Автор: malotavr | 87022 | 11.02.2018 20:50 |
З.Ы. Oko, я перечитал весь топик и понял, что вас смутило.
Еще раз: вы понимаете слова "доступ" и "ограничен" как технарь. А надо, раз речь идет о законе, руководствоваться тем смыслом, который в них вкладывает закон. Для примера, вымышленная гипотетическая ситуация. Не надо говорить, что она не соответствует закону об ЭП, это просто пример, иллюстрирующий понятия "доступ" и "ограничен". Допустим, согласно регламенту УЦ: 1. Все выпущенные сертификаты размещаются на сайте УЦ и могут быть просмотрены любым человеком без предварительной регистрации. 2. УЦ рассматривает совокупность выпущенных сертификатов как базу данных в терминах части 4 ГК РФ и разрешает использовать эту базу данных только для проверки электронных подписей. 3. Отозванные сертификаты с сайта удаляются, но УЦ обязуется предоставить их любому лицу по письменному запросу в течение N рабочих дней.. 4. Вопрос, на фига человеку могут понадобиться отозванные сертификаты и как их разрешается использовать, в регламенте не рассматривается. Доступ, по определению ФЗ-149, это "возможность получения информации и ее использования". Сведения, содержащиеся в действующих сертификатах, могут быть получены любым лицом (они вывешены на сайте и любое лицо может их прочитать). Возможность получения сведений, включенных в действующие сертификаты, есть, и она не ограничена. Использовать эти сведения можно только с определенной целью. Использование их для других целей - уголовное преступление, нарушение авторских прав составителя базы данных (специально привел абсурдное ограничение, чтобы показать, что оно может быть не связано с "персональностью" данных).. Т.е. возможность использования есть, но она ограничена авторским правом УЦ на базу данных Таким образом с точки зрения технаря действующие сертификаты общедоступны. На самом деле, с точки зрения закона доступ к действующим сертификатам ограничен, так как возможность использования содержащихся в них сведений ограничена интеллектуальным правом УЦ. Соответственно, база действующих сертификатов с точки зрения закона не является общедоступным источником данных. С точки зрения технаря доступ к отозванным сертификатам ограничен. Тем не менее, любое лицо может обратиться в УЦ с запросом, и на этот запрос тот обязан дать ответ. Соответственно, возможность получить отозванный сертификат есть у любого лица, и с точки зрения права эта возможность не ограничена. Регламент не запрещает лицу, получившему сертификат, использовать его любым способом, который придет ему в голову. Соответственно, возможность использовать есть у любого лица, и эта возможность не ограничена. Таким образом, с точки зрения права доступ к отозванным сертификатам не ограничен и они общедоступны. Затруднения, которые ограничивают способы и сроки получения информации, с точки зрения права ограничением не являются. Вот как-то так :) |
Автор: oko | 87042 | 12.02.2018 00:05 |
to malotavr
Спасибо за ликбез (без шуток). Родилась куча примеров "правовых vs технических" коллапсов и парадоксов. Жить стало еще веселее... to all И все же, применительно к данному топику форума, хотелось бы разобраться окончательно. Мы уже выяснили, что данные в ЭП выставлены на доступ теоретически неограниченному кругу лиц (особенно по спискам отозванных сертификатов из примера тов. malotavr, ага). При неограниченному круге лиц по 152-ФЗ есть только одна категория ПДн - общедоступные ПДн (пусть они и не равны понятию "обнародованные" ПДн, ага). По тому же пункту ФЗ-152 оные ПДн получают от владельца ПДн только по его письменному согласию. Внимание, вопрос, уважаемые знатоки: приведите пример хотя бы одного УЦ, в котором, при выдаче вам ЭП, с вас получают согласие на обработку именно "общедоступных ПДн"? Т.е. на перевод ваших ПДн, внесенных в ЭП, в категорию "общедоступные". Про конфиденциальность речь не идет - во многих ИСПДн совокупность "ФИО + паспорт + ИНН + СНИЛС + т.п." уже попадает под категорию "иные ПДн", которые соблюдения конфиденциальности уже требуют... *в сторону* Или у нас опять ситуация в стиле "каждый др*ит как хочет пока не взяли за это самое место"? Отсюда и парадокс "галочки согласия с обработкой ПДн" на всех сайтах сплошь и рядом? |
