База данных

[Anacharsis]

Друзья,

прошу помочь разобраться с вопросом:

Казахстанскую компанию покупает иностранная компания. Казахстанская компания имеет базу данных на своих клиентов, которым периодически рассылает СМС сообщения, мол приходите, у нас скидки и т.д (согласия от клиентов на получение данных смс не получалось в свое время).

Теперь получается, появилась необходимость предоставить иностранному покупателю эту базу данных клиентов.

Кто-нибудь уже это осуществлял? может есть какие-то интересные моменты, с которыми встречались в своей практике? что стоит учитывать?

 

Заранее благодарен.

[Лоскутов Игорь Юрьевич]

Закон о защите персональных данных надо учитывать.

[F@HbKA]

при рассылке используют левые одноразовые, чаще не казахстанские, номера-поэтому отследить очень сложно и практически нереально

[Anacharsis]

Закон о защите персональных данных надо учитывать.

Спасибо за отклик.

Да по сути смотрел, смотрел эту 16 статью про трансграничные передачи, но так и не уловил истину, что понимать под "обеспечением этими государствами защиты персональных данных". Проходил по ссылке в параграфе на эту страсбургскую конвенцию и подумал, что страны, ратифицировали эту конвенцию и есть те страны, которые способны обеспечить безопасность защиты персональных данных. Но прямой связи кроме этой ссылки как-то не нашел, даже не уверен, разделят ли мою позицию гос органы.

Можно попросить Вас направить меня?

Если страна, куда передаются персональные данные не присоединилась к этой конвенции, согласия не получались у субъектов (остальные обстоятельства и не учитываю, не подходят), то получается передавать нельзя?

И как вообще определяется передача на территорию другого государства? ладно понимаю, если эти самые данные - это какая-то папочка с листочками бумаги, а если это электронная база? по месту сервера компании, которой передаю эти данные или как?

 

Пока писал надумал еще сложность, если собирать данные, чтобы потом по ним рассылать инф-ю, то выходит, что передать я кому-либо ее не могу, потому что это не будет соответствовать цели сбора и придется перезапрашивать согласие субъектов (п.2 ст. 15 закона)?

при рассылке используют левые одноразовые, чаще не казахстанские, номера-поэтому отследить очень сложно и практически нереально

Ок, спасибо! Вопрос использования ПД это важно, но мне кажется тут скорее вопрос распространения.

[Лоскутов Игорь Юрьевич]

Смутно и туманно все с этим законом, толковых официальных разъяснений не было.

Поэтому рекомендация одна- не светить эту передачу базы госорганам и т.п., чтоб не попасть под раздачу :)

[Anacharsis]

Смутно и туманно все с этим законом, толковых официальных разъяснений не было.

Поэтому рекомендация одна- не светить эту передачу базы госорганам и т.п., чтоб не попасть под раздачу :)

Ясно, спасибо за совет.

[Anacharsis]

Смутно и туманно все с этим законом, толковых официальных разъяснений не было.

Поэтому рекомендация одна- не светить эту передачу базы госорганам и т.п., чтоб не попасть под раздачу :)

Игорь Юрьевич,

Был бы признателен услышать Ваше мнение по следующему вопросу:

Согласно Закону о ПД, третьим лицом принято считать "лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных".

Как думаете, в ситуации, когда, например, официальный дистрибьютор (собственник персональных данных) иностранной компании, продавая продукт, берет на себя гарантийные обязательства и соответствующие гарантийные обязательства возникают и у этой иностранной компании, которая производит данный продукт, можно ли считать данную иностранную компанию третьим лицом??

Или третьим лицом можно считать только лиц, которые непосредственно осуществляют сбор и обработку персональных данных (например, ребят, которые собирают информацию, какие-то анкеты помогают заполнять субъектам и т.д.)

[Лоскутов Игорь Юрьевич]

Гарантийные обязательства в отношении чего?

[Общество мечты]

Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан. (ст. 12 Закона «О персональных данных и их защите»)

Помогите определится с понятием "база".

В Законе об информатизации не могу разобраться какой-же из терминов подпадает под определение базы - информационная система, электронный информационный ресурс, аппаратно-программный комплекс или программное обеспечение? Возможны другие варианты?

[Лоскутов Игорь Юрьевич]

Если с позиций этого закона, то конечно- электронный информационный ресурс.
А вообще - Закон Республики Казахстан от 10 июня 1996 года № 6-I «Об авторском праве и смежных правах» (с изменениями и дополнениями по состоянию на 24.11.2015 г.)
9) база данных - совокупность данных (статей, расчетов, фактов и других), представляющих по подбору и (или) расположению материалов результат творческого труда, систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью электронно-вычислительной машины (далее - ЭВМ). Понятие базы данных не распространяется на программу для ЭВМ, с помощью которой может осуществляться электронный доступ к материалам базы данных

[Общество мечты]

Мне кажется Закон о авторском праве к отношениям о базе персональных данных не применим, ошибаюсь? 

