Найти юриста / адвоката / эксперта
Уважаемые коллеги, так как инфосфера насыщенна, сведениями о новомодными изменениях в части законодательства о персональных данных, а именно о штрафах ужасных и великих за то, что не привнесли в свою деятельность бюрократических изменений (бумажки ради бумажки), хочу с вами поделиться, как я решал вопрос о защите персональных данных и так:
Я являюсь индивидуальным предпринимателем с основной деятельностью в отрасли права ОКВЭД 69.10, работников у меня нет и не предвидится, сайта тоже нет, значит 90% требований закона меня минует.
Для начала, я подверг анализу свою деятельность, разложив её на составляющие и визуализировав как именно я использую (обрабатываю) персональные данными, в том смысле которым его наделяет Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и разработал соответствующее «Положение», которое красиво распечатал и буду давать на ознакомления своим доверителям, ласково называемых в законе — субъект персональных данных.
Первоначальной целью обработки ПД – является исполнение соглашение на оказание мной услуги в отрасли права.
Вторичной (не появится без первоначальной), это ведения бухгалтерского и налогового учёта.
Что же я делаю и на что мне дают согласие:
Сбор – по сути получаю информацию, которая необходима для исполнения соглашения, мне её даёт доверитель или я сам её получаю в виде ознакомления с материалами дела или получая ответы на запросы;
Систематизацию – веду личный архив в электронном виде, длящихся и исполненных соглашений по одному ведомым мне алгоритмам (в зависимости от настроения) по датам, по смыслу и прочее, архив у меня находиться на отдельном диске доступ к которому ограничен только с ПК который я использую, зайти с интернета и что-то скачать невозможно, после использования диск я убираю сейф;
Собственно весь смысл закона, был направлен первоначально на лиц занимающихся систематизацией данных, потом выродился в то, что имеем.
Накопление – то же архив;
Хранение — то же архив, но добавляться бумажные носители в виде оригиналов или копий документов, документы храню в сейфе, в принципе, как и всегда, достаю только для их использования;
Примечание: срок хранения отсчитывают с момента завершения работы с ними или на основании истечения граничного срока установленного в согласии доверителя, Срок хранения документов связанных с обработкой персональных данных:
Согласия на обработку персональных данных — 3 года после истечения срока действия согласия или его отзыва;
Локальные нормативные акты, регулирующие обработку ПД (документы, определяющие политику обработки персональных данных, правила и процедуры), Акты об уничтожении персональных данных – постоянно.
Уточнение (обновление, изменение) – при получении новой информации, актуализирую имеющуюся, например: доверитель сменил фамилию и принёс мен новый паспорт, уточняю сторону по делу (пишу процессуальный документ), прикладываю к заключённому договору уведомление о смене реквизитов;
Использование – собственно интеллектуальная работа для исполнения соглашения, анализ обстоятельств, составление правовой позиции, процессуальных документов, запросов, ответов и тд.;
Обезличивание – тут просто, например: захотев разместить статью на «Праворуб» в разделе судебной практики, тщательнейшим образом вымарываю все персональные данные лиц участвующих в деле в размещаемых документах;
Уничтожение – раньше ненужные бумаги сгорали в мангале, а сейчас для этих целей приобрёл шредер со степенью секретности Р-4 и теперь полученная нарезка идёт в мангал максимально обезличенной, а для удаления с компьютера приобрёл программку для стирания файлов, которая одновременно и делает выгрузку в текстовый файл, о том, какого размера и вида файл я удалил.
Распространением (регулируется отдельным Приказом) – я не занимаюсь, так как в получаемом согласии от доверителя нужно указывать, данные куда именно я собираюсь распространять, в частности доменное имя ресурса, ну мне это не нужно;
Передачу — собственно идентификация доверителя перед другими лицами, судом, правоохранителями, всяческими госорганами, для исполнения соглашения, а также при ведении бухгалтерского учёта или отвечая на запросы, например: намедни отвечал арбитражному управляющему, сколько мне заплатил должник по соглашению.
Заполняя уведомление в Роскомнадзор, после того как сделано Приложение и появилось понимание процесса, становиться проще и понятнее.
Собственно, жизнь насытилась бюрократией, но теперь вместо хранения досье можно всем заинтересованным через 3 года показать акт об уничтожении ПД.
Если есть работники, всё гораздо веселее, так как нужно разработать и что самое сложное обеспечить выполнения работниками документации по защите персональных данных, и если делать по уму, то при большом объёме обрабатываемых данных и без введения «СРМ» мне кажется будет профанацией.
