо смотреть практику. Я более, чем уверен, что предполагаемые тобой тех. требования по меньшей мере не обязательны 🙂
Можно не буду создавать клонов и спрошу тут.
Сайт X Взял с блогочки резюме со Ф.И.О.+ фото( про коменты и прочее я уже и не говорю) соискателя и разместил у себя на сайте. Данный контент мало того,что нарушает «Федеральный закон Российской Федерации N 152–ФЗ О персональных данных»,но и еще выдает Ф.И.О, в яндексе на первой странице,что является антирекламой для владельца Ф.И.О.
Как можно «попросить» удалить контент?
опять ты?!
ты сам мне адрес дал. Я зануда. Пока своего не добьюсь–не отступлю. Я уже в германию написала,где хостин находится!
Я общался с двумя представителями контор, что проводили аттестацию наших контор — все в один голос подтвердили все про заливку ПД на удаленный сервер по любому протоколу — это открытые каналы связи и по закону недопустимы.
А вот если я проведу обезличивание локально и дальше они будут храниться в подобном обезличенном виде — тогда на закон вообще плевать.
Про подтверждение хранения данных в открытом виде в БД удаленного сервера — сложнее, мне внятно не смогли ответить, видимо не так много практики подобной (банковские и подобные только разве). Но если наша бухгалтерия (бюджетная контора, ВУЗ, да и не только наша) не может взаимодействовать с буржуями в плане оплаты софта, услуг и прочего — то и здесь надо смотреть в том же неоптимистичном направлении.
Если просветите насчет серверов и как дружат наши законы о ПД с буржуями разных стран — будет замечательно
Кхм, вот в подобных материях я уже точно не разбираюсь. извиняйте.