 

 

Изменено 13 Апреля 2016 пользователем Общество мечты

[KTNJ]

2 часа назад, Общество мечты сказал(а):

Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан. (ст. 12 Закона «О персональных данных и их защите»)

Помогите определится с понятием "база".

В Законе об информатизации не могу разобраться какой-же из терминов подпадает под определение базы - информационная система, электронный информационный ресурс, аппаратно-программный комплекс или программное обеспечение? Возможны другие варианты?

Я по образованию и сфере деятельности айтишник, могу прокомментировать с точки зрения ИТ. Считаю что базу данных  можно назвать электронным информационным ресурсом.

Пример: берём совершенно обычный компьютер, устанавливаем на него программное обеспечение, а именно операционную систему (например windows), систему управления базами данных (например MSSQL). С технической точки зрения набор этих компонентов можно назвать информационной системой или аппаратно-програмным комплексом, и то и другое будет правильным. В этой информационной системе или  аппаратно-програмном комплексе и создаётся логическая сущность или информационный ресурс , называемый базой данных, причём баз может быть несколько.

[Лоскутов Игорь Юрьевич]

3 часа назад, Общество мечты сказал(а):

Мне кажется Закон о авторском праве к отношениям о базе персональных данных не применим, ошибаюсь? 

 

 

Ну примените СТ РК 34.005-2002 «Информационная технология. Основные термины и определения» и СТ РК 34.006-2002 Информационная технология. Базы данных. Основные термины и определения - раз уклон в сторону информатизации нужен :)

[Общество мечты]

Игорь Юрьевич,  мне нужен правильный уклон :) 

Если законодатель в императивном порядке устанавливает место хранения персональных данных - база в РК тогда, что в контексте данной нормы может являться базой?  Например, данные, выгруженные  в таблицу eхcel и хранящиеся на съемном диске на территории РК,  Такая таблица может являться базой, хранящейся в РК или же базой является то, откуда идет выгрузка.

И еще вопрос к KTNG, если персональные данные  допустим собираются через условное рабочее место (типа окошка оформления заявки), а далее  разносятся в разные информационные системы, где информация уже обрабатывается (к примеры, склад, логистика, бухгалтерия), как быть с определением базы/информационного ресурса, в контексте необходимости ее хранения на территории РК?

В общем, просите ищу консультанта, хочу подробно разобраться в ситуации :) 

[Лоскутов Игорь Юрьевич]

Если исходные данные преобразуются в базу только здесь, а там они являются неупорядоченной совокупностью- вывод понятен. Если они там представлены в виде базы - то параллельное хранение там и тут, уполномоченный орган все равно считает допустимым.

[Общество мечты]

Означает ли это, что в моем случае нужно будет здесь хранить базу в том же виде, в каком и там (то бишь в преобразованном)? И вариант с выгрузкой данных из всех систем не подходит?

[Лоскутов Игорь Юрьевич]

Скорей да. Ответ наверное зависит от того, насколько это будет очевидным для проверяющих, а для проверки этого, задайте например вопрос на блоге МИРа.

[KTNJ]

В 13.04.2016 at 15:21, Общество мечты сказал(а):

Игорь Юрьевич,  мне нужен правильный уклон :) 

Если законодатель в императивном порядке устанавливает место хранения персональных данных - база в РК тогда, что в контексте данной нормы может являться базой?  Например, данные, выгруженные  в таблицу eхcel и хранящиеся на съемном диске на территории РК,  Такая таблица может являться базой, хранящейся в РК или же базой является то, откуда идет выгрузка.

И еще вопрос к KTNG, если персональные данные  допустим собираются через условное рабочее место (типа окошка оформления заявки), а далее  разносятся в разные информационные системы, где информация уже обрабатывается (к примеры, склад, логистика, бухгалтерия), как быть с определением базы/информационного ресурса, в контексте необходимости ее хранения на территории РК?

В общем, просите ищу консультанта, хочу подробно разобраться в ситуации :) 

С технической точки зрения данные в таблице exel тоже являются базой данных, и сервер баз данных - всё можно назвать базой данных.

В контексте хранения на территории РК означает, что сервер баз данных, то есть информационная система или программно аппаратный комплекс, должны находиться на территории РК. Рабочее место оператора может находиться и вне территории. Пример посольство: операторы находятся вне территории РК, при этом через интернет подключаются к серверам, на территории РК.