Сообщений в теме: 41

[Stan]

Думаю, что верно.
Соответственно, если в организации входящая корреспонденция хранится отсортированной по номерам входящих, то ПД корреспондентов не обрататываются.
Если ведется "список обратившихся" или что-то подобное, что позволяет ответить на вопрос, обращался ли данный гражданин с письмом -- это эквивалент автоматической обработки.

Любая электронная форма учета заявителей позволяет поиск по ФИО скорее всего, так что будет автоматизированной обработкой.
Можно ли сделать эл. форму, не персонализирующую заявителей -- скорее всего нет. Хотя, теоретически, можно хранить "обращения" (как например тикеты в техподдержке), но любая вменяемая база данных будет содержать e-mail (как минимум) в качестве отдельной формы отдельного поля.

Вопрос с законом и конвенцией сейчас становится весьма острым. Практики, широко известной (по крайней мере мне ), нет. Известная мне практика строится на параноидальном воспринятии норм закона. В одном моем знакомом ООО все сотрудники подписывают согласие на обработку их ПД любым способом прямо вместе с трудовым договором (естественно, никто кроме бухгалтерии ничего не обрабатывает и не собирается).

В общем, у меня уже есть желание разобраться, наконец, с этим дурным вопросом. Но нужно читать. Причем, начиная с конвенции, во исполнение которой этот закон принят.

Сообщение отредактировал Stan: 22 September 2011 - 19:53

[Platosha]

Скажите, как может выглядеть на практике обработка ПД без использования средств автоматизации, если такая обработка не позволяет осуществлять в соответствии с заданным алгоритмом: (i)поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, (ii) и (или) доступ к таким персональным данным?

Достаточно не создавать картотеку или иные систематизированные собрания ПД?

[Eisenfaust]

Я думаю, что организация начала обрабатывать ПД уже в тот момент, когда секретарша вскрыла конверт с письмом. (А если не вскрывала, то все равно будет презюмироваться обратное.) А раз так, то рыпаться уже бесполезно. Смело обрабатывайте дальше.

[pavelser]

Я думаю, что организация начала обрабатывать ПД уже в тот момент, когда секретарша вскрыла конверт с письмом. (А если не вскрывала, то все равно будет презюмироваться обратное.) А раз так, то рыпаться уже бесполезно. Смело обрабатывайте дальше.

Причем как правило на конверте есть ФИО и обратный адрес написавшего

[Leximus]

Platosha,

Скажите, как может выглядеть на практике обработка ПД без использования средств автоматизации, если такая обработка не позволяет осуществлять в соответствии с заданным алгоритмом: (i)поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, (ii) и (или) доступ к таким персональным данным?

Достаточно не создавать картотеку или иные систематизированные собрания ПД?

На мой взгляд, ключевое:

и (или) доступ к таким персональным данным

Т.е. в статье устанавливается два самостоятельных условия: не только отсутствие систематизации, но еще и доступ к этим ПД.
Получается, что должна отсутствовать систематизация и (или) доступ к ПД.
Получается, если вы раскидываете бумажки с ПД в комнате, ключ от которой есть только у вас, то тогда этот хаос не будет регулироваться ЗоПД

Eisenfaust,
pavelser,
А что Вы думаете по поводу применения ч.3 ст.21 ЗоПД в этом случа:

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

Получается, что это будет неправомерной обработкой ПД, в связи с этим оператору дается 3 дня на прекращение такой обработки.
Ну и, соответственно, если оператор не может обеспечить правомерность такой обработки, то через 10 дней оператор обязан уничтожить ПД.
А вот как быть с уведомлением, пока непонятно....

К сожалению, комментариев данного пункта пока не читал...возможно, здесь идет речь о выявлении неправомерной обработки только в результате обращения кого-либо, а не самим оператором.

[Stan]

Получается, что должна отсутствовать систематизация и (или) доступ к ПД.

Неправильно, по идее:

позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Получается, что не должно быть ни возможности поиска, ни возможности доступа.

Скажите, как может выглядеть на практике обработка ПД без использования средств автоматизации, если такая обработка не позволяет осуществлять в соответствии с заданным алгоритмом: (i)поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, (ii) и (или) доступ к таким персональным данным?

Перенаправление всей входящей корреспонденции в мусорную корзину, сквозное подшивание ее в папку входящих. И т.п.

Насколько я понимаю, п. 1 ст. 1 в части без автоматизации должен читаться так:

позволяет осуществлять в соответствии с заданным алгоритмом: 1) поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) 2) доступ к таким персональным данным.

