О законодательных тупиках и Мегафоне

О законодательных тупиках и Мегафоне
Алексей Волков проанализировал неплохо ситуацию с утечкой в Yandex sms абонентов Мегафона. Не смог удержаться и продублирую здесь свои комментарии.
Сам пост находится здесь и очень рекомендован к прочтению, дабы не "спорить о вкусе устриц с теми, кто их ел".

Мое мнение:
Остановлюсь на комментариях относительно новой версии. Источник взял у Александра Бондаренко здесь . Про ущерб, я с Вами полностью согласен и именно поэтому считал и считаю, что прошлая версия от первого чтения не работала бы. Теперь по пунктам.
В общем IMHO, у Мегафона основной косяк – нарушение статьи 7. Конфиденциальность персональных данных. А она коррелирует с законом «О связи» и как я слышал более тяжелое наказание поглощает менее и т.д. и т.п. Но в качестве разминки посмотри, что с персданными и как опуская вопрос утечки привести в соответствие.

Цитата
Теперь о том, какие меры обязан был принять оператор для обработки и защиты данных, передаваемых через веб-форму, в случае, если таковые являются не обезличенными. Во-первых, организационные: необходимо получить согласие на обработку ПДн с КАЖДОГО, кто отправляет данные через эту форму. Согласия абонента, номер которого указывается в поле "получатель", совершенно недостаточно, поскольку в теле сообщения могут быть не только его данные, но и данные отправителя, и вообще любых третьих лиц (которых надо уведомить).

Конечно, оператор может заявить, что он в данном случае не определяет целей обработки ПДн и выступает как сервис-провайдер, а цель определяют сами абоненты, отправляющие СМС, и что содержание ПДн в СМС и сопутствующая их обработка это не самоцель - но неизвестно, как на это отреагирует суд.
Конец цитаты

Ну, для начала бы я разыграл комедию под названием, а я не оператор. По определению в статье 3 оператор определяет состав ПД и цели обработки. В данном случае состав и цели определяет исключительно субъект, путем написания текста и определения круга лиц, кому этот текст будет доступен, а сюда очевидно включается и сам Мегафон и абоненты, которые указаны в поле получателя. Конечно, жаль что нет явного определения обработчик, но есть статья 6 п.3 и следующий 3. В данном случае Оператором является сам субъект ПД, но под действие закона он не попадает. Тут интереснее что, мы в Операторы записываем самого абонента, и судебные перспективы уже не такие туманные. Определения жесткие, вывод субъекта из под закона то же жесткий.
Косить под сервис провайдера я бы не стал, а вот в обработчики записался бы. ;)
А далее есть п 4. статьи 6 об ответственности оператора перед субъектом, вот пусть сам субъект и отвечает перед собой. ;)
Вообще п.3 статьи 6 (первый который) крайне интересен в этой ситуации, например "… В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона…"
Всего этого насколько я понимаю указано, не было и с обработчика принявшего разумные меры спрос не велик. С субъекта-оператора то же нет.

Цитата
Cделать ПДн, отправляемые через веб-сайт общедоступными может только сам субъект, и оператор должен доказать, что у него есть основания это полагать и обрабатывать их без согласия субъекта, которое может быть либо письменным, либо с ЭЦП.
Конец цитаты

Как я понимаю, Вы считаете, что в новой редакции согласие может быть только письменное (или электронное с ЭП), но как тогда трактовать Статью 9 ч. 1 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.? Форма согласия явно не письменная или приравненная к ней.
Насколько я понимаю, исчезло понятие общедоступные ПД, а появилось "Общедоступные источники персональных данных" (статья 8). Здесь интересный момент получается, фишка используемая операторами для отказа от создания СЗИ в виде письменного согласия с категорированием ПД субъекта как общедоступные ПД приказала долго жить, поскольку ПД, так и остаются ПД, только теперь крутиться могут в общедоступных местах. Форма отправки SMS ни как не тянет на общедоступный источник. Так что это ни при каких обстоятельствах общедоступные ПД. А формой согласия может быть и чекбокс, при условии, что дальше без него не пройти. По крайней я на такой позиции готов бодаться. IMHO.

Цитата
Сюда же "приплетается" трансграничная передача ПДн (доступ к форме возможен из-за рубежа) со всеми вытекающими.
Конец цитаты

С трансграничной передачей, то же для меня не все прозрачно. Исходя из прямого прочтения статьи 12 нас интересует только передача изРоссии, а в случае доступа к форме из-за рубежа происходит передача вРоссию. Случай нахождения абонента за рубежом попадает под действие другой части системы и к рассматриваемой web форме отношения не имеет. Так что трансграничную передачу, при случае я бы то же отмел. ;)
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Сбалансированная диета для серого вещества

Подпишитесь и станьте самым умным овощем