При наличии сайта с функцией обратной связи, свои отдельные требования, куда я не вникал.
Согласие на обработку ПД должно отражать специфику деятельности оператора в которой нельзя просить лишнего, например: Разработав соответствующую документацию для Садоводческого некоммерческого товарищества — «Согласие» на обработку включало в себя
- ФИО, идентификатор, (Паспортные данные и ИНН),
- Сведения об земельном участке (Правоустанавливающие документы, на земельный участок и строения),
- Договорные отношения с СНТ (Договор на электроснабжение и акты сверок),
- Сведения о членстве в СНТ (Членская книжка) и всё.
В нашей замечательной деятельности нужно знать чем больше тем лучше, поэтому Согласие которое даёт мне Доверитель максимально обширно.
Собирание биометрии — это отдельный кошмар, который нас не коснётся (изображения лица в паспорте не является биометрией).
Также Закон, содержит отсылочные нормы, регламентирующие разную экзотику, например: – в виде оценки угроз работы с ПД их критерии, что тоже в моём случае несущественно так как они у меня ниже низшего предела.
На этом всё, постарался максимально упростить, жду обоснованной критики, замечаний дополнений, в общем панамка наготове.
Титульное изображения на правах открытой лицензии
Индивидуальный предприниматель Кравченко Дмитрий Павлович
Крым, Евпатория
+7978 794 18 07
Рейтинг публикации:
«
Уважаемый Дмитрий Павлович, Вы всё конечно правильно описали, но я так до сих пор и не вижу реального смысла устраивать весь этот бюрократический кошмар всероссийского масштаба, поскольку никакие положения, регламенты, инструкции и т.п.
мерыбумажки на самом деле создают только суету и массу поводов для придирок, но никак не защищают самих субъектов персональных данных, которые могут быть уворованы откуда угодно, и несмотря на все бюрократические меры (smoke)весь этот бюрократический кошмар всероссийского масштаба,Уважаемый Иван Николаевич, думается, придумали найти способ срубить (cash) хорошенько.
А что касается бюрократического кошмара, так мы давно предполагали, что в нем -то весть смысл и состоит.
«The
Showkohmar Must Go On».Сегодня заходил в наш РКН. Лучше бы я туда не ходил.
Уважаемый Андрей Валерьевич, я вот долго думал где там бабки… ну, штраф, ну заработная плата, кто трудился над законном. Но это не тот случай. Так где деньги, Зин?
Уважаемый Игорь Иванович, здравствуйте-приехали....
Вы что!?
Уважаемый Андрей Валерьевич, таки и хочется услышать ответ от просвещенных! :D
Уважаемый Игорь Иванович, а в чем вопрос? (smoke)
Уважаемый Игорь Иванович, я думаю — всё просто, под этот закон, РКН:
— увеличит штатную численность сотрудников,
— получит новые здания / помещения, транспорт, мебель и т.п. для размещения новых сотрудников,
— проведет множество обучающих мероприятий,
— закупит новое оборудование,
— закажет разработку нового ПО,
— постарается получить дополнительные права и возможности,
— статус руководства РЕН в бюрократической иерархии вырастет на порядок, соответственно весь его «генералитет» повысит свой номенклатурный вес, и получит возможность манипулирования совсем другими бюджетами...
так что «простор для манёвров» значительно расширится... (smoke)
Уважаемый Иван Николаевич, спасибо за внимание к публикации, в моём ремесленническом случае, это ещё в очень и очень мягком варианте.
По самой сути введённых требований, считаю это в какой-то мере даже вредительством, открывающей путь:
Проверке на стойкость к коррупции Роскомнадзора;
Потребительскому терроризму путём манипуляций — возврат денег или донос.
По поводу уворованных откуда угодно персональных данных, если в центр копирования зайти, и можно из их брака выбрать себе любой паспорт средней читабельности (wasntme)
Непонятна защитная цель этих мероприятий — вот у меня в руках паспортные данные и что я с ними буду делать 8), продам рекламщикам для холодных звонков (call), так у меня они могут быть без телефонного номера, да и цена вопроса наверное никому не интересна.
По моему ушли в прошлое, случаи когда по чужому паспорту (данным) оформляли кредиты сторонние люди, а если в этом замешан сотрудник кредитной организации, так ему и не составит труда их узнать.
Уважаемый Дмитрий Павлович, и правда, нужен человеческий язык везде. Если ребенок после прочитанного не понимает содержание, значит плох тот кто писал. Спасибо за разъяснения.А вот есть вопросы: если адвокат/юрист не имеет сайт, а только использует e-mail, какой адрес ЦОД он должен указать? Он же собирает и хранит ПД. А вот еще вопрос! А если использует таблицe excel, то это автоматизированный сбор или нет?
