Комментарии 27
За толковой информацией прошу обратиться к вебинару и презентации Алексея Мунтяна
Вот чего я не могу понять. Адресная книга большого предприятия, реализованная на Интранет-портале (или в exchange) организации (ФИО, должность, внутренний тел.) — судя по определению из статьи содержит ПД. И что, теперь поубирать все адресные книги? Или как с ПД сотрудников работать правильно?
Или как с ПД сотрудников работать правильно?
<sarcazm_mode> Поставить каждому сотруднику КриптоПРО за 4к рублей, как-то заставить работать exchange с ГОСТ шифрованием, делов-то…
А никнейм является ПД? По нему ведь можно идентифицировать человека. Да, не у всех уникальные никнеймы — но ведь и ФИО зачастую совпадает, а при этом является ПД
Является ли IP-адрес ПД (например когда система запоминает адреса последнего входа)? А если он белый статический?
Является ли "адрес домашней странички" ПД? Если укажут ссылку на профиль в соцсетях, то человека можно идентифицировать (наверное), если укажут личный домен — опять же можно сделать whois
IMHO (и далее по тексту), сам никнэйм нет. А вот в сочетании, например, с email уже да.
Сам IP без его связи с другими данными нет. Если статика и инфо о реальном владельце есть в Whois то да, но в данном случае это вопрос не ваш, а того, кто эти данные там опубликовал.
То есть в принципе абсолютно любая регистрация на любом сайте (ведь email + nickname это классическая минимальная связка) по идее попадает под закон о ПД?
Я считаю что да. Но я бы выслушал мнение профессионалов.
Согласие через «галочку» при сборе ПДн через сайт обязательно (в случаях, предусмотренных законодательством). Но достаточность конкретной процедуры получения согласия субъекта ПДн через сайт будет определятся сотрудником ПДн субъективно. Так же как и проверка подлинности этого согласия (идентификация оператором субъекта). При этом, сотрудник РКН будет субъективно определять моменты: надо ли ему запрашивать подтверждение наличия у оператора процедуры идентификации субъекта при получении согласия и соответствие используемых методов (контрольный звонок, смс, email и т.д.) требованиям законодательства. Как он решит, так и будет в протоколе отражено. РКН рекомендовал приглашать субъекта с паспортом или использовать ГИС по идентификации/биометрической идентификации.
отсюда
У любого оператора есть операции по работе с внешними обращениями (входящая почта). Поскольку корреспондент может в своих письмах оператору написать любую информацию о себе, своих родственниках или третьих лицах (медицинскую информацию, судимости, биометрическую и т.д.), то оператор ПДн начинает обработку всех этих категорий ПДн, просто по факту регистрации и хранению входящих обращений в системе документооборота. И не важно, что оператору эти данные вообще не нужны. Мало того, что непонятно что же делать оператору с получением согласий на обработку таких категорий ПДн, так еще РКН требует вносить изменения в реестр, если ранее эти категории ПДн не были заявлены оператором. Проблемы оператора, у которого система ЭДО превращается в ИСПДн высокого уровня защищенности, РКН не волнуют. РКН признает остроту проблемы, но ничего предпринимать не собирается. Очень удобный способ сделать серьезную пакость любой организации: сначала пишешь письмо, содержащее специальные и биометрические категории ПДн, а потом заявление в РКН. А уж какой простор для политической, расовой и прочей дискриминирующей информации.
Все четко по закону. Данные обрабатываются (получены же!) значит нужно защищать в соответствии с требованиями!
Да, это попадалово. Хотя, можно этот случай оговорить в соглашении.
Плюс момент доказательства того, что эти данные были переданы, получены и обработаны.
Ничего не мешает такие данные удалять "под протокол". И не хранить и не обрабатывать.
2. определиться с перечнем обрабатываемых ПД
3. зарегистрироваться в РКН
4. взять с сотрудников «невозражайку»
ну и внутренний телефон — это не ПД, это собственность организации
Как обрабатывать ПД в РФ и не нарушать закон