Comments 47
В целом вполне логичные изменения. При нынешних нормах легко, по-моему, оператору отдать на аутсорс обработку и не нести ответственность, если аутсорсер нарушает нормы. И аутсорсер может не нести — он не оператор.
А уж как конкретно оператор будет контролировать — дело договорных отношений и экономической целесообразности. Кто-то удовольствуется «защищаешь?» раз в год, а кто-то раз в месяц будет проводить свой аудит.
Кстати, хороший шанс продвинуть услуги аудита, по-моему.
А уж как конкретно оператор будет контролировать — дело договорных отношений и экономической целесообразности. Кто-то удовольствуется «защищаешь?» раз в год, а кто-то раз в месяц будет проводить свой аудит.
Кстати, хороший шанс продвинуть услуги аудита, по-моему.
Нынешняя редакция статьи уже содержала норму, что вы отвечаете за персональные данные, а тот кому вы поручили обработку, отвечает перед вами.
Сейчас же получается ситуация, что вас могут штрафануть, т.к. вы плохо проконтролировали, что кто-то переписал персональные данные на листочек и унёс.
Сейчас же получается ситуация, что вас могут штрафануть, т.к. вы плохо проконтролировали, что кто-то переписал персональные данные на листочек и унёс.
Вот именно, что перед нами. А перед законом только оператор. В теории можно схемы создавать при которых оператор простая прокладка, которая никогда претензий не выставит обработчику. А свои возможности нести гражданскую и административную отвественность ограничены уставным капиталом в 10000 рублей.
А разве это не логично?
Логично, что «надлежащесть» должны определить вы, а потом проверяющий может сказать, что это недостаточно надлежаще, хотя конкретных правил нет?
Конкретные правила же есть: требования закона к оператору. Что требуется от оператора, то оператор должен проверять у обработчика.
На всякий случай объясню более конкретно. По-моему мнению сама по себе идея здравая, но проблема в формулировках, которые не объясняют вообще ничего.
Что такое надлежащий контроль? Каким образом его осуществлять? Кто будет решать, контроль является надлежащим или нет?
Если бы в тексте было написано, что под надлежащим контролем подразумевается первое, второе, третье, что оператор для этого может запрашивать необходимые для контроля документы, логи и т.п., а другое лицо обязано это предоставить, вопросов бы не было.
Сейчас же получается формулировка «докажи нам, что ты хороший, а мы подумаем»
Что такое надлежащий контроль? Каким образом его осуществлять? Кто будет решать, контроль является надлежащим или нет?
Если бы в тексте было написано, что под надлежащим контролем подразумевается первое, второе, третье, что оператор для этого может запрашивать необходимые для контроля документы, логи и т.п., а другое лицо обязано это предоставить, вопросов бы не было.
Сейчас же получается формулировка «докажи нам, что ты хороший, а мы подумаем»
UFO just landed and posted this here
Только если раньше mail.ru мог слить эти данные и я бы не явно отвечал перед владельцем ПДн
Вы явно отвечаете перед владельцами ПД, а мейл.ру отвечает перед вами за их сохранность. Это написано в тоже статье, в которую хотят добавить пункт про контроль.
Тут ситуация подобная ответственности компании за действия своих сотрудников, когда мне плевать, кто конкретный сорвал выполнение договора, т.к. я заключал его не с фирмой в целом, а определённым сотрудником.
В статьях КОАП о штрафах, помимо юридических и должностных лиц, фигурируют и простые граждане. Интересно, к кому это относится?
UFO just landed and posted this here
Никто не запрещает вам, как физлицу, создать личный сайти и сделать на нём форму обратной связи, например. И это уже может быть ПДн.
Но Физлицо же не оператор пд.
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо,
Ну ладно, это касается части 8 из выдержки в статье, а как быть с частью 9, которая касается лица, осуществляющего обработку ПД по поручению оператора? Неужто оператор может это поручить некоему гражданину, даже не являющимся ни должностным, ни юридическим лицом?
> Оператор вправе поручить обработку персональных данных другому лицу
Ограничений на то какое должно быть лицо я не нашёл. И это логично — если оператор может быть физ лицом, то и поручить обработк уон может физлицу.
Ограничений на то какое должно быть лицо я не нашёл. И это логично — если оператор может быть физ лицом, то и поручить обработк уон может физлицу.