Т.е. часть предложения до добавленного мной двоеточия относится и к поиску, и к доступу. Сама по себе возможность прочитать ПД (адрес на конверте) не должна подпадать под идею алгоритмической обработки.

[Platosha]

Stan

Перенаправление всей входящей корреспонденции в мусорную корзину, сквозное подшивание ее в папку входящих. И т.п.

Корзина, конечно, выход А вот в части сквозного сживания - разве "просмотр каждого документа в подшивке с последовательным переходом от одного документа к следующему до момента нахождения искомого документа" разве не будет алгоритмическим поиском?

Насколько я понимаю, п. 1 ст. 1 в части без автоматизации должен читаться так:

Просмотр сообщенияLeximus сказал(а):
позволяет осуществлять в соответствии с заданным алгоритмом: 1) поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) 2) доступ к таким персональным данным.

Т.е. часть предложения до добавленного мной двоеточия относится и к поиску, и к доступу. Сама по себе возможность прочитать ПД (адрес на конверте) не должна подпадать под идею алгоритмической обработки.

Однако, что такое алгоритмическая обработка? Это обработка по определенному алгоритму - точному набору инструкций, описывающих порядок действий исполнителя для достижения результата решения задачи за конечное время. Что мешает сказать, что "1. взять конверт в руки; 2. осмотр конверта на предмет постороннего вскрытия, 3. изучение сведений об отправителе и адресате" не является алгоритмом доступа к ПД?

Имхо, оба случая (сквозное подшивание и входящий конверт) не подпадают под действия закона в силу того, то такие ПД не систематизированы в собраниях персональных данных

Сообщение отредактировал Platosha: 23 September 2011 - 14:55

[Stan]

Что мешает сказать, что "1. взять конверт в руки; 2. осмотр конверта на предмет постороннего вскрытия, 3. изучение сведений об отправителе и адресате" не является алгоритмом доступа к ПД?

Формально-логически возразить нечего, но законодатель должен был подразумевать "эффективный" алгоритм, иначе вся оговорка об алгоритме теряет смысл.

Имхо, оба случая (сквозное подшивание и входящий конверт) не подпадают под действия закона

Я согласен, но эту точку зрения надо обосновывать и обосновывать.

[Leximus]

Stan,

Получается, что не должно быть ни возможности поиска, ни возможности доступа.

Ну да, верно, ошибся.
Если возникает что-то одно - уже начинает регулироваться ЗоПД.

Т.е. часть предложения до добавленного мной двоеточия относится и к поиску, и к доступу. Сама по себе возможность прочитать ПД (адрес на конверте) не должна подпадать под идею алгоритмической обработки.

По Современному экономическому словарю:

Алгоритм (от лат. формы имени среднеазиатского математика аль-Хорезми) - правило действий, последовательность проведения вычислительных операций, способ нахождения искомого результата. В экономических задачах, решаемых с использованием математических методов и моделей, алгоритм означает способ отыскания искомой величины.

Вся корреспонденция лежит в одном лотке/в одной папке, на одном столе, на ресепшене. Пришел на ресепшен, подошел к столу, нашел корреспонденцию - вот и доступ.

Если честно, маразм какой-то напоминает.....

Platosha,

Имхо, оба случая (сквозное подшивание и входящий конверт) не подпадают под действия закона в силу того, то такие ПД не систематизированы в собраниях персональных данных

Не согласен, смотрите:

позволяет осуществлять в соответствии с заданным алгоритмом: 1) поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) 2) доступ к таким персональным данным.

Все по тому же Современному экономическому словарю:

Картотека (от греч. theke - вместилище, ящик) - 1) совокупность, набор карточек - носителей информации, объединенных, систематизированных и размещенных в каком-либо порядке: по алфавиту, темам, срокам исполнения документов; 2) хранящиеся на особом учете в банке по месту нахождения плательщиков расчетные документы предприятий и организаций-плательщиков в связи с несоблюдением сроков или правил оплаты.

Вот и получается, что подшиваете вы корреспонденцию по мере поступления - вот и систематизация по сроку; подшиваете Вы их не куда попало, а в одну папку "Корреспонденция" - вот и систематизация по теме.

Вот и получается, что подшивание можно отнести к картотеке, а следовательно и регулируется ЗоПД.



Kalipso2012

В суде каждая бумажка -- докозательство!

Вы о чем?

[Platosha]

Leximus

Вот и получается, что подшивание можно отнести к картотеке, а следовательно и регулируется ЗоПД.

