Защита персональных данных

[seevbon 40]

Закон №152-ФЗ несет в себе еще одну угрозу – дает дополнительный инструмент недобросовестным конкурентам. Что мешает подать заявление от лица субъекта персональных данных (конкретного гражданина) о нарушении его прав компанией, которой он сообщил личную информацию? Предприятие ждет еще одна проверка, отвлекающая силы от основного бизнеса.

Этому мешает отсутствие фактов нарушений.

Компания получает письмо от гражданина, данные которого ранее получила и включила в свои базы, с просьбой предоставить ему информацию о том, как ведется обработка его ПДн. Что им движет – непонятно. Возможно, искренний интерес, возможно, природная любовь к конфликтам, а может и недобрый умысел. В любом случае он имеет право на такое обращение в соответствии со статьей 14, частью 4 закона №152-ФЗ. Но компания не готова к тому, чтобы дать исчерпывающий ответ в отведенное время. Она не предоставляет затребованную информацию или предоставляет ее не полностью. Клиент, не получив в указанные в законе сроки ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос о возбуждении уголовного дела в связи с нарушением прав субъекта персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140. И вот у вас под дверью прокурорская проверка.

А почему бы и не подкинуть компашкам, которые не дорожат лояльностью своих добросовестных клиентов, дополнительную работенку? Например банку или опсосу, которые ухудшают условия действующих тарифных планов.

Понравилось тут http://www.securitylab.ru/opinion/379585.php

[p2u 824]

Понравилось тут http://www.securitylab.ru/opinion/379585.php

Да, мне тоже. Есть одна дырка в теории, однако, и она, как всегда, кроется в предположениях: 'мы будем всегда обнаруживать утечку данных'. Я убеждён в том, что большинство кейсов просто незаметно происходит...

Paul

[Мальцев Тимофей 74]

О каком отсутствии фактов нарушений можно говорить, если есть заявление от гражданина?

[p2u 824]

О каком отсутствии фактов нарушений можно говорить, если есть заявление от гражданина?

Немного офф-топ (не относится к тому, что пишет seevbon), но всё же: Зависит как определить 'нарушение'. Банк может формально всё выполнить по правилам, но у неё на сервере есть неизвестная дырка, через которую можно с помощью XSS-атаку красть деньги клиента, допустим. Понятно, что нарушение имело место, но уже не по данному закону. Персональные данные тоже могут уходить в неизвестном направлении таким же образом.

Paul

[Мальцев Тимофей 74]

Насколько я понимаю, если мы говорим о выполнении закона, то нарушение - несоблюдение его требований.

Ушла ли информация при условии соблюдения требований закона, по формальным признакам - видимо, дело второе.

[p2u 824]

нарушение - несоблюдение его требований.

Кем в данном случае?

Paul

[seevbon 40]

О каком отсутствии фактов нарушений можно говорить, если есть заявление от гражданина?

Заявление основано на фактах нарушений. Если они есть. Если их нет -какие могут быть заявления?

Кем в данном случае?

А вот это и должна выяснить проверка по заявлению.

[bse 115]

А почему бы и не подкинуть ... дополнительную работенку?

А если натравить госнадзирателей на госоператоров, может тогда коллизии быстрее рассосутся?..

[Мальцев Тимофей 74]

Кем в данном случае?

Paul

Вопрос непонятен.

Несоблюсти закон может только оператор.

Заявление основано на фактах нарушений. Если они есть. Если их нет -какие могут быть заявления?

Здрасьте.

Заявление может быть основано не на факте, а не на мнении. Это же классика.

[p2u 824]

Вопрос непонятен.

Несоблюсти закон может только оператор.

Имел в виду: А если сам оператор здеь не причём? Он выполнил формально всё по инструкциям и в соответствии с Федеральным Законом. Кого тогда наказывать? Программёра движка сервера? (хотя нет: никто же не знает, что там дыра, и какая именно)

Paul

[Мальцев Тимофей 74]

Мне кажется, ответ очевиден.

Естественно, по ФЗ-152 - никого. Если все нормы соблюдены.

А то, что Компания "оттеряет" репутацию, место на рынке и пр. - таки что же делать?