ИП, например, согласно законодательству, является физлицом.
Но в перечне размеров штрафов просто граждане и индивидуальные предприниматели упомянуты отдельно:
на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц – от пяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от пятнадцати тысяч до тридцати тысяч рублей.
Например есть программист, работающий по договору авторского заказа (НЕ трудовому и НЕ с ИП) с конторой X, а контора X — заключила с Y договор о разработка ПО.
У программиста есть доступ к персональным данным сотрудников Y (ФИО + номер телефона + e-mail + должность это ж персональные данные)?
Как я понимаю, по новому закону — программист тоже отвечает если что утекло.
У программиста есть доступ к персональным данным сотрудников Y (ФИО + номер телефона + e-mail + должность это ж персональные данные)?
Как я понимаю, по новому закону — программист тоже отвечает если что утекло.
А сам факт того, что X передал доверенные ему Y данные некоему стороннему человеку (программисту), разве не подпадает под понятие утечки? Разрабатывать ПО вполне можно на тестовых наборах данных, а уж потом, сотрудники X пусть производят тестирование и запуск на реальных данных, если Y их ему доверил.
Позволю процитировать себе одну книжку:
— Вы действительно считаете, что мы хотим, чтобы эти законы выполнялись? —
продолжил доктор Феррис. — Мы хотим, чтобы их нарушали. Вам следует уяснить, что
перед вами не команда бойскаутов, и тогда вы поймете, что наш век — не век красивых
жестов. Сейчас время силы и власти. Вы вели осторожную игру, но мы знаем настоящий
трюк, и вам надо научиться ему. Невозможно управлять невинными людьми.
Единственная власть, которую имеет любое правительство, — это право применения
жестоких мер по отношению к уголовникам. Что ж, когда уголовников не хватает, их
создают. Столько вещей объявляется криминальными, что становится невозможно жить,
не нарушая законов. Кому нужно государство с законопослушными гражданами? Что оно
кому-нибудь даст? Но достаточно издать законы, которые невозможно выполнять, претворять в жизнь, объективно трактовать, — и вы создаете государство нарушителей
законов и наживаетесь на вине. Вот какая система, мистер Реардэн, вот какая игра, и если
вы ее поняли, с вами будет намного легче иметь дело.
Слишком уж часто с ужасом эту книжку вспоминаю в последнее время
Цитата не в тему. Мы уже жили без правил обработки ПД, и что получилось? Компании бесконтрольно накапливали, собирали, продавали ПД. Каждое второе приложение для смартфона высасывает из него все, что там есть, на сервер.
Если придется выбирать между «недобдеть» и «перебдеть», то я за последнее. Так как бизнес перешагнет любые моральные рамки ради лишних 5% прибыли. Раз у них нет своих моральных рамок, придется ставить юридические.
Если вам так не нравятся законы, придуманные, чтобы их нарушали, вы можете поехать в любой регион, где законов нет — в какой-нибудь неподконтрольный властям регион, и наслаждаться отсутствием правительств, налогов и «глупых» законов по охране ПД.
Если придется выбирать между «недобдеть» и «перебдеть», то я за последнее. Так как бизнес перешагнет любые моральные рамки ради лишних 5% прибыли. Раз у них нет своих моральных рамок, придется ставить юридические.
Если вам так не нравятся законы, придуманные, чтобы их нарушали, вы можете поехать в любой регион, где законов нет — в какой-нибудь неподконтрольный властям регион, и наслаждаться отсутствием правительств, налогов и «глупых» законов по охране ПД.
Законы с размытыми понятиями — это рай для коррупционеров, так как можно трактовать их в свою пользу. Пример возможных разночтений есть в конце статьи, если Вы ее читали, конечно.
А дешевые манипуляции вида «если не нравятся плохие законы, живите совсем без них» оставьте Киселеву и троллям на пикабу. На образованных людей людей они буду т иметь скорее обратный эффект.
Так что цитата очень в тему, просто она не такая оптимистичная, как Вам хотелось бы.
А дешевые манипуляции вида «если не нравятся плохие законы, живите совсем без них» оставьте Киселеву и троллям на пикабу. На образованных людей людей они буду т иметь скорее обратный эффект.
Так что цитата очень в тему, просто она не такая оптимистичная, как Вам хотелось бы.
Я вам могу рассказать, что происходит у управляющих компаний (которые не ЖКХ, а управление активами) из-за размытых формулировок в законах и нормах.
