Помощь - Поиск - Пользователи - Календарь
Полная версия: 152 ФЗ
Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > Околохостинговые вопросы > Правовые вопросы хостинга (обмен опытом)
dikey
Коллеги кто нибудь думал уже о введении 152 ФЗ ?
Ведь с учетом того что бы для регистрации домена теперь необходимо получить скан паспорта и это уже есть обработка персонифицированных данных.
Кто нибудь предпринял меры по лицензированию ?
svits
Цитата(dikey @ 05.11.2009, 19:14) *

Коллеги кто нибудь думал уже о введении 152 ФЗ ?
Ведь с учетом того что бы для регистрации домена теперь необходимо получить скан паспорта и это уже есть обработка персонифицированных данных.
Кто нибудь предпринял меры по лицензированию ?


Скан паспорта нужен не хостеру, а регистратору. Думаю, это регистратору нужно лицензироваться.
dikey
Как поправело регистратор и хостер это одно и то же лицо (партнер регистратора).
В том то и дело что закон регламентирует обработку информации, в данном случае получение персональных данных и передача их куда либо является обработкой и соответственно физическое или юридическое лицо должно быть включено в реестр операторов.
Сейчас наткнулся на еще один момент что в договоре регистрации необходимо будет включить пункт о том что конечный пользователь не возражает против обработки его персональных данных, без него даже получив скан паспорта регистратор (партнер) не сможет передать куда либо оп запросу (исключение составляют правоохранительные органы).
different
Гм? Реселлер доменов != регистратор. Он не занимается обработкой или хранением в ручном режиме. Во всяком случае большинство регистраторов имеют для этого панель\API, куда передается скан без доступа к нему реселлера.
dikey
А я и не говорю о ручной обработке, решение которое производит обработку проходит сертификацию.
Утром подниму закон и приведу соответствующие пункты.
different
Цитата(dikey @ 06.11.2009, 01:59) *

А я и не говорю о ручной обработке, решение которое производит обработку проходит сертификацию.
Утром подниму закон и приведу соответствующие пункты.


Да, но оно написано регистратором и действует на стороне регистратора. Реселлер сам не имеет доступа к реестру доменов в принципе, как и к сканам паспортов клиентов (в случае правильного регистратора).
MiksIr
Интересно, а причем тут "регистрация домена"?
Раньше что, хостинг можно было предоставлять без паспортных данных?
Если мы уж о законах говорим.
Admin
Цитата(MiksIr @ 05.11.2009, 23:23) *

Раньше что, хостинг можно было предоставлять без паспортных данных?

Если Вы о 575 постановлении, то там, вроде было место, где говорится, что удостоверять личность клиент должен только в случае заключения письменного договора. Другое дело, что там же сказано и о том, что без заключения письменного договора (т.е. по публичной оферте) телематические услуги могут оказываться только тем клиентам, которые эти услуги не используют для своей предпринимательской деятельности... Т.е. повесил клиент баннер или ссылками торгует - заключай с ним письменный договор, по оферте предоставлять услуги уже не имеешь права.

Что-то такое там вроде было наверчено.
Ru-hoster.Com
Цитата(dikey @ 06.11.2009, 05:59) *

А я и не говорю о ручной обработке, решение которое производит обработку проходит сертификацию.
Утром подниму закон и приведу соответствующие пункты.

Интерфейс загрузки паспорта принадлежит регистратору. Для загрузки из панели клиента на стороне хостера клиент переправляется к регистратору. На примере НауНет - в письме с запросом данных приходит запрос от регистратора и только в первых строках идет упоминание о "регистрации домена через нашего партнера". Поэтому даже обсуждать тут не чего, загрузка идет напрямую к регистратору, хостер эти сканы не видит и не "трогает".
dikey
Мнений много и в основном они сводятся к тому что нас это обойдет, но давайте прочтем закон:
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных
Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.


Из вышесказанного видно, что хостер при получение для себя ФИО и даты рождения уже ведет обработку персональных данных регистратор соответственно тоже занимается обработкой.


Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Это что касается необходимости согласия клиента на обработку его персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Это то что должны сделать операторы что бы обеспечить во время работы.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

Порядок подачи заявки.

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В. Путин
И соответственно сроки вступления закона в силу.

Из разговора с сотрудниками регулирующих органов "фстэк":
- в случае предоставления услуг в и получения от субъекта ФИО и даты рождения необходимо ли проходить сертификацию ?
- Эти данные уже позволяют идентифицировать человека и в этом случае Вам необходимо стратифицировать решение обработки персонифицированных данных. Пройти сертификацию Вы можете у организаций которым была делегирована данная функция.
- А как обстоит дело с передачей копии паспорта и самих паспортных данных у регистраторов и ресейлоров в области продажи доменных имен ?
- На данный момент я не готов ответить так как закон только недавно начал работать и мы сами совместно с теми кто первыми изъявил желание постигаем все тонкости лицензирования различных решений. Я уточню Ваш вопрос на более высоком уровне и постараюсь с вами связаться.

Вот такой разговор состоялся у меня сегодня с местным представительством.
В итоге с 01.01.2010 нам похоже придется сертифицировать наши решения или искать альтернативные пути работы с де персонифицированными данными.
Ivan
Итого.
С первого января 2010 года, если вы не сертифицировали хотя бы одно рабочее место и не попали в реестр операторов - работать с физлицами вы не можете, я правильно понял?

Или все таки, при условии, что в АСР нет никаких персональных данных, а только номер, а все договора бумажные, лежат в сейфе под замком? Или сейф под замком тоже требует сертификации фстэк?
Какой путь самый быстрый и незатратный? Мне персональные данные физлиц не уперлись, честно говоря. Это все милиция с пожарными.
dikey
Работать вы можете на свой страх и риск, в течении 2010 года обещают не штрафовать а лишь давать рекомендации по устранению нарушений.
За что я люблю наше законодательство, это за то что его можно трактовать по разному. Сейф сертифицировать не нужно он под подает под формулировку организационные меры по обеспечению защиты.
Мы немного в другой сфере (медицина) вышли из положения де персонифицировав данные пациента и сдлав слияние только на одной машине которую пришлось сертифицировать. удовольствие на 1 АРМ обоходиться от 60 000 руб.
Ivan
Спасибо, утешили..
Пойду покупать сейф.
dikey
Я так понял что тема не кого не заинтересовала.
В таком случае ее можно закрыть, может быть после нового года она станет более актуальной.
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.
Русская версия Invision Power Board © 2001-2019 Invision Power Services, Inc.