Добрый день,
У меня вопросы по применению Закона о персональных данных (ПД):
1.В случае, когда ПД собираются на сайте (например, при регистрации на форумах, для покупок), кто является оператором ПД - формальный администратор сайта? Или какие-то косвенные признаки учитываются - например, хотя сайт зарегистрирова на физлицо, на самом сайте написано что он принадлежит ООО Ромашка и ПД собираются например для заключения договоров меджду пользователями и ООО - может ООО быть признано оператором?
2.Применим ли закон, если администратором сайта (.ru) является иностранное юрлицо? (мое мнение - нет). Имеет ли при этом значение, в какой стране осуществляется хостинг сайта и где данные хранятся (база данных)?
буду благодарна за любые мысли по теме
|
|
||
|
|
|
|
Сообщений в теме: 30
#3
Отправлено 24 May 2010 - 15:19
1. тому кто собирает эти данные
2. Ну формально ru относится к Российской федерации.
2. Ну формально ru относится к Российской федерации.
#4
Отправлено 24 May 2010 - 16:25
1. тому кто собирает эти данные
2. Ну формально ru относится к Российской федерации.
1. в этом и вопрос - как определить, кто собирает. Публично доступна же только информация, кому принадлежит доменное имя.
2. то есть Вы считаете, что иностранное юрлицо, владеющее российским доменным именем, подпадает под регулирование российского законодательства?
#5
Отправлено 24 May 2010 - 16:39
Ольга П.
ИМХО по умолчанию будет "собирателем" владелец доменного имени, в случае чего в суде можно замениться на надлежащего ответчика
ИМХО по умолчанию будет "собирателем" владелец доменного имени, в случае чего в суде можно замениться на надлежащего ответчика
#6
Отправлено 24 May 2010 - 18:11
Ольга П.
ИМХО по умолчанию будет "собирателем" владелец доменного имени, в случае чего в суде можно замениться на надлежащего ответчика
а что думаете по поводу применения закона к иностранному юрлицу?
#7
Отправлено 26 May 2010 - 12:30
Вопрос с собиранием персональных данных на веб-сайте - вообще довольно сложный. Сам с такой проблемой сталкивался.
С одной стороны, на практике существует масса ситуаций, когда посетителя сайта приглашают оставить информацию о себе, заполнив форму онлайн (для разных целей). Собирать от всех таких юзеров письменное согласие подчас неразумно, а главное - практически невозможно. С другой стороны, Закон о персональных данных требует (за некоторыми изъятиями) получение такого письменного согласия, устанавливая ряд обязательных условий (цели, категории ПД, право отзыва и т.д.)
Что тут можно посоветовать? лишь предупредить о возможных рисках. Пока они не столь существенные - сравнительно небольшие штрафы. Кстати, в других темах здесь обсуждались возможное введение требований к оборудованию, которое используется при обработке ПД (инициативы ФСТЭК и пр.) , но пока эти требования, если не ошибаюсь, не стали реальностью. Увы, светлую идею защиты ПД, как принято в цивилизованных странах, можно довести до административного абсурда, когда все участники гражданского оборота не будут знать, как остаться чистым перед законом и избежать дурацких и маловыполнимых технических требований.
Что же касается факта иностранного происхождения доменовладельца, то, ИМХО, все равно можно говорить о том, что сбор ПД происходит на территории России, и наш закон применим. Гораздо менее понятно, как практически можно применить санкции к иностранцу.
С одной стороны, на практике существует масса ситуаций, когда посетителя сайта приглашают оставить информацию о себе, заполнив форму онлайн (для разных целей). Собирать от всех таких юзеров письменное согласие подчас неразумно, а главное - практически невозможно. С другой стороны, Закон о персональных данных требует (за некоторыми изъятиями) получение такого письменного согласия, устанавливая ряд обязательных условий (цели, категории ПД, право отзыва и т.д.)
Что тут можно посоветовать? лишь предупредить о возможных рисках. Пока они не столь существенные - сравнительно небольшие штрафы. Кстати, в других темах здесь обсуждались возможное введение требований к оборудованию, которое используется при обработке ПД (инициативы ФСТЭК и пр.) , но пока эти требования, если не ошибаюсь, не стали реальностью. Увы, светлую идею защиты ПД, как принято в цивилизованных странах, можно довести до административного абсурда, когда все участники гражданского оборота не будут знать, как остаться чистым перед законом и избежать дурацких и маловыполнимых технических требований.
