Pull to refresh

Утечки и законы. Кто виноват?

Reading time 4 min
Views 3.6K
Уже высказано много эмоций по поводу виновности относительно недавних утечек.

Однако давайте быстренько разберемся, как на все это можно посмотреть с точки зрения закона.

Для примера возьмем случай, когда утекли именно полные паспортные данные (например, из базы РЖД), ибо под это легче всего подвести законодательную базу.

Итак



В соответствии с недавно вступившим в действие 152 ФЗ каждое лицо, хранящее и обрабатывающее персональные данные (паспортные данные к ним относятся) обязано соблюдать требования данного закона. Такое лицо становится оператором персональных данных.

В частности:

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.


Уже одно это делает владельцев сервисов, которые допустили утечку данных нарушителями закона ФЗ 152, что влечет за собой разную степень ответственности.

Давайте же теперь посмотрим на Яндекс и другие поисковики.

Они индексируют все в пределах их достигаемости. Когда робот Яндекса попадает на мои персональные данные, то он их так же индексирует. Процесс индексирования, то есть занесения в базу и последующие манипуляции попадает под определение обработки данных.

Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных п.3.3 152 ФЗ

В соответствии с законом 152 такое действие возможно только с согласия владельцев персональных данных:

Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

5.1) обработка персональных данных необходима управляющим организациям, товариществам собственников жилья, жилищным кооперативам, жилищно-строительным кооперативам… (и т.д. — сократил; прим. автора)

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.


Действия поисковиков не попадают ни под один из подпунктов второго раздела. Даже если они проводят индексирование с научной целью, они обязаны обезличивать данные, чего не происходит.

Таким образом, поисковик желая обработать мои данные обязан просить у меня разрешения. Так как он этого не делает, то должна наступить его ответственность по закону.

То что он взял эти данные в общедоступном месте никак не может служить оправданием, общедоступными по закону они не являются.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных п.3.12 152 ФЗ

И главный пункт тут — согласие субъекта, которое отсутствует.

Резюмируя:

Да, хозяин ресурса допустившего утечку отвечает по закону.
Да, поисковики так же нарушают закон 152 о персональных данных. И да, они так же должны нести ответственность по закону.

PS Хочу еще добавить от себя лично. Вся эта статья преисполнена крайнего занудства. Мне самому претензии к поисковикам кажутся в общем-то высосаными из пальца. Но с точки зрения закона они его нарушают. А если мы живем в правовом государстве, то должны действовать в соответствии с законами (меняя их по необходимости).
Спасибо за внимание.

PSS Я не юрист и детального анализа не провожу. Уверен, юристы Яндекса уже обложились кипами литературы и как-нибудь выкрутятся. Но с точки зрения банальной эрудиции, дело обстоит именно так как я написал выше ;)
Tags:
Hubs:
+37
Comments 213
Comments Comments 213

Articles