Похожая ситуация вчера на "Эхо Москвы" обсуждалась г-ном Пикуленко.

Пьяный человек сел за руль неисправного автомобиля (по пьяни забив на неисправность). И кого-то сбил - из-за неисправности автомобиля.

Как заметил Пикуленко (не уверен, что я его немного не оттрактовал, но...):

1. Пьяный за рулем - административка.

2. Езда на неисправном автомобиле административка.

3. Сбил человека - несчастье, неисправность автомобиля не дала возможности не сбить...

Пикуленко, в принципе, сказал о таких вариантах с неодобрением.

Я - так вообще возмущен.

Но, как линия защиты, этот вариант может быть применен. По закону.

Сразу хочу оговориться, что это - только пример, я не уверен, что все понял и пересказал правильно, поэтому прошу автомобильную тему дальше не развивать.

[p2u 824]

Мне кажется, ответ очевиден.

Естественно, по ФЗ-152 - никого. Если все нормы соблюдены.

А то, что Компания "оттеряет" репутацию, место на рынке и пр. - таки что же делать?

Вот именно. Законы создаются людьми, которые не представляют себе вообще предмет разговора и его последствия.

Офф-топ: Я например, как иностранец 'из дальнего зарубежа' (Голландии), подпадаю под ФЗ 'Правоположение Иностранцев в РФ'. Хотя я вообще не приехал сюда для заработки, меня приравнивают к таким из бывших республик, которые работают на рынках или дворниками, и несмотря на то, что у меня Вид на Жительство есть (продливается каждые 5 лет на основании национального паспорта и выдаётся на основании брака), и что я женат на гражданку РФ и у меня сынок есть, который считается русским (потому что родился здесь), я обязан каждый год в очередь стоять для того, чтобы 'перерегистрироваться'. То, что работадателям здесь такой статус не очень нравится (считают несоответствие документов подозрительным - как можно иметь ПОСТОЯННУЮ ПРОПИСКУ и быть обязанным перерегистрироваться каждый год?), и что я из-за этого свою личную жизнь нормально построить не могу, кого это волнует? Закон есть закон. 'Не нравится? Езжай туда, откуда приехал'. Короче: на таких, как я (их примерно 500 по Москве) не рассчитывали и живи теперь на птичьих правах, хотя у меня законное основание быть здесь имеется. Один закон говорит, что я полностью равноправный с россиянами, а другой, что у меня даже нет прав бесплатно ложиться в больницу...

Paul

[seevbon 40]

Заявление может быть основано не на факте, а не на мнении. Это же классика.

Конечно классика. Конечно может. А как называется иногда мнение, не подтвержденное фактами? /атевелк/ =)))

Еще возникают у меня такие вопросы...

Вы заключаете трудовой договор. Вы сообщаете работодателю свои ПДн. Работодатель заказывает вам зарплатную карту в соответствии с договором по зарплатному проекту с банком, передавая ваши ПДн банку. Карту вы потом получаете лично в банке при заключении договора по счету карты. Из бухгалтерии работодателя проложена выделенка в банк и установлено банковское ПО для перечисления средств на ваш счет и счета других работников.

Кто в этом случае ваш работодатель по отношению к вам? А выделенка с ПК бухгалтера подлежат сертификации?

[p2u 824]

@ seevbon

Цитата не моя - поправьте, пожалуйста.

Paul

[Андрей-001 1099]

OFF

что у меня даже нет прав бесплатно ложиться в больницу...

А думаете нас там бесплатно лечат? Тоже скажут - хочешь лечиться - плати.

не OFF

А к персональным данным в больнице имеет доступ кто угодно, но только не мы сами.

[p2u 824]

Офф-топ:

А думаете нас там бесплатно лечат? Тоже скажут - хочешь лечиться - плати.

Вам хоть работать дают если вы сами на это готовы, так что: ситуация немного другая. Если вы можете ещё расчитывать на родственников или друзей, у нас на западе это вообще табу... 'How are you? Fine, thanks'. Это единственный вариант: 'Fine, thanks'.