Автор: oko | 87062 | 12.02.2018 13:36 |
to Константин
Спасибо, забавно... Хотя из приведенных ссылок нормальное указание в Заявлении, что отныне ПДн становятся "общедоступными" увидел только у Росатома. Впрочем, читал только pdf-документы (текстовых редакторов DOC/DOCX не имею под рукой) - мог упустить у других... Инфотекс доставил - у них вообще в Приложении образца Заявления нет. Т.е. мы в Регламенте определили, что ПДн становятся общедоступными, но вам об этом знать не обязательно (что, в целом, законодательство нарушает). Хотя хз, возможно у них Заявление отдельно от Регламента выдается пользователю... А Тензор вообще убил: <Я ознакомлен с тем, что Согласие на обработку ПДн... не может быть отозвано до принятия решения о прекращении пользования услугами...>. Вроде как ФЗ-152 сослагательного наклонения не имеет, т.е. письменный отзыв владельца ПДн должен быть удовлетворен вне зависимости от проблем Оператора. И опять-таки, про общедоступность ни слова. Ну да черт с ним, с Тензором... *в сторону* Тем не менее, остаюсь при своем imho: приравнивать "реквизит электронного документа" (читай, ЭП) к полноценным ПДн в наших реалиях сложности защиты ИСПДн (как минимум вреда русскому лесу, ага) - бессмысленное и беспощадное занятие... |
Автор: Константин | 87064 | 12.02.2018 14:18 |
2 oko
не за что Про общедоступные у Тензора! я же не зря вам кидал! пункт 8.1.4 |
Автор: oko | 87066 | 12.02.2018 15:44 |
to Константин
Понял, не доглядел. Но суть та же - в Заявке надо бы уведомлять об "общедоступности", а не в недрах Регламента... |
Автор: nekto | 87111 | 13.02.2018 13:17 |
всем:
Понятие ИСПДн вводится в 152-ФЗ. Определение следующее: информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Я это понимаю так: ИСПДн это БД содержащая ПДн + ТС и технологии обработки... Если чего-то нет, то это не ИСПДн Например: БД сама по себе (грубо, файл на диске) это не ИСПДн АРМ, без БД - это тоже не ИСПДн Сведения (ПДн) относящиеся к одному субъекту, ИМХО, это не БД... Обобщая это получим - АРМ из первого поста не ИСПДн, потому что нет БД. |
Автор: ustav | 87145 | 13.02.2018 17:33 |
"БД сама по себе (грубо, файл на диске) это не ИСПДн" (с)
Гы! Базы МГТС/ГИБДД - видимо, тоже хрень собачья. Особенно на HDD/DVD (с Митинского радиорынка). Приходит к нам такой РКН с проверочкой, а мы - опа! Все накопители из системников повыдергивали! ;) Или еще круче - заявляем, что наши БД - это всего лишь набор файлов на диске. ЗЫ: а про "читалку" этой БД вы не забыли? Лексикон, установленный на ПК - не есть ли информационные технологии + технические средства? А сам диск с БД - не техническое ли средство (а формат файла и способ записи - информационные технологии)? ЗЗЫ: наше дело - "подложить соломку" в виде официальных ответов регуляторов. А мнение тов. nekto к делу не подошьешь. Удачки. |
Автор: oko | 87146 | 13.02.2018 17:42 |
to nekto
Не хочу прослыть буквоедом, но вроде бы с первым постом в части ИСПДн все однозначно: ТС есть? Есть (<...обычная пустая система...>) БД есть? Есть (ключевая информация ЭП) Технология есть? Есть (соответствующая технология использования ЭП) Другой вопрос - и тут как раз можно поиграть с юридическими тонкостями - что на этих ТС, фактически, обработка ПДн не ведется. ЭП распознается и "применяется" в удаленной ИС, а в локальной она только вводится (посредством ресурсов оных ТС) и хранится (посредством памяти носителя ЭП). Считать ли взаимодействия того же КриптоПро с сертификатами/ключами ЭП "обработкой ПДн" - в этом главная проблема (и идиотизм, ага)... |
Автор: Alex_kl | 87201 | 14.02.2018 08:34 |
oko
А ввод и хранение это разве не составляющие обработки? |
Автор: nekto | 87222 | 14.02.2018 16:24 |
Перечитал ещё раз первый пост:
"Является ли информационная система ИСПДн, если в ней нет персональных данных кроме тех, что в составе сертификата ЭП. Т.е. обычная пустая система, в которой надо пользоваться ЭП." Я понял, что на АРМ имеется один, единственный сертификат ЭП... если кто-то понял иначе, то и спорить не о чем... Если предположить, что имелся ввиду такой вариант - АРМ с единственным сертификатом ЭП - вы считаете, что это тоже ИСПДн? |
Просмотров темы: 9585