schors
Новость про персональные данные чуть затмила 3.8млн. заблокированных сейчас IP. Некоторые мои читатели оспаривают вину МФЦ и поддерживают заключение Роскомнадзора. Вкратце — сканы паспортов и прочие документы оставлялись на компьютерах общего пользования. За этим просто никто не следил. Включая граждан, которые это там оставляли. МФЦ заявило, что «сами дураки», Роскомнадзор нарушений не нашёл.
Популярный пример — человек оставил паспорт в автобусе, виноват ли водитель/автопарк в нарушении обработки персональных данных? Ведь в данном случае человек и вправду «сам дурак». Но дьявол кроется в мелочах. Я не буду разбирать этот пример, а приведу другой. Вот поезд дальнего следования. И туалет. А в туалете нет раковины и бумаги, и слив не работает. Спасибо, что унитаз стоит и работает. А что человек заразу подхватил — так сам дурак, что всё с собой не захватил. Можно более сложный пример — про инфекционную больницу и помойку. Как раз недавно в Питере был скандал — самая крупная инфекционная больница была поймана за руку за утилизацией лабораторных материалов в обычную помойку. А чо такого? Вы же знали, что она рядом с больницей.
Одна из проблем персональных данных и собенно при использовании компьютеров — человек не осознает вектора атак и риски. Именно поэтому законы многих стран (и России тоже) обязывают вешать всякие порядки обработки на сайтах (другой вопрос, что закон об этом написан языком для шпионов — чтобы никто ничего не понял). А в данном случае компьютер стоял в месте, куда в первую очередь ходят с персональными данными, и в первую очередь компьютер используется как раз для вских манипуляций ими.
Описывает ли Федеральный закон этот случай? И да, и нет. Ну да, потому что его писали... те же люди, что и остальные законы пишут. С защитой от иностранных шпионов. Нормально прочесть его вообще никто не может. Возможно даже авторы. С одной стороны закон подобные кейсы вообще не описывает. Нет кейсов — все делают морды кирпичом. С другой стороны, в основных понятиях запись всё-таки является обработкой персональных данных (пункт 3 статья 3 152-ФЗ от 27.07.2006 "О персональных данных"): "обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;" И одним из принципов обработки является своевременное удаление (пункт 7 статья 5 152-ФЗ 27.07.2007 "О персональных данных"): "Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом."
Есть ли ответственность за нарушение этих пунктов? Да, статья 24 152-ФЗ 27.07.2007 "О персональных данных" говорит об ответственности лиц, ответственных за обработку, и о возмещении морального вреда (отдельно от остальных вредов).
А что Роскомнадзор? Конкретных кейсов в законе нет, вроде как хорошая годная отмазка. Он же только исполняет закон. Действительно, пишу я этот текст и вдруг мне приходит новость от самого Роскомнадзора:
http://rkn.gov.ru/news/rsoc/news63318.htm
Кто-то там опять массово подписал кодекс про персональные данные в интернете. Не наш случай, но всё же, кодекса в законе тоже нет. "Просто исполняет закон", ага, традиционно. Рекомендую почитать текст кодекса. Если конечно вы сможете его найти. А если сможете ещё и понять, что там написано — напишите обязательно мне schors
