optimizator
348 дней назад 15.10.2008
Все мы читали определение распространение персональных данных - действия, направленные на... из соответствующего закона.
______
Допустим, оператор связи (ну и персональных данных) дает возможность софтверной биллинговой компании (правообладатель, кстати) тестировать их биллинг на своей "боевой" реальной базе данных. Оператор использует их ПО.
В обывательском смысле оператор связи персональные данные не распространяет. Формально можно как-то обосновать, что нет тут такого страшного "распространения", когда надо непременно письменное согласие субъекта получать, даже на учет в реестр ставиться?
Это не систематически тестируется, выборочно, софтверная компания письменно гаранирует, что никаких данных себе не возьмет, они ей не нужны как персональные данные. Только с целью тестировать их ПО.
Виталий Селиванов
Из перечня в ст.6 ФЗ О персональных данных с натяжкой может подойти только случае обработки персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Остальные варианты явно мимо.
optimizator
Цитата:
Из перечня в ст.6 ФЗ О персональных данных с натяжкой может подойти только случае обработки персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Остальные варианты явно мимо.
Я, собственно, даже не об этом перечне. Это весьма распространенная ситуация, когда для устранения ошибок в ПО приходится давать доступ работникам разработчика-правообладателя к живой базе данных оператора связи.
________
Но вот идет ли тут речь о какой-то передаче им этих персональных данных? Закон ведь тоже нельзя, наверное, понимать и трактовать чисто механически, как там написано.
Мне вчера случайно, когда я стал думать об этом, пришла мысль об аналогии с нашей любимой тайной связи. Есть у связистов известная тема о том, что такое "ознакомление" с перепиской, например. Считается еще со времен давних и разъяснениями какими-то было подтверждено, что, к слову, телеграфистка не проводит ознакомление с содержанием почтового отправления. Вот она видит буковки в бланке, заполненном отправителем, считает цену телеграммы и т.п. Естественно, она видит текст этой телеграммы. Но, считается, что она его не осознает, нет у нее ознакомления. Она просто выполняет свои обязанности в отделении связи и не берет в голову содержание телеграммы. Лично ей это содержание не нужно. Поэтому - нет у нее нарушения тайны связи.
_________
Программисту при тестировании и поиске ошибок в ПО по нашему запросу - персональные данные абонентов ему тоже не нужны. Его не интересуют "Иванов", "Петров" и даже "Сидоров". Ему надо быстро найти причину глюка в базе, интерфейсе к ней и т.п. Доступ у него административный должен быть ко всему, естественно. Все данные для него - это просто массивы данных, управление которыми надо починить.
Вот как бы не "ознакомляется" программист с персональными данными, но доступ к ним чисто технически получает.
Может быть, это все же не те "доступ", "передача", "распространение", что имелись в виду в ФЗ "О персональных данных"?
Виталий Селиванов
Хорошая мысль, вполне логично. Однако поскольку напрямую это из закона не вытекает (нет такого исключения), то нужно дожидаться судебной практики и закрепляющего ее обзора вышки либо действовать на свой риск.
optimizator
Что-то вот еще подумалось: п.4 ст.6
В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
___________
означает ли это "распространение" ? Или можно по договору поручить и письменное разрешение субъекта не спрашивать?
Виталий Селиванов
Это означает только то, что заручившись согласием абонента, оператор передает его персональные данные третьему лицу с обязательством по сохранению их конфиденциальности. Т.е. нельзя толковать данную норму как предоставляющую возможность ограничиться NDA с третьим лицом, не получая согласия абонента.
optimizator
А что, вот, скажем, адвокаты в рамках закона "Об адвокатской деятельности" - могут запрашивать персональные данные абонента у провайдера?
Запрашивать-то, они, наверное, могут, но должен ли им интернет-провайдер отвечать и сообщать эти данные без письменного согласия абонента?
Помнится, статус адвокатского запроса давно уже был (что-то изменилось?), таков, что санкций за отсутствие ответа нет никаких реальных? Еще, к тому же, имеет ои право адвокат без суда требовать только по своему запросу доступа к информации,доступ к которой ограничен законом (персональные данные, тайна связи, банковская тайна и т.п.)?
Что будет, если ему не ответят?
Виталий Селиванов
Формально адвокат вправе собирать сведения, необходимые для оказания юридической помощи, в том числе запрашивать справки, характеристики и иные документы у организаций. Последние даже обязаны выдать адвокату запрошенные им документы или их заверенные копии не позднее чем в месячный срок со дня получения запроса адвоката.
Однако нужно учитывать, что рядом законов ограничен оборот некоторых видов информации (например, персональные данные, коммерческая, служебная и государственная тайна). Да и ответственность за непредоставление сведений в ответ на адвокатский запрос законом не установлена, насколько мне известно. Поэтому можно его просто игнорировать.
optimizator
Цитата:
Из перечня в ст.6 ФЗ О персональных данных с натяжкой может подойти только случае обработки персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Остальные варианты явно мимо.
Так исполнение договора с субъектом персональных данных, значит, подходит?
Допустим, (провайдеру - чего-то - в интернет) абонент предоставил свои персональные данные. А провайдер предоставил их своим контрагентам - субподрядчикам. Одному - для регистрации доменного имени, к примеру. Другому еще для чего-то и т.п. Сам провайдер ведь в одном флаконе много составляющих их чужих услуг собирает и выдает в целом - за свою.
Так можно предоставлять в этом случае персональные данные контрагентам-субподрядчикам без того, чтоб испрашивать всякий раз отдельное письменное согласие субъекта персональных данных?
Виталий Селиванов
В общем это логично и можно придерживаться такой аргументации при возникновении спора. Однако каково будет мнение Россвязькомнадзора спрогнозировать сложно. Вполне вероятно, что надзор может занять позицию, что исключение сделано для оборота персональных данных в пределах организации-исполнителя не более того.