Защита персональных данных для налогового представителя

[Милеша]

Я думаю, что все проясниться только тогда, когда кто- нибудь "вляпается" с этими персональными данными, т.е. будет замешан в каком нибудь уголовном или другом неприятном деле. И как после случая в "Хромой лошади" начнут всех шерстить и штрафовать. Тогда и разъяснения и инструкции и еще чего-нибудь придумают. А пока все как в тумане.

[lubezniy]

Я думаю, что все проясниться только тогда, когда кто- нибудь "вляпается" с этими персональными данными, т.е. будет замешан в каком нибудь уголовном или другом неприятном деле. И как после случая в "Хромой лошади" начнут всех шерстить и штрафовать. Тогда и разъяснения и инструкции и еще чего-нибудь придумают. А пока все как в тумане.

Не думаю. Скорее, всё прояснится гораздо раньше - когда начнут проверять и штрафовать. А "вляпаться" - это тема отдельного разбирательства: ни разу не думаю, что в проверяющих органах достаточно специалистов, которые будут проверять не бумажную, а фактическую защищённость.

[Демидова Татьяна]

А сколько штраф?

[lubezniy]

А сколько штраф?

На должностных лиц - до 1000р, на юриков - от 5000 до 10000 (ст. 13.11 КоАП).

[Демидова Татьяна]

Так может ну его нафик?
Зачем платить бешеные деньги и тратить свое время на то, что никому не нужно и штрафуется недорого?

[lubezniy]

Так может ну его нафик?
Зачем платить бешеные деньги и тратить свое время на то, что никому не нужно и штрафуется недорого?

Это каждый решает для себя самостоятельно. Но, если это "никому не нужно" стоит сравнительно недорого и в то же время может принести некую пользу (например, обеспечить компы средствами антивирусной защиты), то почему бы и не сделать, подкрепив оное самостоятельно написанными бумажками. Мне кажется, проще всё же написать и хранить несколько бумажек, чем периодически платить штрафы.

[ironiya98]

Подскажите http://www.klerk.ru/law/news/225527/
Как это понимать?
Любого работодателя могут оштрафовать?

[lubezniy]

Подскажите http://www.klerk.ru/law/news/225527/
Как это понимать?
Любого работодателя могут оштрафовать?

Вообще говоря, попытаться могут. Это, к слову, уже другие статьи (деятельность без лицензии). Мне кажется, что здесь можно пободаться даже в суде, хотя практики по этим вопросам пока нет. По порядку расклад, на мой взгляд, выглядит так:

Законные положения:

1. В соответствии с пп. 11 п. 1 ст. 17 128-ФЗ (99-ФЗ в силу ещё не вступил) деятельность по технической защите конфиденциальной информации подлежит лицензированию. При этом вид деятельности, на который предоставлена лицензия, может осуществляться только получившим лицензию юрлицом или ИП.
2. Согласно п. 1 ст. 19 152-ФЗ оператор обязан принимать необходимые организационные и технические меры для защиты персональных данных от всевозможных неправомерных действий. При этом оператор в большинстве случаев обязан обеспечить конфиденциальность персональных данных (п. 1 ст. 7 152-ФЗ).

Выводы и доводы:

1. У бухбизнеса вид деятельности, мягко говоря, несколько отличается от подлежащего лицензированию. Если сложить всё до чёрточки, то получается, что бухбизнес не вправе начинать деятельность, связанную с обработкой персональных данных, не получив лицензию на техническую защиту, что есмь абсурд и нарушение прав операторов ПДн, относящихся к этой категории.
2. Лицензирующий орган (ФСТЭК, если мне память не изменяет) ведёт реестр лицензий по своему виду деятельности. Возникает вопрос: почему в этом реестре нет ФСТЭК и суда.
3. Понятия технической защиты конфиденциальной информации из 128-ФЗ и обеспечения конфиденциальности персональных данных и применения организационных и технических мер из 152-ФЗ - понятия таки разные. Что конкретно имел в виду законодатель - непонятно. Пусть суд разбирается.

