Автор: RoyalSaleGold 
Еще раз пишу,что для того что бы использовать ПД нужно согласие выгодоприобретателя.
Согласие на дальнейшую обработку и внесение сведений в ЕСИА еще 1 соглашение.
RoyalSaleGold, а как бы вы сформулировали текст такого согласия, если не определены третьи лица (конкретные) и отсутствуют основания для передачи конкретных ПДн (которые сейчас нигде законодательно не определены) в целях передачи сведений для регистрации (кем?) в ЕСИА.
Тут вот какая ситуация:
Согласие сейчас берется в связи с тем, что сведения внесенные в СКП
должны быть общедоступными согласно закону(в т.ч. согласно ч. 3 ст. 15 63-ФЗ)
УЦ должны вести реестры квалифицированных сертификатов, в которые вносятся, в соответствии с приказом МКС № 250, в том числе следующие сведения
Цитата:7. Раздел "квалифицированные сертификаты ключей проверки электронной подписи, выданные физическим лицам" должен содержать следующие обязательные поля:
1) уникальный номер квалифицированного сертификата;
2) даты начала и окончания действия квалифицированного сертификата;
3) фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата;
4) реквизиты основного документа, удостоверяющего личность владельца квалифицированного сертификата (номер, серия, дата выдачи);
5) страховой номер индивидуального лицевого счета владельца квалифицированного сертификата;[/b]
6) сведения о наименованиях, номерах и датах выдачи документов, подтверждающих полномочия владельца квалифицированного сертификата действовать по поручению третьих лиц, если информация о таких полномочиях владельца квалифицированного сертификата включена в квалифицированный сертификат;
7) ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются);
8) иная информация о владельце квалифицированного сертификата (по требованию заявителя).
Сведения являются ПДн, но законодатель установил, что реестр сертификатов должен быть общедоступен
Цитата:19. Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к реестру квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.
В связи с вышеизложенным, согласие на обработку ПДн уже сейчас должно содержать условия общедоступности ПДн, в т.ч. в отношении тех сведений, которые не вносятся в СКП (например, номер, серия, дата выдачи паспорта).
Далее, возврящаясь к вопросу о передаче сведений в ЕСИА в объеме, необходимом...
Надо сравнивать и анализировать что ещё дополнительно требует законодатель, кроме тех ПДн, которые уже собираются. Сервис для передачи сведений не нашел, но есть тестовый сервис для регистрации пользователя в ЕСИА
Согласно
новости МКС, которая опубликована в разделе "События/
Официальное заявление" и далее по ссылке переходим на
страницу тестового сервиса "Электронный сервис регистрации пользователей Единой системы идентификации и аутентификации", который верятно не сильно будет отличаться от продуктива (возможно этот сервис совсем не для УЦ).
В сервисе для операции Register (Зарегистрировать подтверждённую учётную запись в ЕСИА)видим, что есть ещё дополнительные сведения, являющиеся ПДн, и которые ранее не упоминались ни в 63-ФЗ, ни 250 приказе МКС
Цитата:Адрес электронной почты пользователя
Номер мобильного телефона пользователя
Пол пользователя
Дата рождения пользователя
Пароль для первого входа пользователя
Пароль - конфиденциальные сведения.
Так ли обязательны для регистрации в ЕСИА эти доп. сведения, кроме тех, которые уже предоставлены пользователем в УЦ? Не превысит ли УЦ полномочия, если будет собирать, обрабатывать и передавать эти сведения третьим лицам?
Нигде в НПА не описано, какие сведения из сведений для операции Register являются обязательными, а какие нет. Более того, отсутствует НПА, в соответствии с котором УЦ вправе обрабатывать такие ПДн и передавать их третьим лицам.
С связи с тем, что 63-ФЗ установлено, что УЦ направляет сведения в ЕСИА в объеме необходимом... - законодатель должен определиться с объемом сведений необходимым и достаточным для регистрации в ЕСИА, ибо есть ст. 5 152-ФЗ, которой установлено, что
Цитата:2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Вместе с тем, цели (выдача ЭП) и цели (направление сведений и регистрация в ЕСИА) - разные.
Кроме того, что согласие должно соответствовать части 4 ст. 9 152-ФЗ, п. ч. 7 указанной статьи установлено, что субъект ПДн имеет право на "получение сведений о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона"
В связи с чем, считаю, что надо и заявление на регистрацию в ЕСИА отдельно брать, и согласие, которое будет включать пункт о передаче конкретных ПДн третьим лицам (определенным).
Но, по моему мнению, сейчас УЦ самостоятельно будет затруднительно сформулировать форрму такого заявления и согласия, т.к. цели обработки ПДн иные, перечень ПДн не определен, не определены третьи лица, котоым передаются ПДн, не определен круг лиц, которые могут иметь доступ к переданным ПДн (в ЕСИА)
Цитата:Скорее всего до июля чего-нибудь понапишут - тогда и делать, а пока ...
Неизвестно кто будет издавать НПА, регулирующие порядок передачи сведений и регистрации в ЕСИА. МКС по 63-ФЗ не уполномочено, документы размещенные на техпортале СМЭВ не являются НПА (если не зарегистрированы в Минюсте). Видимо ждать поправки к 63-ФЗ и затем соответствующие НПА.
Отредактировано пользователем 7 апреля 2015 г. 10:38:03(UTC)
| Причина: Не указана