Собирание биометрии — это отдельный кошмар, который нас не коснётся (изображения лица в паспорте не является биометрией).А вот в уведомлении указано: Категории персональных данных/Персональные данные: фото-видео изображение лица.
А сколько раз адвокат/юрист обрабатывает фото и видео, и не только папорт? И про биометрию в уведомлении ничего не сказано. Получается, что нужно указать, что оператор обрабатывает ПД — фото-видео изображение лица.
Дмитрий Павлович, вопросы, конечно же, не к Вам. Так просто пофилософствовать. :)
Уважаемый Игорь Иванович, спасибо за внимание к публикации, я просто заострил внимание, что на фото изображения лица не распространяются требования по сбору биометрии, специальное ПО, шифрование и прочее..
На мой дилетантский взгляд, фото на паспорте это неотъемлемая часть документа и я её отдельно никак не обрабатываю (не вырезаю прямоугольник и никому не передаю, а также не осуществляю какого либо поиска по алгоритму — сравнить фото).
А если использует таблицe excel, то это автоматизированный сбор или нет?Мне видеться, что нет, таблицу excle, так или иначе заполняется руками, а автоматизированный сбор подразумевает (это конечно вольные размышления), что у вас на сайте есть возможность оставить заявку, вы себе спите спокойненько, а утром открыли сайт, а вам человек десять написало с ФИО и телефоном для обратной связи.
если адвокат/юрист не имеет сайт, а только использует e-mail, какой адрес ЦОД он должен указатьВопрос философский, но легко доводимый до абсурда — где ЦОД телеграммы, где ЦОД адреса на конверте, где ЦОД мессенджеров.
Я думаю, что про электронную почту нам скоро расскажут или нужно прикупить почтовых голубей :?
Уважаемый Игорь Иванович, по поводу паспорта и фотографии в нем есть «Разъяснение вопросов отнесения фото- и видео- изображения,
дактилоскопических данных и иной информации к биометрическим
персональным данным и особенности их обработки».
Можно прямо в поисковик забить и выдаст ссылки на эти разъяснения. Они очень интересны и полезны.
Уважаемый Иван Николаевич, мне кажется, хотя, когда кажется, все знают, что нужно делать… дополнительное регулирование не требуется, в законе и не одном, все прописано. Так зачем дополнительно регулировать?
Дай мне справку, что твоя справка правильная, и справку, что справа выдана уполномоченным лицом… :)
Уважаемый Игорь Иванович, всё уже придумали,
Дай мне справку, что твоя справка правильная, и справку, что справа выдана уполномоченным лицом… :)
и назвали Апостиль :)
Уважаемый Дмитрий Павлович!
В порядке уточнения термина «передача». П.3 ст. 3 закона о перс данных:
передача — это распространение, предоставление, доступ.
п.5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
п.6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
ИП без сайта не осуществляет распространение перс данных (неопределенному кругу), а осуществляет предоставление перс данных определенному кругу (суду, правоохранителям, госорганам) — в целях исполнения соглашения.
Это важно в целях понимания вопроса об обязательности Уведомления РКН.
ПП РФ 687:
п.2 — «содержание» в информационной системе и «извлечение» из информационной системы не признается осуществляемой с использованием средств автоматизации;
п.1 — контролирует четыре операции — использование, уточнение, распространение, уничтожение. Распространение не осуществляется, а использование, уточнение, уничтожение перс данных осуществляется не автоматизировано (на бумажном материальном носителе). Довод в обоснование отсутствия обязанности подавать Уведомление.
P.S. Прав Иван Николаевич – суета сплошная
Уважаемая Ольга Юрьевна, спасибо за уточняющий комментарий — как сложен юридический язык :)
Довод в обоснование отсутствия обязанности подавать Уведомление.Очень не хотеться, кому либо что-то обосновывать к тому же слугам государевым ;(
Я для себя исключил распространение, исходя из Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. N 18 “Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения”, где есть требование, что сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.
«содержание» в информационной системе и «извлечение» из информационной системы не признается осуществляемой с использованием средств автоматизацииА вот придёт нужда подать, что либо через «МойАрбитр» или «ГАС Правосудие», как это будут трактовать, не ведомо, так как простор для манипуляций огромный :?
Мне видеться, что сейчас ситуация проясниться и если Роскомнадзор разъяснит, человеческим языком, а сверху это отполируется судебной практикой и я не попаду в категорию операторов, то я всегда смогу подать заявление о прекращении обработки.