Что же касается факта иностранного происхождения доменовладельца, то, ИМХО, все равно можно говорить о том, что сбор ПД происходит на территории России, и наш закон применим. Гораздо менее понятно, как практически можно применить санкции к иностранцу.
#8
Отправлено 15 February 2011 - 00:18
Подниму тему. Со сбором персональных данных на сайте есть еще одна проблема. И как ее разрешить, мне не очень понятно.
Допустим, есть некий сайт типа соц. сети. Пользователи при регистрации оставляют свое ФИО, адрес, телефон, эл. почту. Перечень исчерпывающий. Формально надо получить согласие на обработку персональных данных. Технически ничего сложного в этом нет. Но, согласно ст. 9 з-на о персональных данных, согласие от субъекта на обработку его данных должно содержать паспортные данные субъекта, которые оператору в данном случае вообще не нужны и не запрашиваются.
Т.е. получается, что для того, чтобы получить согласие на обработку персональных данных, надо запросить от человека больше данных, чем требуется для обработки))
Как быть?
Допустим, есть некий сайт типа соц. сети. Пользователи при регистрации оставляют свое ФИО, адрес, телефон, эл. почту. Перечень исчерпывающий. Формально надо получить согласие на обработку персональных данных. Технически ничего сложного в этом нет. Но, согласно ст. 9 з-на о персональных данных, согласие от субъекта на обработку его данных должно содержать паспортные данные субъекта, которые оператору в данном случае вообще не нужны и не запрашиваются.
Т.е. получается, что для того, чтобы получить согласие на обработку персональных данных, надо запросить от человека больше данных, чем требуется для обработки))
Как быть?
#10
Отправлено 15 February 2011 - 00:45
вы действительно хотите получить ответ на этот вопрос?)))Evguenia, а можно завтра подумать?
Если серьезно, то буду признательна за ваше мнение.
#11
Отправлено 15 February 2011 - 00:54
Для начала хочется понять: "тем ли вы мучаетесь?"вы действительно хотите получить ответ на этот вопрос?
От ответа на этот вопрос, будут зависеть остальные....
Но для того, чтобы над этим задуматься нужно сосредоточиться... чего сегодня я не могу....
Уж Вам то помочь всегда приятно....Если серьезно, то буду признательна за ваше мнение.
#12
Отправлено 15 February 2011 - 13:19
Evguenia
А если предположить, что пользователь соц. сети, регистрируясь на сайте, заключает договор, то:
А если предположить, что пользователь соц. сети, регистрируясь на сайте, заключает договор, то:
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
...
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
Сообщение отредактировал Platosha: 15 February 2011 - 13:20
#13
Отправлено 15 February 2011 - 13:40
предположить конечно можно, но я как-то не уверена, что при регистрации на сайте заключается договор.А если предположить, что пользователь соц. сети, регистрируясь на сайте, заключает договор
#14
Отправлено 15 February 2011 - 13:48
Жень а какие-нибудь права и обязаности у пользователя в даном случае возникают?предположить конечно можно, но я как-то не уверена, что при регистрации на сайте заключается договор
#15
Отправлено 15 February 2011 - 14:00
меня тут смущает вопрос невозможности однозначно установить лицо, заключающее договор. Хотя, если кроме ника еще и ФИО указываетсяЖень а какие-нибудь права и обязаности у пользователя в даном случае возникают?
#16
Отправлено 15 February 2011 - 16:37
Evguenia, мы имеем:
1. Обезличенный договор безвозмездный предоставления места на сайте (оферта и акцепт).
2. Лица могут выступать под псевдонимом (Ником).
Вопросы:
Могут ли лица в договоре выступать под псевдонимом?
ИМХО, здесь идет ст.8 Закона
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Акцепт оферты означает согласие...
Причем не вы вносите данные а субъект.
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
Ст.7
Обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
ИМХО, просто нужно прописать в публичной оферте и фсе.....
ст.9
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
1. Обезличенный договор безвозмездный предоставления места на сайте (оферта и акцепт).
2. Лица могут выступать под псевдонимом (Ником).
Вопросы:
Могут ли лица в договоре выступать под псевдонимом?
ИМХО, здесь идет ст.8 Закона
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Акцепт оферты означает согласие...
Причем не вы вносите данные а субъект.
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
Ст.7
Обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
ИМХО, просто нужно прописать в публичной оферте и фсе.....
