Сообщений в теме: 38

[UglyKid]

Колллеги, доброго времени суток!

Краткое изложение проблемы:
Меня тут намедни озадачили, организация, где я работаю, занимается сферой медицинских услуг. При первичном обращении на пациентов заполняются медицинские карты, с указанием ФИО, телефонов, адресов и пр. ..., заключается договор на платное мед обслуживание, что по идее подпадает под действие ФЗ N 152-ФЗ "О персональных данных", а именно: сбор и обработка. Данные действия в соответствии с п.1 ст.6 ФЗ могут осуществляться с согласия субъекта персональных данных, однако п.п.2 той же статьи указывает: что согласия не требуется при "обработке персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных".
А теперь собственно вопрос: Правильно-ли я понимаю, что, раз мы осуществляем оказание услуг на основании договора, то в силу вышеуказнного пункта согласия на обработку персональных данных от пациентов нам получать не надо?

Отедльной темой может послужить оказание услуг пациентам по ДМС (добровольному мед страхованию) ибо договора у нас с ними нет, а услуги они получают в связи и на основании договора со страховой организацией ...

С уважением, ваш UglyKid....

[WWW]

Если данные вписывает сам клиент, значит он дал согласие.
Хотите, добавьте в анкету/договор, что он добровольно сообщает свои персональные данные и согласен на их сбор и обработку.

[Дуля]

Подскажите пожалуйста.
Мы СМИ. Коммунальная сервисная компания нам дает данные о должниках для опубликования их в газете. В эти данные входят Ф.И.О., адрес должника и сумма долга. Как я понимаю мы имеем публиковать эти данные только с согласия субъекта (ст. 6 Закона о персональных данных). И должники имееют право подать иск в суд по ст. 13.11. КоАП за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Я слышала, что такой иск был подан и должники выграли дело. Я права?

[WWW]

Мы СМИ. Коммунальная сервисная компания нам дает данные о должниках для опубликования их в газете. В эти данные входят Ф.И.О., адрес должника и сумма долга. Как я понимаю мы имеем публиковать эти данные только с согласия субъекта<...>. И должники имееют право подать иск в суд по ст. 13.11. КоАП за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Я слышала, что такой иск был подан и должники выграли дело. Я права?

Не знаю про судебную практику, но можно попробовать отбиться по подп. 2 п. 2 ст. 6 Закона: "2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных"

[Дуля]

Мы СМИ. Коммунальная сервисная компания нам дает данные о должниках для опубликования их в газете. В эти данные входят Ф.И.О., адрес должника и сумма долга. Как я понимаю мы имеем публиковать эти данные только с согласия субъекта<...>. И должники имееют право подать иск в суд по ст. 13.11. КоАП за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Я слышала, что такой иск был подан и должники выграли дело. Я права?

Не знаю про судебную практику, но можно попробовать отбиться по подп. 2 п. 2 ст. 6 Закона: "2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных"

Спасибо.

[DM.]

Не знаю про судебную практику, но можно попробовать отбиться по подп. 2 п. 2 ст. 6 Закона:

Позвольте возразить......

А причем тут данный пункт?

Мы СМИ. Коммунальная сервисная компания нам дает данные о должниках для опубликования их в газете.

В данном случае есть договор между СМИ и "Коммунально сервисной компанией", а публикуются то персональные данные третьей стороны.

Сообщение отредактировал DM.: 20 December 2008 - 19:43

[vad007]

UglyKid

с указанием ФИО, телефонов, адресов и пр. ...,

не знаю, что значит "пр.", но перечисленное - точно не сбор ПД, на которое нужно отдельное согласие. Такие данные вполне подходят под приведенный Вами пункт и необходимы для надлежащего исполнения договора.
В принципе, на мой взгляд, Ваша деятельность позволяет собирать достаточно широкий круг ПД без доп.согласия.

Дуля
приведенный WWW пункт тоже не считаю уместным...
я бы вообще не стал относить приведенные Вами действия к отношениям, регулируемым Законом о ПД! Закон, как и положено российскому закону, во многом сформулирован косо (хотя и не худший тому пример).
Интересно, а суды уже уведомили Россвязькомнадзор о своих действиях по обработке ПД
Вы знаете, я бы предложил толковать данный Закон так, что он регулирует только те отношения, когда организация действительно занимается сбором ПД в качестве одной из деятельности. Т.е. не для договора берет данные или просто распространяет, а именно создает БАЗУ ДАННЫХ (каталоги, новый сервис в Интернете - поисковик по персоналиям и т.п.).

Но для успокоения, если все же искать пункт в Законе, то я бы предложил этот:

Статья 6. Условия обработки персональных данных
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

Однако повторюсь, на мой взгляд, следует придерживаться позиции, что если базы данных у Вас нет, то Вы и не оператор. Иначе - этот закон может стать оружием по превращению действительности в кошмар.