Понятное дело, доводы эти сырые и без подготовки опытным юристом к применению не рекомендуются. Но задуматься есть над чем.

[zaratushtra]

lubezniy огромное спасибо, что-то начинает проясняться, правда и понятий стало больше, а вопросов еще больше

На сайте Астрал-Отчет появился очень интересный раздел, посвященный теме, да уж спецоператоры потирают руки и шьют мешки для денег, да еще и пугаю штрафами до 500 000 руб. и прекращением деятельности на срок до 90 суток. Печально....

[lubezniy]

На самом деле, какую конкретно правовую базу будут подводить проверяющие, понять можно только на практике. И кому-то придётся быть "первопроходцем".

[lubezniy]

А до 500 тыр и приостановление - это за невыполнение предписания. Но это уже тема отдельная.

[Демидова Татьяна]

Это каждый решает для себя самостоятельно. Но, если это "никому не нужно" стоит сравнительно недорого и в то же время может принести некую пользу (например, обеспечить компы средствами антивирусной защиты), то почему бы и не сделать, подкрепив оное самостоятельно написанными бумажками. Мне кажется, проще всё же написать и хранить несколько бумажек, чем периодически платить штрафы.

То есть не надо тратить 160 тысяч рублей как было написано выше?

[Свечков]

Демидова Татьяна, как я понял, для "себя" Вы ещё ничего не решили? Очень интересует как быть

[lubezniy]

То есть не надо тратить 160 тысяч рублей как было написано выше?

Сложно сказать - я не знаю точно, какая будет позиция у проверяющих органов по этой части. Но думаю, что всё же нет. Выкладки по части изложенного в статье (защита информации без лицензии на такие вещи - согласись, это уже отнюдь не 13.11 КоАП) я все здесь изложил с обоснованием, почему так думаю. А как будешь думать ты, я не знаю. Мне и самому интересно, как оно дальше будет.
А вообще интересно бы ещё услышать мнение практикующих по судам юристов, насколько можно применить такие доводы в суде.

[zaratushtra]

А я думаю, что нужно нам всем собраться (виртуально конечно) подсчитать сколько нас, изложит доводы, претензии, вопросы и написать коллективное и индивидуально от каждого письмо в адрес Правительства, Ген. Прокуратуры, Роскомнадзора и ФЭСТЭК, а то мы как в сказке "один раз месяц выходит из моря дракон и съедает 1 девушку из деревни" ждем дракона в общем.

[Свечков]

zaratushtra, что писать будем? Как нам ничего не делать и не тратить но штобы нас не трогали? Наивное предложение. Ничего утешительного Вам не ответят, лишь включат в график проверки: надо же, сам засветился и искать не надо

[Демидова Татьяна]

Демидова Татьяна, как я понял, для "себя" Вы ещё ничего не решили? Очень интересует как быть

Неа, не решили ничего. Изучаем закон с юристом, ищем лазейки, но пока глухо

[YUM]

ну вот.Взяли и придумали проблему.
Ведь неплохая была идея: дабы не продавались базы данных на граждан в каждом подземном поезде, издать Закон!
Нельзя воровать и продавать краденное.
Хорошая был идея.
Но, по дороге, к ней подключились "спецоператоры", которые "потирают руки и шьют мешки для денег, да еще и пугаю штрафами до 500 000 руб. и прекращением деятельности на срок до 90 суток"(с)
И придумали такой ЗАКОНИЩЕ!!!!
Выполнить который не возможно принципе!
Почему я так говорю? Не вставая со стула В.Любезный привел нам кучу "нестыковок".А если бы он со стула встал и посмотрел в этот 152-ФЗ вооруженным взглядом, он бы от него камня в камне не оставил!
И что имеем в сухом остатке?
Куча дармоедов, потирая ручонки готовит каналы для перегона "штрафных санкций" в офшоры.
Толпы лесорубов рванули в леса пилить новые деревья для изготовления тонн ненужной бумаги.
И только Гарант Конституции хранит величественное безмолвие. Он не в курске! Он - в Риме! Ему нет дела до разорения собственной страны проходимцами.
Обидно, Зин! (с)
PS ах, да! Меня тут критиковали за непредложение конкретных мер.
Предлагаю:
1. собрать все глюки ФЗ-152 в одном месте.
2. собрать все глюки изданных в его исполнение указявок
3. в массовом порядке обратиться к Гаранту на его Кремлин.ру с письмами, приводящими примеры этого никому не ненужного (кроме, разумеется аффилированных конторок) ФЗ
и требованием вмешаться в этот идиотизм!
Уж если у нас кривизну законодателей дорабатывать приходится напильником в ручном варианте ...

