Как там в пословице? Семь раз проверь, один раз напиши? О том как крупные компании трактуют законодательство...

Буквально вчера компания InfoWatch  выложила  на ресурсе roem.ru свой анализ событий, которые недавно с ними произошли. 

При этом, в своем заявлении компания InfoWatch допустила ряд суждений, которые очень хочется прокомментировать  с точки зрения закона «О персональных данных».Сразу хочу сказать, что я ни на чьей стороне и очень всех уважаю. 

А комментировать я буду два конкретных абзаца из текста:

«Никаких «персональных данных» в данном файле Excel – нет, в частности потому, что нельзя относить к ПДн публично доступные и публично распространяемые данные (например, данные с визитных карточек). Кроме того, если какие-то личные данные контрагента используются в рамках исполнения договора, то их хранение также не подпадает под действие закона 152.

Собственно, компания InfoWatch по этим причинам и не является оператором ПДн».  

Так как во всей этой истории много неизвестных, то комментировать я буду только сами фразы.

 Проанализируем тезисы:

1.    «Никаких «персональных данных» в данном файле Excel – нет, в частности потому, что нельзя относить к ПДн публично доступные и публично распространяемые данные (например, данные с визитных карточек)».

2.    «Кроме того, если какие-то личные данные контрагента используются в рамках исполнения договора, то их хранение также не подпадает под действие закона 152».

3.    «Собственно, компания InfoWatch по этим причинам и не является оператором ПДн».

Вообще все три тезиса тесно взаимосвязаны, но начнем по порядку. Первый тезис о том, что к ПДн нельзя относить публично доступные и публично распространяемые данные не может выдержать никакой критики. В законе «О персональных данных» просто нет таких формулировок. Есть понятие ПДн – любая информация, которая прямо или косвенно относится к определенному или определяемому субъекту персональных данных. Есть формулировка в статье 6, что оператор может обрабатывать данные субъекта, если он сделал их общедоступными. Ни в одной статье закона не говорится о том, что публичные данных  - это не персональные данные. Ни в одной статье законе даже не говорится, что общедоступные данные не нужно защищать. Даже нет формулировки, что закон не распространяется на обработку публичных или общедоступных данных. Наоборот 1119 Постановление Правительства даже определяет организационные и технические меры обеспечения безопасности для информационных систем, содержащих общедоступные сведения о человеке.

Обработка общедоступных данных не имеет специфики по отношению к другим данным. Это такая же обработка, которую необходимо осуществлять в соответствии с требованиями закона.  

Второе утверждение о данных контрагента также ничем обосновать не возможно. В законе «О персональных данных» в статье 1 содержится перечень случаев обработки ПДн, на которые не распространяется действие закона. Про данные контрагента, используемые в рамках исполнения договора нет ничего. Кроме того, насколько я понимаю, речь идет не о контрагенте как физическом лице, а о представителях компании контрагента – о директоре или контактном лице. Это такие же субъекты и их данные также необходимо обрабатывать в соответствии с законом.

Почему-то в данном предложении говорится о хранении. Хранение данных, это тоже действие по их обработке. Это прямо указано в статье 3 ФЗ «О персональных данных».

И самое главное – третье убеждение. Почему самое главное? Потому что, мне кажется, что именно в нем содержится корень ошибок специалистов компании InfoWatch, которые готовили соответствующее заявление. Компания считает, что из-за того, что она обрабатывает «публичные» сведения и личные данные контрагентов – она не оператор персональных данных. Напомню, что оператор это юридическое или физическое лицо, которое организует и осуществляет обработку персональных данных, определяет цели такой обработки, состав ПДн и действия. Разве нельзя применить данный термин к компании, чьи работники обрабатывают данные контрагентов и потенциальных клиентов? Очень даже можно.

Из заявления компании InfoWatch можно сделать вывод, что специалисты данной компании ошибочно трактуют статью 22 закона «О персональных данных». Да, в ней сказано, что оператор персональных данных вправе осуществлять обработку без уведомления РКН персональных данных :

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

Из этих пунктов видно, на что ссылались специалисты компании InfoWatch в своих доводах. НО!!!! В этой статье сказано, что вы лишь можете не подавать Уведомление, если у вас такие данные, и ничего не говорится о том, что вы не оператор!!!! Больше и добавить нечего.

Это лишь то, что лежит на поверхности и более подробно я разобрать не могу, потому что все зависит от многих факторов, достоверность которых мне не известна.

Я искренне уважаю компанию InfoWatch и ни в коем случае не хотел никого обидеть.   Желаю им удачно разрулить всю эту историю с утечкой.