Пожалуй, тогда

Тогда снова шаг назад:

Скажите, как может выглядеть на практике обработка ПД без использования средств автоматизации, если такая обработка не позволяет осуществлять в соответствии с заданным алгоритмом: (i)поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, (ii) и (или) доступ к таким персональным данным?

[Джермук]

Вот и получается, что подшиваете вы корреспонденцию по мере поступления - вот и систематизация по сроку; подшиваете Вы их не куда попало, а в одну папку "Корреспонденция" - вот и систематизация по теме.

Вот и получается, что подшивание можно отнести к картотеке, а следовательно и регулируется ЗоПД.

Не получается, т.к. "подшивание" корреспонденции в одну папку исключает их рассмотрение именно как "карточек". В картотеке всегда лежат "карточки", отсылающие уже далее к конкретной папке с доками и ее местонахождению.
Систематизация папок с доками и систематизация карточек, обеспечивающих поиск папок, - суть разные систематизации.

[Platosha]

Джермук
Тогда может быть такая папочка - это иные систематизированные собрания ПД?

[Джермук]

Тогда может быть такая папочка - это иные систематизированные собрания ПД?

Так сами то собрания ПД в виде отдельных папок на отдельных индивидуумов как раз и не систематизированы между собой по содержанию (по ПД). Они систематизированы между собой только по системе нумерации папок, а не по систематизации собраний ПД. Я так думаю

[Stan]

Так сами то собрания ПД в виде отдельных папок на отдельных индивидуумов как раз и не систематизированы между собой по содержанию (по ПД). Они систематизированы между собой только по системе нумерации папок, а не по систематизации собраний ПД.

Так и должно быть. Если сортировка по ФИО -- это обработка, позволяющая алгоритмический поиск (по алфавиту). Если сортировка по номерам входящих -- это не позволяет поиск персональных данных, а простой перебор не должен рассматриваться как алгоритм в смысле закона.
Только все это логика. Правоприменителям она неведома. Им подавай руководящие разъяснения. )

[Platosha]

Джермук
Мы говорили про папку(папки) куда подшивались бы вся подряд входящая корреспонденция, в том числе с ПД. Так вот разве такая папка не будет систематизированное по дате получения документа собрание ПД? Или Вы считаете, что из указанной нормы закона следует, что систематизация должна быть именно по ПД?

[Джермук]

Или Вы считаете, что из указанной нормы закона следует, что систематизация должна быть именно по ПД?

Да, именно так и считаю, и исхожу из того, что согласно статьи 3:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
А согласно этой же статьи:
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Получаем, что обработка, включающая систематизацию ПД совершается только в отношении самих ПД, а не любой другой инфы, даже "близко" расположенной.

[toparenko]

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

Таким образом по данной цели согласие не требуется

А какие полномочия и обязанности в данном случае на оператора ПД возложены законом ?

См. главу 4 ЗоПД

toparenko,

Порядок ответа предусмотрен ст.20 ЗоПД

Так в ст.20 ЗоПД говорится о запросе субъекта ПД к Оператору о наличии его ПД у Оператора и ознакомлении с ними в свете реализации его права, предусмотренного ст.14 ЗоПД (право на доступ к его ПД).

А, насколько я понял, Nestan имела в виду не такой запрос, а вообще какой-либо входящий документ, содержащий какие-либо ПД (в том числе ПД субъекта, который и предоставил корреспонденцию).

Если брать общий случай направления письма, так то, что субъект сам "своей волей и в своем интересе" предоставил данные написав письмо уже будет согласием (для случаев когда не требуется письменное согласие). Т.е. "презумпцию виновности оператора" (необходимость доказать согласие субъекта на обработку) Вы уже сможете преодолеть в суде.

Перенаправление всей входящей корреспонденции в мусорную корзину,

Уничтожение - это тоже обработка.
А если еще у Вас письма автоматом идут в шредер, то это и на автоматизированную потянет

Формально-логически возразить нечего, но законодатель должен был подразумевать "эффективный" алгоритм, иначе вся оговорка об алгоритме теряет смысл.

К сожалению у законодателей не прошло предложение о следующей формулировке ИСПДн "Информационная система персональных данных - совокупность персональных данных, структурированная в целях их обработки с использованием средств автоматизации или без использования таких средств, а также технические средства (при наличии) обеспечивающие выполнение указанных целей обработки".
Т.ч. сейчас любая структуризация, а не только структуризация по ПДн.