[Злыдня]

Однако повторюсь, на мой взгляд, следует придерживаться позиции, что если базы данных у Вас нет, то Вы и не оператор. Иначе - этот закон может стать оружием по превращению действительности в кошмар.

Наша действительность уже начала превращаться... Общаюсь по теме соблюдения закона по ПД с надзорным органом, их позиция такова: все, кто хоть когда-то получает ПД третьих лиц (в т.ч. юристы в трудовых спорах, организации, выдающие товар со склада по паспортам, а также родственники заболевшего работника при получении трудовой книжки по доверенности) должны ПРЕДВАРИТЕЛЬНО направить уведомление о "начале обработки ПД". И испросить ПИСЬМЕННОЕ согласие на обработку ПД от самого субъекта.

Никакие доводы разума, типа "а где вы видели дурака, который даст согласие на обработку своих данных адвокатом противоположной стороны в производстве о восстановлении на работе???" не действуют. Говорят, значит, его ПД (читать, копии кадровых документов), передавать адвокату НИЗЗЯ

[Vitalik]

Злыдня

надзорным органом

назовите орган пжста

[Николай Николаевич Федотов]

Данные действия в соответствии с п.1 ст.6 ФЗ могут осуществляться с согласия субъекта персональных данных, однако п.п.2 той же статьи указывает: что согласия не требуется при "обработке персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных".
А теперь собственно вопрос: Правильно-ли я понимаю, что, раз мы осуществляем оказание услуг на основании договора, то в силу вышеуказнного пункта согласия на обработку персональных данных  от пациентов нам получать не надо?

Возможно так. Но есть и иная точка зрения. Пункт 3 той же 6 статьи можно трактовать таким образом, что предшествующие пункты не распространяются на специальные категории ПД, правила обработки которых даются в ст.10. А там - только письменное согласие и никаких договоров. Данные о состоянии здоровья - это как раз спецкатегория.

Добавлено немного позже:

Мы СМИ. Коммунальная сервисная компания нам дает данные о должниках для опубликования их в газете. В эти данные входят Ф.И.О., адрес должника и сумма долга. Как я понимаю мы имеем публиковать эти данные только с согласия субъекта (ст. 6 Закона о персональных данных).

Я полагаю, что так. Только с письменного согласия.

Исключение, пожалуй, составляют случаи, когда задолженность установлена решением суда. Поскольку правосудие у нас гласное, данные из судебного решения можно считать общедоступными персональными данными (п.12 ст.3).

[Злыдня]

назовите орган пжста

Россвязькомнадзор. Им теперь полномочия по контролю за ФЗ "О ПД" передали. Правда, пока протоколы по АД не составляют.

[BABLAW]

Злыдня

должны ПРЕДВАРИТЕЛЬНО направить уведомление о "начале обработки ПД". И испросить ПИСЬМЕННОЕ согласие на обработку ПД от самого субъекта.

Уже предвижу следующий этап развития правового регулирования этого, хм, процесса: появление организаций по коллективному управлению персональными данными , и как вершина творения - аккредитация для получения права обработки ПД неограниченного круга лиц для неограниченного круга пользователей

Будущее не за горами - см. статьи 1242-1245 ГК4Ч...

Сообщение отредактировал BABLAW: 09 February 2009 - 01:38

[FreeCat]

BABLAW

появление организаций по коллективному управлению персональными данными

А не противоречит ли это Конституции ?

[BABLAW]

FreeCat

появление организаций по коллективному управлению персональными данными

А не противоречит ли это Конституции  ?

Статья 30

1. Каждый имеет право на объединение, включая право создавать профессиональные союзы для защиты своих интересов. Свобода деятельности общественных объединений гарантируется.

2. Никто не может быть принужден к вступлению в какое-либо объединение или пребыванию в нем.

Дело в том, что юридический факт принуждения к вступлению и пребыванию в неком общественном объединении, однозначно имеющий место в случае появления некой "аккредитованной" организации (в соотв. со статьями 1242-1245), никоим образом не помешал их легализации в ГК4Ч.

Не вижу оснований, почему, единожды солгав, создатели "атомной бомбы" не повторят свою Хиросиму в Нагасаки. Исключительно из заботы о гражданах РФ.

[FreeCat]

BABLAW
Ну значит и "эту организацию", получатся можно законно "послать", если что ?

[IT_Security]

В продолжение темы "О персональных данных" - регуляторы уже проводят проверки на соответствие требованиям законодательства.

Статья о проверках с комментариями представителя Роскомнадзора размещена на сайте Cnews cnews.ru/news/top/index.shtml?2009/06/01/349255, там же ссылки на официальный отчет за 2008 г. и план проверок на 2009 год.

Можно только догадываться, как возрастет их активность после установленного срока - 01.01.2010г.