[Свечков]

Похоже, ситуация развивается по аналогии с экологией. Вроде как все должны платить, вроде как штрафы пятикратные, вроде как серъезные конторы этим занимаются, но 70% не платят. А платят лишь те, кто со времен налогового контроля за этими платежами попал на учет к экологам

[zaratushtra]

YUM ПОДДЕРЖИВАЮ!!!

[lubezniy]

А по мне таки нужна практика. Предлагаемыми мерами дела не улучшишь - скорее наоборот, учитывая "компетентность" наших законодателей. Мне кажется, что исполнить требования в большинстве случаев всё же можно - нужно только сделать всё как можно в большем соответствии с документами, а затем постараться отбить первые поползновения проверяющих - дальше уже с практикой всё пойдёт.
Но на самом деле даже полное исполнение требований закона и подзаконных актов не обеспечивает защиты персональных данных (прикрыть прикроет, но процентов на 20-30). А главной целью принятия такого закона и одним из важнейших мероприятий по обеспечению соответствия нормативке лично мне видится легализация ПО в бизнесе. И касается это не только ПО для антивирусной и технической защиты информации, а всего ПО в принципе.
У меня появились кое-какие мысли насчёт различия в принятии мер и защите, про которые я писал. Но об этом напишу позже.

[zaratushtra]

Мне кажется, что все же "компетентности" должно хватить, если подать это не так, что, мы не хотим исполнять закон потому что он дурацкий и в нем много дыр, а так что реально закон не обеспечивает защиту персональных данных, потому как опять же в реалиях информация пачками утекает не из коммерческих, а из крупных гос. учреждений обработчиков ПНД и за шоколадку, а закон работает лишь в одном направлении - обеспечение средствами защиты для избежания штрафов за невыполнение, причем разработка, продажа и внедрение этих самых средств отдана в руки монополизированных коммерческих учреждений на условиях бесконтрольного установления цен наконечный продукт.

Да светится не хочется, может просто выбрать определенное время и целевой аудиторией в определенное время из разных мест страны под вымышленными ООО (без указания ИНН и ОГРН) на правим письма, посчитать бы сколько нас.

[lubezniy]

Мне кажется, что все же "компетентности" должно хватить, если подать это не так, что, мы не хотим исполнять закон потому что он дурацкий и в нем много дыр, а так что реально закон не обеспечивает защиту персональных данных, потому как опять же в реалиях информация пачками утекает не из коммерческих, а из крупных гос. учреждений обработчиков ПНД и за шоколадку, а закон работает лишь в одном направлении - обеспечение средствами защиты для избежания штрафов за невыполнение, причем разработка, продажа и внедрение этих самых средств отдана в руки монополизированных коммерческих учреждений на условиях бесконтрольного установления цен наконечный продукт.

Да светится не хочется, может просто выбрать определенное время и целевой аудиторией в определенное время из разных мест страны под вымышленными ООО (без указания ИНН и ОГРН) на правим письма, посчитать бы сколько нас.

Не смешите мои тапочки.