По закону УК должна уведомлять клиента об особенностях инвестиционных продуктов, только способы и стандарты толком не определены. В результате не смотря на договор в котором реально всё написано, регулярно возникают словестные и денежные претензии от ЦБ в стиле:
1. Почему вы не сообщили, что это не банковский депозит?
2. Почему вы не сообщили, что доходность не гарантирована?
3. Почему вы не сообщили, что в этом варианте управления нет возможности вывести деньги досрочно без потерь?
4. Почему вы не сообщили то?
5. Почему вы не сообщили это?
Результатом этого является десяток бумаг, которые должен подписать человек, смысл которых в уведомлении (то есть повторении написанного в договоре) о том, о сём.
Может стоить в начале определить чёткие и однозначные критерии вместо размытых формулировок, а только потом требовать?
По закону УК должна уведомлять клиента об особенностях инвестиционных продуктов, только способы и стандарты толком не определены. В результате не смотря на договор в котором реально всё написано, регулярно возникают словестные и денежные претензии от ЦБ в стиле:
1. Почему вы не сообщили, что это не банковский депозит?
2. Почему вы не сообщили, что доходность не гарантирована?
3. Почему вы не сообщили, что в этом варианте управления нет возможности вывести деньги досрочно без потерь?
4. Почему вы не сообщили то?
5. Почему вы не сообщили это?
Результатом этого является десяток бумаг, которые должен подписать человек, смысл которых в уведомлении (то есть повторении написанного в договоре) о том, о сём.
Может стоить в начале определить чёткие и однозначные критерии вместо размытых формулировок, а только потом требовать?
В ДАННОМ случае (именно с УК) — я только за, что меня как клиента, что попросят подписать этот десяток бумаг (либо пусть важные пункты выделяют в договоре или прямо и честно рассказывают при заключении договора).
А вот куки — это блин перебор. Но — это для меня (понимающего зачем они нужны, как можно их чистить, как можно анонимно ходить...)
Вот может имеет смысл делать 'курс молодого инвестора'/'пользователя компьютера с кратким объяснением что там зачем' и один раз указывать реквизиты пройденного курса и чтобы больше тебя не доставали вопросами в рамках курса? Эх, мечты.
А вот куки — это блин перебор. Но — это для меня (понимающего зачем они нужны, как можно их чистить, как можно анонимно ходить...)
Вот может имеет смысл делать 'курс молодого инвестора'/'пользователя компьютера с кратким объяснением что там зачем' и один раз указывать реквизиты пройденного курса и чтобы больше тебя не доставали вопросами в рамках курса? Эх, мечты.
В ДАННОМ случае (именно с УК) — я только за, что меня как клиента, что попросят подписать этот десяток бумаг (либо пусть важные пункты выделяют в договоре или прямо и честно рассказывают при заключении договора).
Я не о том, что это куча бумаг это плохо. Я о том, что нет чёткого критерия, определяющего надлежащее донесение информации до клиента. В результате этого на каждый чих приходится добавлять новую бумажку, т.к. центробанк каждый раз использует позицию: «А вдруг к вам придёт непонимающая бабушка?».
Я боюсь, что с этими изменениями в законе о персональных данных, аналогичная ситуация, когда позиция проверяющих будет: «Вы не стоите за спиной у другого лица, значит контроль ненадлежащий! Держите штраф, платить в кассу!»
UFO just landed and posted this here
UFO just landed and posted this here
В целом вполне логичные изменения. При нынешних нормах легко, по-моему, оператору отдать на аутсорс обработку и не нести ответственность, если аутсорсер нарушает нормы. И аутсорсер может не нести — он не оператор.
Вот согласен с такой формулировкой. Рано или поздно, деловая репутация и отсутствие косяков должна была выйти из тени. Хочется, что бы было выгодно радеть над надлежащим использованием и защитой, а не как сейчас.
Идея здравая, но реализация…
Я как физлицо поручаю ВКонтакте обработку своих ПДн, меня теперь могут наказать за то, что я не осуществляю контроль?
Сдаётся мне, при передаче ПД на оутсорс, увеличивается вероятность утечки этих самых ПД. А при введении ответственности у оператора может возникнет больше желания обрабатывать ПД самостоятельно.
Sign up to leave a comment.
Планируются изменения в ФЗ-152