[vikvol]

Так сроки хотят перенести)

[IT_Security]

Это вряд ли, вот недавнее интервью руководителя Роскомнадзора - http://www.reignvox....cy-news.html#16 (или здесь - http://www.rsoc.ru/m...ml?id_news=2678 )о переносе сроков ни слова, а о проверках - пожалуйста)

[vikvol]

Времени на выполнение требований закона о персональных данных очень мало, а результатов еще меньше - так что все шансы на перенос сроков

[login123]

 _______.pdf   235.35К   207 скачиваний  _________.pdf   164.69К   288 скачиванийХочу обратить внимание на один момент, который уже обсуждался.
Оператором является только то лицо, у которого эта деятельность прописана в уставе в качестве основной.

[Sequoya]

Хочу обратить внимание на один момент, который уже обсуждался.
Оператором является только то лицо, у которого эта деятельность прописана в уставе в качестве основной.

Прошу прощения за то, что встреваю, но вот тут
http://www.internet-...y;threadid=3498
была довольно интересная дискуссия, в которой приводилось достаточно много интересных ссылок - например, на
http://infowatch.liv...al.com/613.html ("Дисконтные и бонусные системы нарушают закон "О персональных данных""). Или, к примеру, поднимался вопрос об уничтожении ПД (а в более широком смысле - о (не)законности сбора и длительного хранения) в системе РЖД
http://david-gor.liv....com/85121.html
С удивлением открыл для себя и существование "Конвенции Совета Европы
"О защите физических лиц при автоматизированной обработке
персональных данных"", ратифицированной РФ в 2005-м году
http://www.nelegal.r...rzhd&PR_ID=160#

Красной нитью во всех вышеупомянутых дискуссиях проходил тот момент, что под действие данного ФЗ подпадали организации, в уставе которых (имхо) не прописана деятельность по сбору ПД.

Так вот, мне интересно - участники тех обсуждений добросовестно заблуждались, или огонь-таки за этим дымом есть?

Сообщение отредактировал Sequoya: 28 July 2009 - 16:17

[login123]

Sequoya
А решения есть?

[Sequoya]

Sequoya
А решения есть?

Увы, пока не попадались. ИМХО, тема свежая слишком пока ещё...

//BTW, не поленился ещё раз прочитать N 152-ФЗ "О персональных данных"
http://www.rg.ru/200...dannye-dok.html
- вот что гласит Статья 3. Основные понятия, используемые в настоящем Федеральном законе:
--- cut ---
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
--- cut ---

Никакого требования наличия "в уставе" оператора деятельности по сбору ПД в качестве основной в данном ФЗ я не нашёл. Есть пара упоминаний "учредительных документов" (ст.10п.5 и ст.22п.3), но они касаются лишь обработки "персональных данных членов (участников) общественного объединения или религиозной организации", да и то в их учредительных документах должны содержаться лишь "законные цели", достижению коих и могут/должны поспособствовать сбор/обработка ПД своих членов.

Т.ч. Ваше утверждение (о том, что оператором считается... <skip>) пока не подтверждается...

[login123]

Sequoya

Увы, пока не попадались. ИМХО, тема свежая слишком пока ещё...

Тогда смотрим то решение, которые я выложил.

[Sequoya]

Sequoya

Увы, пока не попадались. ИМХО, тема свежая слишком пока ещё...

Тогда смотрим то решение, которые я выложил.

Посмотрел... м-да, у кого-то проблемы с русским языком и логикой (это не про Вас )

В решении по делу (первый файл) сказано:
===
Суд полагает, что обработка персональных данных должна осуществляться юридическим или физическим лицом в соответствии с предметом и целями деятельности такого лица.
===
Тут я с судом полностью согласен. Подозреваю, что в основе нашего согласия лежит Глава 2 Статья 5 приснопамятного ФЗ.
В соответствии с нормами русского языка и принципами элементарной логики я склонен перевести процитированную фразу с юридического на русский следующим образом - "оператор может собирать и обрабатывать только те (такие) ПД, которые требуются для осуществления его деятельности". Есть возражения?

А дальше идёт банальное (и довольно грубое) передёргивание (или, если угодно, подмена понятий). В уставе ответчика суд не находит упоминание о сборе и обработке ПД как о предмете и/или целях осуществляемой ответчиком деятельности... и на основании этого делает заключение о том, что "функциями по организации и (или) осуществлению обработки персональных данных ответчик не обладает" (что само по себе противоречит реальному положению дел - ведь ответчик по-настоящему собирает и обрабатывает ПД).
Таким образом, отказавшись признавать за ответчиком статус оператора (абзац решения "Представленное истцом ... (л.д.20)" - стр.2-3), суд фактически вывел его из-под действия данного ФЗ.

Ошибка суда, в данном случае, состоит в расширительном толковании ФЗ, который не требует декларирования оператором сбора и (или) обработки ПД как предмета и (или) целей деятельности (с занесением в учредительные документы).
Вот и Вы "повелись на эту левую ботву", руководствуясь в своём заявлении не нормой закона, а субъективным толкованием оной судом первой инстанции...