А пока Роскомнадзор хочет поиграть в бюрократию под угрозой дичайших санкций санкций — то я считаю нужным его уважить (blush)
Реестр перенасытили вниманием :D
Уважаемый Дмитрий Павлович, применительно к адвокатам, мне эта нездоровая активность Роскомжандарма напоминает К. Чуковского «Тараканище».
Приводите мне своих деток, я их скушаю...А вот у меня нет компьютера и нет ничего в компьютере. И домой никого из вертухаев не приглашаю.
Санкцию на обыск РКН пока получить не в состоянии.
И что мне предъявят? использование блокнота и бумаги А4?
Уважаемый Олег Александрович, у меня тоже нет компьютера, только бумага и ручка, ничего я не обрабатываю, а вот доверитель мои данные — вполне
Уважаемый Олег Александрович, спасибо за внимание к публикации, я об этом долго думал перед тем как наводить суету, в моей голове сложились две картинки:
Первая — Среди моих доверителей, раз в пару лет попадаются «эталонные чудаки», которые после результатов рассмотрения дела и вне зависимости от результата, могут прийти ко мне и сказать: деньги взад или я пишу жалобу в Роскомнадзор, доверенность я тебе давал, данные давал, а тебя нет в реестре так, что выбирай 300 тыс. или мои деньги.
Вторая — Составляю и подаю заявление о взыскании судебных издержек, к которому прикладываю соглашение с ПД доверителя, мой процессуальный оппонент, может засунуть нос в реестр операторов и также накатать на меня жалобу и я думаю Роскомнадзору будет вполне достаточно, данного заявления (это же не иск, тут всё равно, что я не его данные обрабатывал), чтобы подвергнуть меня админ наказанию.
И это, только на вскидку, :)
Также это может сделать любой из органов куда я направлю обращение, у того же Роскомнадзора временами приходиться испрашивать информацию от лица доверителя.
Уважаемый Дмитрий Павлович!
Не все операторы перс данных обязаны состоять в реестре РКН.
Оператор (юрист, адвокат) вправе осуществлять без уведомления РКН обработку персональных данных:
-если они получены в связи с заключением договора, стороной которого является субъект персональных данных (доверитель),
-если использование, уточнение, уничтожение перс данных доверителя осуществляется не автоматизировано (на бумажном носителе),
-если персональные данные доверителя не распространяются (не раскрываются неопределенному кругу), а предоставляются (раскрываются определенному кругу) третьим лицам с согласия субъекта персональных данных (доверителя) и используются оператором исключительно для исполнения указанного договора.
Уважаемая Ольга Юрьевна, спасибо, я очень тщательно прочитал вашу публикацию Праворуб: Увеличение штрафов в области персональных данных, ст. 13.11 КоАП ... перед тем как что-то делать
и до этого прочитал Георгия Трельского на zakon.ru https://zakon.ru/...sonalnymi_dannymichast_i_98783,
https://zakon.ru/...s_personalnymi_dannymichast_ii и нашёл там для себя лишь список дополнительных вопросов.
Собственно мне же никогда не поздно будет подать заявление и убрать себя из реестра :?
если использование, уточнение, уничтожение перс данных доверителя осуществляется не автоматизировано (на бумажном носителе)Мой Арбитр и ГАС Правосудие 8-|
Уважаемая Ольга Юрьевна, поддерживаю.
Уважаемый Дмитрий Павлович, Вы слишком себя нагрузили. Наверняка у Вас нет тех средств автоматизации, о которых идет речь в законе.
Уважаемая Ольга Витальевна, перебдел (giggle)
Уважаемый Дмитрий Павлович, хорошая публикация — размышление.
Ко мне сейчас тоже обращаются по этому вопросу. Пока разбирался вычитал такого, что теперь невозможно забыть. Потому что разъяснения иногда противоречат друг другу, потом подкидывает судебная практика, а в законодательство лучше не лезть.
Когда готовил документы пару раз звонил в РКН по СЗФО, у них там есть специальный выделенный телефон по вопросам заполнения уведомлений. Так вот там добрые люди сообщили, что, например, не надо ставить две цели «Ведение кадрового и бухгалтерского учета» и «Исполнение трудового законодательства», т.к. они, по сути, дублируют друг друга.
Это, конечно, логично, но потом слова — то их не пришьешь к протоколу. А насчет галочек в графе «Правовое обоснование» пояснили, что если проставленное сможете объяснить — ставьте.
Вот так и живем.