Конец офф-топа

Paul

[bse 115]

Законы создаются людьми

К единому мнению о необходимости дальнейшего согласования позиций, нахождения баланса интересов между государственными регуляторами (Россвязьнадзор, ФСБ, ФСТЭК) и банковским сообществом по проблеме защиты персональных данных пришли участники прошедшего 22 мая в АРБ заседания рабочей группы по вступающим в силу с 1 января 2010 года отдельным положениям соответствующего Федерального закона № 152-ФЗ...

http://www.arb.ru/site/action/list_news.php?id=2963

Сообщение от Алексей Лукацкий

Как участник встречи, скажу следующее:

1. Были высказаны замечания банков, как прошедших проверки РКН, так и тех, кто это не прошел.

2. Были высказаны определенные замечания и предложения по тому, что делать банкам в текущей ситуации.

3. Со стороны ЦБ были озвучены результаты общения с регуляторами в лице Минкомсвязи, ФСБ и ФСТЭК. Есть очень интересные варианты, связанные с СТО в преломлении к требованиям по ПДн ;-) Так что я бы на месте банков, которые присматриваются к стандарту, активизировать свои усилия в этом направлении.

4. Со стороны ЦБ был озвучен подход, который сейчас реализуется в ЦБ по части ПДн.

5. Было принято решение о выработке консолидированного мнения на основе сделанных предложений участниками встречи и организации новой встречи уже с представителями регуляторов.

Сообщение от Toparenko

Не стал бы столь обнадеживать, что все предложения войдут в итоговый документ

Вы, я и Евгений Царев были приглашены как внешние эксперты. Хотя я не совсем внешний, но все-таки...

Но вот о том, что направленные Вам, мне или Евгению предложения будут доведены до участников Совещания и учтены, при обсуждении итогового документа - говорить можно

http://forum.bankir.ru/showthread.php?p=2558797#post2558797

Так, зам.начальника ГУБЗИ Банка Росси Андрей Курило напомнил, что 152-й ФЗ был принят в 2006 году по причине участившихся краж персональных данных и необходимости гармонизации российского законодательства с европейским в сфере защиты прав человека.

Я основную мысль уловил так: заботиться надо о субъектах, но эта забота должна быть не особенно обременительной для регуляторов, и не сильно накладной для операторов. Поправьте, если не так...

[Мальцев Тимофей 74]

"Не слишком накладной для операторов" - это да...

[bse 115]

Я нахожусь под защитой стандарта PCI DSS при пополнении счета мобилы со счета карты.

Это про мобильный платеж, как у Билайна?

Условия предоставления услуги «МОБИЛЬНЫЙ ПЛАТЕЖ»

...

7.3.Так как передача в Банк поручения Абонента А и содержание поручения, передаваемого Абонентом А осуществляется с помощью открытых каналов связи (Internet, ussd и т.п.), Оператор не гарантирует обеспечение конфиденциальности информации и данных об Абоненте и не несет за это никакой ответственности.

Как-то не логично звучит: стандарт есть, гарантий нет, и нет ответственности оператора перед абонентом. Опять какая-то удобная потенциально опасная услуга.

Мальцев Тимофей, спасибо. А как Вы считаете, нужно ли в статьях с претензиями на экспертный анализ так широко озвучивать возможности для недобросовестных конкурентов? И зачем это делает Leta?

[seevbon 40]

Я основную мысль уловил так: заботиться надо о субъектах, но эта забота должна быть не особенно обременительной для регуляторов, и не сильно накладной для операторов. Поправьте, если не так.

Ага. Заботиться о субъектах надо. И чтоб не накладно для операторов. Ток с регуляторами не так -надо б умерить их пыл и рвение к проверкам.

Как-то не логично звучит: стандарт есть, гарантий нет, и нет ответственности оператора перед абонентом. Опять какая-то удобная потенциально опасная услуга.

А чего опасаться то? =)))

В худшем случае у меня украдут деньги со счета карты. Но много не украдут потому что установлены ограничения по максимальной единовременной сумме платежа и числу платежей в месяц.

Потратить украденные деньги можно только для пополнения счета другого абонента Билайн и не иначе.

Если настроить автопополнение баланса, то секретный код подтверждения платежа не надо не только сохранять в телефоне но и вообще можно забыть. И никакой снифер моего мобильного трафика не поможет каки кража телефона тож.