ст.9
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
Сообщение отредактировал не сын юриста: 15 February 2011 - 16:42
#17
Отправлено 15 February 2011 - 16:42
общедоступные источники тут непричем. Сведения о пользователях не являются общедоступными.целях информационного обеспечения могут создаваться общедоступные источники персональных данных
Ладно, допустим Platosha, и Павел меня убедили и действительно тут можно говорить о заключении договора при котором не требуется согласие субъекта данных на их обработку.
Но возникает другой вопрос. С какой целью банки, операторы моб. связи и прочие конторы, заключающие договоры с физиками в массовом порядке, требуют от клиентов подписания согласия на обработку данных (либо включают его непосредственно в текст договора)?
И что следует понимать под обработкой данных в целях исполнения договора?
#18
Отправлено 15 February 2011 - 17:07
Ст.10
1.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
Evguenia, почему?
Все зависит от определения в договоре...
По сути сам человек размещает свои данные в интернете... если прописать, что все данные на сайте являются общедоступными и человек с этим соглашается - данные являются общедоступными.
Что? человек думает, что все что он размещает не может быть общедоступными данными?
Многие HR определяют и находят по одноклассникам данные людей.
И недаром в публичных офертах на сайте прописывают то, что ответственность за размещаемую информацию несут пользователи.
Ст.3
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
(ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (принят ГД ФС РФ 08.07.2006))
Т.е. в социальной сети вы ему предоставляете место, а он сам выдает данные на обозрение.
Таким образом, принимая во внимание, что передача персональных данных, осуществлялась обществами с целью исполнения своих обязательств по управлению жилыми домами, такие действия обществ не нарушают конфиденциальность персональных данных, соответствуют Закону о персональных данных.
(Постановление Третьего арбитражного апелляционного суда от 23.12.2010 по делу N А33-10809/2010)
Как установлено в апелляционном суде, разъяснение руководителем Управления Россвязьнадзора по Москве и Московской области пп. 2 п. 2 ст. 6 Федерального закона "О персональных данных", а также ст. 17 и п. 6 ст. 23 указанного Закона, относилась к В. как физическому лицу, а не индивидуальному предпринимателю.
(Постановление Девятого арбитражного апелляционного суда от 19.11.2007 N 09АП-15251/2007-АК по делу N А40-33125/07-84-211)
ИМХО только для своих целей идентификации лица и исполнения им обязательств по договору.
Да и ст.22
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
(ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (принят ГД ФС РФ 08.07.2006))
1.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
Evguenia, почему?
Все зависит от определения в договоре...
По сути сам человек размещает свои данные в интернете... если прописать, что все данные на сайте являются общедоступными и человек с этим соглашается - данные являются общедоступными.
Что? человек думает, что все что он размещает не может быть общедоступными данными?
Многие HR определяют и находят по одноклассникам данные людей.
И недаром в публичных офертах на сайте прописывают то, что ответственность за размещаемую информацию несут пользователи.
Ст.3
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
(ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (принят ГД ФС РФ 08.07.2006))
Т.е. в социальной сети вы ему предоставляете место, а он сам выдает данные на обозрение.
В силу пункта 2 части 2 названной статьи согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в случае, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.Но возникает другой вопрос. С какой целью банки, операторы моб. связи и прочие конторы, заключающие договоры с физиками в массовом порядке, требуют от клиентов подписания согласия на обработку данных (либо включают его непосредственно в текст договора)?
Таким образом, принимая во внимание, что передача персональных данных, осуществлялась обществами с целью исполнения своих обязательств по управлению жилыми домами, такие действия обществ не нарушают конфиденциальность персональных данных, соответствуют Закону о персональных данных.
(Постановление Третьего арбитражного апелляционного суда от 23.12.2010 по делу N А33-10809/2010)
Как установлено в апелляционном суде, разъяснение руководителем Управления Россвязьнадзора по Москве и Московской области пп. 2 п. 2 ст. 6 Федерального закона "О персональных данных", а также ст. 17 и п. 6 ст. 23 указанного Закона, относилась к В. как физическому лицу, а не индивидуальному предпринимателю.
(Постановление Девятого арбитражного апелляционного суда от 19.11.2007 N 09АП-15251/2007-АК по делу N А40-33125/07-84-211)
ИМХО только для своих целей идентификации лица и исполнения им обязательств по договору.
