Закон о персональных данных. Что делать?

[serg]

Если существует Закон об электронной подписи, то требуется всего-навсего быть налогоплательщиком (не важно - юр. или физ. лицо!) и в таком случае вы получаете код доступа и пароль.

К сожалению, у нас это не так. Действительно можно представлять налоговикам отчётность в электронном виде (как на физическом носителе, так и по сетям), но используемые при этом коды действуют только в отношениях между налоговой и налогоплательщиком.
Мысль озадачить ЭЦП налоговиков, на мой взгляд, очень интересная. Но вряд ли осуществима, поскольку лоббироваться никем не будет. В то время, как интересы нескольких организаций, имеющих право выдавать ЭЦП за деньги, лоббируются на достаточно высоком уровне. Например, одна из них - при торгово-промышленной палате России.

[Дядя Лёня]

Уважаемый SERG!
К нашему общему сожалению чёрт, пока законы «с добрыми намерениями» ляпают чиновники, озабоченные исключительно приращением собственных контрольных и властных полномочий, еще страшен.
1. Как правильно заметил DON MASSIMO, законом о ПД введена презумпция ВИНОВНОСТИ оператора ПД. «Обязанность предоставить доказательство получения согласия субъекта ПД на обработку его ПД возлагается на оператора ПД, в данном случае на турагента (см.п.3.ст.9. закона о ПД). Обработка персональных данных осуществляется только С СОГЛАСИЯ В ПИСЬМЕННОЙ ФОРМЕ субъекта ПД (см.п.4.ст.9. закона о ПД). Поэтому заказчик турпродукта не может дать за третьих лиц согласия на обработку их ПД, и ответственность, как было сказано выше, за получение согласия несет оператор ПД, и ТА не сможет ее переложить на заказчика.
ТО действительно может (и, как получается по смыслу закона о ПД, просто обязан) обязать ТА получать от ВСЕХ ТУРИСТОВ, на которых заказывается турпродукт, письменные разрешения туристов на обработку их ПД. Однако есть сложности. Первая, технологическая, реально обеспечить получение от ТА к ТО этих разрешений на обработку ПД в оригинале, не рентабельно. Вторая, ТО начинает обработку ПД туристов по заявке ТА, как правило, без промедления, и на этот момент ТО не имеет реальных доказательств, что ТА добросовестно выполнил обязанность получить от туристов письменные разрешения на обработку их ПД, то есть, ТО уже нарушает закон.
Реально, наверное, будет происходить так. ТО обяжет ТА в той или иной форме получать письменные согласия туристов на обработку их ПД. Однако требовать эти письменные согласия в натуре не станет (реально такой рост почтового потока не осилить). Но будет считать, что эта обязанность ТА выполняется. А принципиальный чиновник из Роскомнадзора при проверке потребует у ТО представления письменных согласий в натуре НА ВСЕХ ОТПРАВЛЕННЫХ, скажем за год, туристов, а это без малого несколько десятков, а то и сотен тысяч документов.
2. SERG, Вы правильно цитируете закон о ПД, но делаете, на мой взгляд, не верные выводы. Да, действительно, закон позволяет обрабатывать ПД без согласия на то субъекта ПД (п.2.ст.6.), и не сообщать, что ты оператор ПД в Роскомнадзор (.п.2.ст.22.), если обработка ПД ведется на основе договора с субъектом ПД, ОДНОЙ СТОРОНОЙ КОТОРОГО ЯВЛЯЕТСЯ субъект ПД. В общем случае, ТО не заключает договоров с туристами, и потому не имеет юридических оснований ссылаться на то, что пользуется соответствующими нормами закона О ПД в силу того, что имеет договорные отношения с туристом, как субъектом ПД.

[На Троих]

Предприятия страны наращивают производство вазелина.
Ибо при такой политике партии и правительства в отношении малого бизнеса, вазелина понадобиццо ооооочень много.

[Persona Grata]

Согласен абсолютно, не может право на обработку персональных данных предоставляться оператору лицом, не являющемся собственно субъектом этих персональных данных. Поскольку речь идет об информации, затрагивающей гражданские права третьего лица, обработка такой информации возможна только с согласия самого субъекта, но никак не с согласия некоего заказчика, даже заключающего договор в пользу этого третьего лица. Это невозможно ни с точки зрения логики закона 152 ФЗ, ни с точки зрения обычной юридической техники - Заказчик элементарно не обладает достаточными полномочиями, что бы распоряжаться гражданскими правами третьих лиц, если он не является их законным представителем (родителем, опекуном).

Выход из этой ситуации я вижу только один, внести соответствующие поправки в отраслевой федеральный закон, определить цель обработки персональных данных, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определить полномочия оператора. Закон о ПД в пп 1 п.2 ст.6 устанавливает такую возможность. Иными словами, согласия туристов не потребуется если обработка будет осуществляеться в целях, определенных федеральным законом об основах турдеятельности. Закон об основах содержит норму, согласно которой существенным условием договора о реализации турпродукта являются сведения о туристе, в объеме, необходимом для реализации турпродукта. Эту норму можно расширить, предусмотрев возможность передачи персональных данных туристов, определив цели и субъектов обработки. Работа в этом направлении ведется, от РСТ готовятся рекомендации по отраслевым регламентам в связи с применением закона о ПД, достигнуты договоренности с Роскомнадзором и Общ орг. Опора России о создании рабочей группы для разработки отраслевых рекомендаций, этим же заняты и страховщики и медики и система образования, при определенных усилиях надеемся утрясти разногласия с Роскомнадзором и ФСТЭКом.

