A pregunta feita no título parece estraño. E a resposta a el, parece que é obvio - por suposto, si. Pero o 30 de decembro, o presidente da Lei Federal número 519-FZ fixo un son nas mentes dos expertos, as disputas sobre o seu contido ir á terceira semana, moitas preguntas que me fixeron clientes e colegas, polo que é hora, probablemente para expresar o meu punto de vista.
Entón, que cambiei a lei.
Os cambios graves na lei "en datos persoais" son só dous.
(1) Un concepto fundamentalmente novo de "datos persoais permitidos polos datos persoais para distribuír" apareceu.
(2) excluídos da lei tales bases para procesar datos persoais sen o consentimento da materia, como os casos nos que o acceso dunha variedade ilimitada de persoas a datos persoais é proporcionada por unha materia ou a súa solicitude.
Ao mesmo tempo, os cambios na lei, a pesar do seu procesamento cardinal á segunda lectura, preparouse moi descuidado e mal concibido, polo que a nova edición sería moi longa e moi dolorosa. Ademais, correndo cara adiante, expresarei o meu punto de vista sobre as consecuencias desta lei: as novas disposicións serán utilizadas exclusivamente e selectivamente, xa que o seu uso masivo xerará unha tarefa completa e caos.
Así. Problema número uno. Como agora especificado no parágrafo 1.1 do artigo 3 da Lei 152-FZ "Sobre datos persoais", o consentimento débese á difusión de datos persoais, o acceso dun círculo ilimitado de persoas ás que se proporciona á materia de datos persoais É dicir, a accións destinadas a divulgar datos persoais a un rango indefinido de persoas. Os datos que a materia publicou, por exemplo, no seu propio perfil nunha rede social ou no sitio web do anuncio, non se pode colocar sen o seu consentimento noutros recursos en internet. Déixeme lembrar que a distribución é só un dos 18 métodos de procesamento especificados no parágrafo 3 do artigo 3 da Lei.
Pero na parte 2 do novo artigo 10.1 da Lei de Restricións, de súpeto comezan a aplicar a calquera procesamento de datos persoais divulgados por un círculo indefinido de persoas por si mesmos: "a obriga de proporcionar probas da legalidade da distribución posterior O procesamento de tales datos persoais atópase en cada persoa que cumpriu a súa distribución ou outro procesamento ". Non hai que esquecer que un dos métodos de procesamento é, por exemplo, o acceso e traer a situación a un absurdo lóxico: probar que cada lector debe ler legalmente algo na publicación da rede social (e a publicación de lectura e hai acceso). Verdade, na parte 9 deste mesmo artigo, a posibilidade de acceso é negociada por separado, pero esta norma concierne ao operador que concedeu acceso, non unha persoa que a recibiu. E, en xeral, que é que isto usa aquí, mentres que as innovacións están distribuídas exclusivamente?
Máis. A parte 5 e 9 do artigo 10.1 proporcionan a posibilidade da materia de prohibicións e condicións para procesar datos persoais, así como categorías e listas de datos persoais, para o tratamento de que se establecen estas condicións e prohibicións. Ademais, se o consentimento da materia non segue a difusión, a materia non establece as prohibicións e condicións ou non identificou as categorías respecto de as que se establecen, o operador que recibiu datos da materia e do consentimento á súa distribución (aparentemente) , elaborado cruptamente polo suxeito) son procesados (atención!) sen transferencia, distribución, provisión e acceso a un círculo ilimitado de persoas. De novo. O acordo foi dado, do seguinte xeito do artigo 10.1, para a súa distribución, pero a súa distribución é ilegal, debido ao consentimento, tal oportunidade non debe ser.
As novas disposicións entran nunha contradición explícita coas disposicións dunha lei de maior nivel: o Código Civil, a parte 1 do artigo 152.2 que di directamente que a prohibición de recoller, almacenar, distribuír e utilizar calquera información sobre a vida privada sen o consentimento dun O cidadán non se aplica aos casos en que a información sobre a vida privada do cidadán anteriormente estaba dispoñible públicamente ou foi revelada polo propio cidadán ou pola súa vontade. Pero a invalidez dunha prohibición de procesamento en estado, público ou outros intereses públicos por algún motivo é duplicado no parágrafo 11 do artigo 10.1 da lei. Moi recorda a famosa miniatura "que xogamos aquí, non xogamos aquí, e esta é unha mancha, porque envolvín o peixe".
Ao mesmo tempo, a lei sobre datos persoais aínda contén motivos para publicar datos persoais en fontes dispoñibles públicamente sen o consentimento da materia: procesar datos persoais para acadar os obxectivos previstos pola lei para implementar e implementar a lexislación asignada ao operador de Funcións, poderes e deberes, para a execución do contrato, cuxa festa é unha entidade de datos persoal, procesamento de datos a ser publicado ou divulgación obrigatoria de acordo coa lei federal. Nestes casos, e requiren que o cesamento do procesamento non funcione.
Non cambiou nada no artigo 8 de fontes dispoñibles públicamente, aínda cheira a unha naphtalin dunha limitación de retratos ("... públicamente as fontes de datos persoais (incluídos os libros de referencia, os libros de enderezos) poden ser creados ...") E nada sabe sobre os recursos en internet en absoluto e as redes sociais en particular.
Por diante está esperando unha gran cantidade de cousas interesantes: a forma de acordo sobre o procesamento de datos persoais permitidos polo tema de datos persoais para distribuír, que, como desexas esperar, non contén datos de pasaporte da materia e do seu enderezos; A creación do próximo Rexistro de Roskomnadzor, no que o consentimento dos suxeitos para a difusión dos seus datos e, de feito, ao procesamento que indica a lista de datos persoais para cada unha das categorías (que se sabería que é especial , Biométrica ou o lexislador significaba algo completamente diferente?). Supoño que o rexistro debe estar dispoñible públicamente, se non, como os usuarios saberán que é posible e que non se pode facer cos datos da lista de cada categoría?
Realmente quero saber como na práctica o requisito implementarase para deter a transmisión (distribución, disposición, acceso) dos seus datos persoais, previamente permitido polo suxeito de datos persoais para distribuír, a calquera persoa que procesa datos persoais, se os datos xa recibiu acceso a un círculo indefinido de individuos.
Póñase, por suposto, que todas estas prohibicións e restricións non se aplican ao cumprimento das funcións, poderes e deberes asignados pola lexislación da Federación Rusa ás autoridades executivas federales, as autoridades executivas das entidades constitutivas da Federación Rusa, Gobernos locais. E isto a pesar do feito de que case ao mesmo tempo, cando a lei foi adoptada, o 23 de decembro do ano pasado, asinouse o decreto do Goberno da Federación Rusa 2249, de acordo co que os cidadáns reciben o dereito de proporcionar e revogar o consentimento para o tratamento dos seus datos persoais en casos de proporcionar autoridades e organizacións conectadas a un único sistema de identificación e autenticación (ECA), acceso a información sobre a persoa física, acordo sobre a comisión doutras accións, incluíndo legalmente significativo, utilizando Estado, municipal e outros sistemas de información, así como o almacenamento dos propios acordos. Pero esta é unha canción completamente diferente.
Fonte - Blog emelyannikova Mikhail "Receitas de seguridade de emelyannikov".
Material máis interesante sobre CISOCLUB.RU. Subscríbete a Estados Unidos: Facebook | VK | Twitter | Instagram | Telegram | Zen | Mensaxeiro | ICQ Novo | YouTube | Pulse.