Так что не думаю что кто то из злоумышленников захочет рисковать и красть деньги с моего счета на таких условиях.

А как Вы считаете, нужно ли в статьях с претензиями на экспертный анализ так широко озвучивать возможности для недобросовестных конкурентов? И зачем это делает Leta?

ИМХО то Leta дала утечку про свои планы как покорить непокорных =)))

«В стремлении защитить персональные данные граждан государство не склонно идти на компромиссы. На создание и внедрение соответствующих решений у предприятий-операторов ПДн осталось менее года, причем решить эту исключительно сложную задачу они должны в непростой экономической ситуации, – говорит Андрей Конусов, исполнительный директор LETA IT-company. – Это приводит к формированию рынка с огромным потенциалом роста и с ожидаемыми высокими темпами расширения. Работа на этом рынке станет суровым экзаменом и для поставщиков решений, и для заказчиков, и для государства. В этой ситуации от ИТ-компаний потребуются не только технические компетенции, но и глубокие юридические знания, умение сокращать сроки проектов, гарантировать их качество, способность быстро масштабировать бизнес. Мы готовы к этому экзамену и планируем стать лидером выбранного сегмента рынка защиты персональных данных».

[bse 115]

не думаю что кто то из злоумышленников захочет рисковать и красть деньги с моего счета на таких условиях

Ну и ладушки. Пусть так и будет...

Leta ... про свои планы

Ну и правильно. Новое направление деятельности - сразу и решительно заявить о своих вожможностях и амбициях - чего стесняться.

Но не только это востребовано -

самое главное - ПОМОГИТЕ организовать информационную площадку с вопросами и ответами должностных лиц... Кто-то должен учить азам не за деньги! (Америкосы не гнушаются даже комиксы для неграмотных по предмету рисовать)

http://www.itsec.ru/newstext.php?news_id=57335

[seevbon 40]

не только это востребовано

Где то эти крики я уже слышал.

ПОМОГИТЕ организовать информационную площадку с вопросами и ответами должностных лиц... Кто-то должен учить азам не за деньги!

Разве госкорпорация "россия" в этом заинтересована.

[bse 115]

Разве госкорпорация "россия" в этом заинтересована

В чем она заинтересована и чем занимается, можно прочесть тут

Отчет о деятельности Уполномоченного органа

по защите прав субъектов персональных данных

за 2008 год

Скачать отчет можно тут http://www.rsoc.ru/main/directions/874/

[Мальцев Тимофей 74]

Мальцев Тимофей, спасибо. А как Вы считаете, нужно ли в статьях с претензиями на экспертный анализ так широко озвучивать возможности для недобросовестных конкурентов? И зачем это делает Leta?

Это вопрос философский. И в то же время - сильно моментозависимый.

Стоит ли обращать внимание широкого круга людей на опасность, которая может их подстерегать?

В данном случае - не вижу криминала.

[seevbon 40]

Отчет о деятельности

Его уже комментируют

Александр Велигура, председатель комитета по информационной безопасности Ассоциации российских банков (АРБ), рассказал CNews, что пока проверки носят предварительный характер. «Пока порядок проверки до конца не определен, документы ФСТЭК и ФСБ не зарегистрированы в Минюсте. Остается много юридических возможностей для того, чтобы оспорить выводы таких проверок даже после начала 2010 г.», - говорит Велигура.

По его словам, парализовать работу любого оператора можно, организовав хотя бы несколько десятков обращений субъектов ПД с требованием предоставить информацию о том, как обрабатываются их данные. Оператор будет обязан предоставить такую информацию, но сделать это не просто и работа учреждения может практически остановиться.

http://www.cnews.ru/news/top/index.shtml?2009/06/01/349255

А что мешает операторам заготовить шаблон формального ответа? Ну отнимет это какие то ресурсы. Так число запросов оператору прямо зависит от числа субъектов. Чем с большим числом субъектов имеет оператор дело, тем очевидно крупнее его компания -найдут кому поручить. Хотя те бизнесмены-операторы, у кого дала идут плохо (читайте -взвинчивают стоимость своих услуг для добросовестных клиентов) достойны, чтоб их опустили еще ниже.