[serg]

С Вашего позволения, ещё раз позволю себе процитировать предлагаемый пункт в договор:
Заказчик от своего имени и от имени всех туристов Заказчика, указанных в приложении № 1 к настоящему Договору, даёт согласие на обработку и передачу (в т.ч. трансграничную) персональных данных лицам, непосредственно оказывающим услуги по настоящему Договору: туроператору, перевозчикам, отелям, консульским службам и т.п. Турфирма обязуется передавать эти данные указанным лицам строго в объёме, необходимом им для оказания услуг. Заказчик обязуется проинформировать об этом своих туристов, а также сообщить им права субъекта персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»

1. законом о ПД введена презумпция ВИНОВНОСТИ оператора ПД. «Обязанность предоставить доказательство получения согласия субъекта ПД на обработку его ПД возлагается на оператора ПД, в данном случае на турагента (см.п.3.ст.9. закона о ПД). Обработка персональных данных осуществляется только С СОГЛАСИЯ В ПИСЬМЕННОЙ ФОРМЕ субъекта ПД (см.п.4.ст.9. закона о ПД). Поэтому заказчик турпродукта не может дать за третьих лиц согласия на обработку их ПД, и ответственность, как было сказано выше, за получение согласия несет оператор ПД, и ТА не сможет ее переложить на заказчика.

Изложу свою позицию по пунктам:
а) у оператора ПД согласие субъекта ПД на обработку ПД должно быть (Закон о ПД).
б) кто является оператором? Вариант 1 - ТА, вариант 2 - заказчик (который непосредственно собрал эти данные у их субъектов).
в1) Если оператор - заказчик, то вся ответственность на нём, а ТА должен только обеспечить конфиденциальность и безопасность ПД. При этом заказчик вполне может поручить ТА действовать с ПД именно так, как указано в предлагаемом пункте договора.
в2) Если оператор - ТА, то любое лицо (в данном случае - субъект ПД) имеет право поручить другому лицу (в данном случае - заказчику) совершить какие-то действия от имени первого. Наличие такого права у заказчика он подтверждает, подписывая договор, в котором есть предлагаемый пункт. Это можно считать его действием по поручению или действием в чужом интересе без поручения. Более того, ТА прямо поручает этому же самому заказчику, от которого были получены ПД, исполнить обязанность оператора по ч.3 ст. 18 Закона о ПД.

реально обеспечить получение от ТА к ТО этих разрешений на обработку ПД в оригинале, не рентабельно.

На мой взгляд, этого и не требуется. Для ТО достаточно ЗНАТЬ, что такие согласия есть у ТА. Если вдруг окажется, что у ТА их нет, то всегда можно возместить убытки ТО, причинённые ненадлежащим исполнением договора агентом.

Вторая, ТО начинает обработку ПД туристов по заявке ТА, как правило, без промедления, и на этот момент ТО не имеет реальных доказательств, что ТА добросовестно выполнил обязанность получить от туристов письменные разрешения на обработку их ПД, то есть, ТО уже нарушает закон.

Не думаю, что ТО будет кем-то "схвачен за руку" в момент НАЧАЛА обработки ПД. :-) Наверняка это будет делаться за какой-то прошедший период. И уже невозможно будет определить, что было раньше, а что - позже.

НА ВСЕХ ОТПРАВЛЕННЫХ, скажем за год, туристов, а это без малого несколько десятков, а то и сотен тысяч документов.

Согласен с Вами, с наших чиновников станется. Но это касается, к сожалению, не только ПД.

2. SERG, Вы правильно цитируете закон о ПД, но делаете, на мой взгляд, не верные выводы. Да, действительно, закон позволяет обрабатывать ПД без согласия на то субъекта ПД (п.2.ст.6.), и не сообщать, что ты оператор ПД в Роскомнадзор (.п.2.ст.22.), если обработка ПД ведется на основе договора с субъектом ПД, ОДНОЙ СТОРОНОЙ КОТОРОГО ЯВЛЯЕТСЯ субъект ПД. В общем случае, ТО не заключает договоров с туристами, и потому не имеет юридических оснований ссылаться на то, что пользуется соответствующими нормами закона О ПД в силу того, что имеет договорные отношения с туристом, как субъектом ПД.

Наличие в договоре пункта о действии заказчика от имени всех туристов даёт основания полагать, что между ними существуют какие-то договорные отношения. Убеждаться в этом ТА/ТО не обязан. Во исполнение этого договора (между туристами) и осуществляется обработка ПД.
Кроме того, в ч. 2 ст. 22 есть ещё и п. 8, позволяющий также не слать уведомления.

Конечно, всё это не сахар... Но цена других выходов несоизмерима.