1. Не дело самого закона определять, какие конкретно меры должны, а какие не должны применяться при защите данных. Есть приказы ФСТЭК, утверждающие порядок классификации систем и то, что в обязательном порядке должно быть в системе определённого класса. Написано, что должен быть антивирус - вперёд. Конечно, исполнение этого не обеспечивает стопроцентной защиты данных, но этого не обеспечит ни один документ в принципе: те, кто хочет получить данные, тоже не являются дураками. Здесь суть - не доводить до беспредела.
2. Разработка и продажа средств ведётся отнюдь не только в России. Предложений достаточно - и от наших, и от иностранцев. Никто не мешает выбрать подходящее средство по адекватной цене - лишь бы оно официально распространялось у нас.
3. Если уж жаловаться, то не следует забывать, кому. Этот самый "кому" не обязан и не будет разбираться в том, на что жалуются. Его дело - спихнуть жалобу тем, кто (по его мнению) разбирается. А это будут, скорее всего, те же, кто писал. Вопрос - ну и чего они потом понапишут?

А "шпионско-анонимные штучки" даже не хочу комментировать - несерьёзно.

[zaratushtra]

lubezniy это на меня нашло что-то, вы конечно же правы, без изменения системы ничего увы не выйдет, мы заложники.
Наконец-то я определился с подписью

[Демидова Татьяна]

Мне кажется, что исполнить требования в большинстве случаев всё же можно - нужно только сделать всё как можно в большем соответствии с документами, а затем постараться отбить первые поползновения проверяющих - дальше уже с практикой всё пойдёт.

Мы тут покумекали и поняли, что если соблюдать этот закон буквально и дословно, наши клиенты уйдут к менее щепетильным регистраторам. Потому как для простейшего действия - подготовки документов на регистрацию ООО - нужно столько бумаг составить, столько людей дернуть, и столько этих бумажек хранить, что только диву даешься.
У нас например, все бумаги сканируются и хранятся в электронном виде. А теперь мне нужно будет ввести папку "согласия" и там хранить распечатанные согласия на обработку данных. Это у меня объем документов такой будет, что мне нового офиса не хватит.
А еще мне нужно будет каждого учредителя физического лица попросить подписать это согласие. А если он иностранец, постоянно проживает за границей? Мне нужно текст согласия перевести ему на его язык и попросить прислать бумажку обратно DHL?

Ну нафик!

Я приняла решение пока не исполнять данный закон.

[zaratushtra]

Ну нафик!

Я приняла решение пока не исполнять данный закон.

Татьяна, Вы же понимаете, что помогли многим принять решение

А все же подавать уведомление будете, что Вы оператор или нет, предлагаю в теме создать опрос по этому поводу.

[Старый ворчун]

А теперь мне нужно будет ввести папку "согласия" и там хранить распечатанные согласия на обработку данных.

не забыть получить согласие согласившихся на хранение их распечатанных согласий ...

Ну нафик!

угу.

Я приняла решение пока не исполнять данный закон.

а я даже решения такого не принимал. ибо я абсолютно не в состоянии понять этот закон - "а чё надо-то?". Естественно, делать ничего не собираюсь, ибо не знаю, что им от меня надо.

(есть у меня смутное ощущение, что для исполнения этого закона нужно закрыть все школы, институты, больницы и ЖЭКи )

[FA]

Ну нафик!

Я приняла решение пока не исполнять данный закон.

Аналогично.

[Демидова Татьяна]

Татьяна, Вы же понимаете, что помогли многим принять решение

А все же подавать уведомление будете, что Вы оператор или нет, предлагаю в теме создать опрос по этому поводу.

Ребята, только давайте каждый из вас будет четко осознавать, что делает и какая ответственность грозит.

Мы с моим юристом прошерстили все виды ответственности, вплоть до уголовной, и проработали все моменты "если к нам придут" и "если обиженный физический лиц решит отомстить". И разработали план действий и методы и способы защиты. И я готова нести ответственность за нарушение (если оно будет найдено и доказано).

Имейте свою голову на плечах!

Подавать уведомление мы пока не будем.

[Демидова Татьяна]

не забыть получить согласие согласившихся на хранение их распечатанных согласий ...

В законе прямо написано что согласие на согласие не требуется