С целью использования не только в рамках договора.С какой целью банки, операторы моб. связи и прочие конторы, заключающие договоры с физиками в массовом порядке, требуют от клиентов подписания согласия на обработку данных (либо включают его непосредственно в текст договора)?
Да и ст.22
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
(ст. 22, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (принят ГД ФС РФ 08.07.2006))
Сообщение отредактировал не сын юриста: 15 February 2011 - 17:11
#19
Отправлено 15 February 2011 - 17:13
Evguenia
Еще о том же:
Думаю для перестраховки + чтобы иметь возможность использовать данные для различных рекламных, статистических и прочих целей, в том числе передавать данные третьим лицам - коллекторским агентствам, например.С какой целью банки, операторы моб. связи и прочие конторы, заключающие договоры с физиками в массовом порядке, требуют от клиентов подписания согласия на обработку данных (либо включают его непосредственно в текст договора)?
Примеры:И что следует понимать под обработкой данных в целях исполнения договора?
выдержка из Постановления Девятого арбитражного апелляционного суда (дело N 09АП-13027/2007-ГК):Под исполнением договора, как правило, понимается совершение определенных действий в силу принятых прав и обязанностей по заключенному договору. Из этого следует, например, что страховщик вправе обрабатывать персональные данные страхователя для осуществления страховой выплаты по договору страхования без получения согласия страхователя.
Скрытый текст
Еще о том же:
.Необходимо иметь в виду, что согласно пп. 2 п. 2 ст. 6 Закона о персональных данных согласие от сотрудника не требуется, если сбор или изменение сведений проводят для исполнения договора, одной из сторон которого является сам работник. Так, передать сведения в охрану для оформления пропуска можно, не спрашивая письменного согласия работника, поскольку пропуск нужен для исполнения работником своих обязанностей по трудовому договору. Аналогичным образом обстоит дело с указанием данных сотрудника в различных рабочих документах (доверенностях, приказах, расчетно-платежных ведомостях)
#20
Отправлено 15 February 2011 - 22:12
Я немного о другом. В моем случае идет речь о данных, предоставляемых человеком в момент регистрации на сайте, которые недоступны другим пользователям.Т.е. в социальной сети вы ему предоставляете место, а он сам выдает данные на обозрение.
Platosha,
Спасибо большое, особенно за примеры!
#21
Отправлено 16 February 2011 - 14:52
А как насчет обезличенных данных?Я немного о другом. В моем случае идет речь о данных, предоставляемых человеком в момент регистрации на сайте, которые недоступны другим пользователям.
Не?
#24
Отправлено 26 February 2011 - 16:47
Up
Продолжим про персональные данные.
Есть потребность бизнеса для продвижения услуг создать БД потенциальных компании-клиентов, с указанием ПД (ФИО, должность, email) потенциальных работников-пользователей услуги. Для такой цели привлекается сторонняя маркетинговая контора, которая и осуществляет этот сбор данных, а потом созданную БД передает Заказчику. Сбор происходит путем обзвона компаний-клиентов, где под "легендой" выясняется, как правило, у секретаря необходимая информация. Естественно никакого письменного согласия субъектов ПД никто не получает.
Возникает вопрос как законно или максимально снизив риски все же создавать такие БД?
Для Заказчика пока единственное, что приходит в голову - это указание в договоре с маркетинговой конторой, что последняя обязуется получать и передавать заказчику все необходимые согласия субъектов ПД, а также возместить заказчику все убытки, вызванные непредоставлением письменных согласий (на случай, когда Роскомнадзор штраф наложит
).
Продолжим про персональные данные.
Есть потребность бизнеса для продвижения услуг создать БД потенциальных компании-клиентов, с указанием ПД (ФИО, должность, email) потенциальных работников-пользователей услуги. Для такой цели привлекается сторонняя маркетинговая контора, которая и осуществляет этот сбор данных, а потом созданную БД передает Заказчику. Сбор происходит путем обзвона компаний-клиентов, где под "легендой" выясняется, как правило, у секретаря необходимая информация. Естественно никакого письменного согласия субъектов ПД никто не получает.
Возникает вопрос как законно или максимально снизив риски все же создавать такие БД?
Для Заказчика пока единственное, что приходит в голову - это указание в договоре с маркетинговой конторой, что последняя обязуется получать и передавать заказчику все необходимые согласия субъектов ПД, а также возместить заказчику все убытки, вызванные непредоставлением письменных согласий (на случай, когда Роскомнадзор штраф наложит
).
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