[Gleb Grib]

На МИТТ будет конференция по технологиям, в том числе будут рассматриваться и вопросы о персональных данных:

http://mitt.ru/ru/about/events/ttc/

[Дядя Лёня]

Уважаемая PERSONA GRATA!
Я полностью с Вами согласен. Поправки в ФЗ Об основах туристской деятельности могли бы решить все проблемы. И Ваше сообщение о ведущейся в этом направлении работе вселяют оптимизм. И если Вы, как я понял из Вашего сообщения, участвуете в этом процессе, то может дадите совет. Стоит ли сейчас ТО начинать всю эту «тягомотину» с требованиями от ТА получать письменные согласия туристов на обработку их ПД. При этом конечно от туриста лучше получать не просто согласие на обработку ПД, а еще и согласие считать его ПД на время действия договора о реализации турпродукта – открытыми персональными данными. Это снимет еще пару проблем в рамках закона о ПД. С одной стороны, для ТО - это не решение проблемы. Реально требовать, чтобы ТА вместе с заявкой, присылали согласия туристов в натуре – утопия. Но с другой стороны, хоть что-то: административно-распорядительные документы о порядке обработки ПД клиента, соответствующие договора с ТА и прочая «лабуда», на которую в случае «чяво» убого можно ссылаться, то есть мы делаем так, пока нам не разъяснили как.

[agent 008]

Кстати, коллеги! Вопрос на засыпку: Какие данные являются персональными? Дата рождения? Номер ОЗП? Сумма на счету?

И отсюда второй вопрос: Распространяется ли закон о персональных данных на иностранные консульства? И вправе ли они требовать данные о состоянии банковских счетов, о заработной плате, о наличии недвижимости? Кто-нибудь ограничивает их возможности использования этих данных?

Потому что мне на самом деле кроме фамилии, номера ОЗП и даты рождения для безвизовых стран ничего не нужно. Вряд ли это те персональные данные, которые кто-то захочет скрывать. Все остальное нужно консульским работникам. Пусть они за них и отвечают. А я буду принимать данные от клиента в запечатанном пакете и в этом же пакете сдавать.
Извините за наивный вопрос.

[Дядя Лёня]

Уважаемый Agent 008!
Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных» достаточно короткий документ, и чем скорее Вы его прочитаете, не говорю уже – изучите, тем, поверьте мне на слово, Вам будет лучше.
А пока отвечу на Ваши вопросы:
1. Персональные данные - ЛЮБАЯ ИНФОРМАЦИЯ, относящаяся к физическому лицу, субъекту персональных данных. В том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение и т.п.
Если Вы как оператор ПД обрабатываете только фамилию, имя и отчество (список закрыт законом) субъектов ПД, то можете это делать без уведомления Роспотребнадзора.
2. Закон не распространяется на иностранные консульства. И они вправе требовать любые данные, которые им хочется. Но Вы их вправе передавать только с письменного согласия субъекта ПД или заключив с ним соответствующий договор.
3. Вы можете «принимать данные от клиента в запечатанном пакете и в этом же пакете сдавать», но это Вас никоем образом не избавляет от ответственности по закону о ПД.

[Andreiaka]

но это Вас никоем образом не избавляет от ответственности по закону о ПД.

и какая она , ответственность ?

[На Троих]

и какая она , ответственность ?

приостановка деятельности может быть.
Т.е. очень мутный такой закончик, реально заточенный под выклянчивание взяток.

[Andreiaka]

и какая она , ответственность ?

приостановка деятельности может быть.
Т.е. очень мутный такой закончик, реально заточенный под выклянчивание взяток.

где то прописана ответственность ?

[Andreiaka]

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

[Дядя Лёня]

Уважаемый ANDREIAKA! Выбирайте по своему вкусу:
Статья 5.39. КоАП РФ.
Отказ в предоставлении гражданину информации. Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.
Штраф: на должностных лиц - 500 до 1.000 руб.
Статья 13.11. КоАП РФ.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Штраф: на должностных лиц - 500 до 1.000 руб.; на юридических лиц - 5.000 до 10.000 руб.
Статья 13.12. КоАП РФ.
Нарушение правил защиты информации.
Штраф: на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
Статья 13.14. КоАП РФ.
Разглашение информации с ограниченным доступом.
Штраф: на граждан - от 500 до 1.000 руб.; а должностных лиц - от 4.000 до 5.000 руб.
Статья 19.5. КоАП РФ.
Невыполнение в срок законного предписания Роскомнадзора.
Штраф: на должностных лиц - от 1.000 до 2.000 руб.; на юридических лиц - от 10.000 до 20.000 руб.
Статья 19.7. КоАП РФ.
Непредставление Уведомления в Управление Роскомнадзора.
Штраф: на должностных лиц - от 300 до 500 руб.; а юридических лиц - от 3.000 до 5.000 руб.
Статья 137. УК РФ.
Нарушение неприкосновенности частной жизни. Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
Штраф до 200.000 руб., ибо обязательные работы от 120 до 180 час., либо исправительные работы до 1 года, либо арест до 4 мес.

[Andreiaka]

глаза разбегаются ..прям даже не знаю что и выбрать )