Комментарии 116
Оставить правоприменения на совесть "духа закона" — отличный способ навести беспредел (особенно в НЕ прецедентном праве).
И что-то вы намешали законы об охране изображения и ПД…
С одной стороны ГК говорит, что в общественных местах снимать можно, а законы про ПД противоречат этому?
Это очередной пример того, как у нас "умеют" писать законы так, чтобы они противоречили не менее, чем N широкоищвестным существующим?
С одной стороны ГК говорит, что в общественных местах снимать можно, а законы про ПД противоречат этому?Cнимать можно. Есть не мало случаев, когда можно обрабатывать ПД без отдельного на то соглашения. НЕ надо воспринимать ПД как табу.
Согласие на съемку не требуется в следующих случаях (ст. 152.1 Гражданского кодекса РФ):
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.
Классическим примером служит та же запись или видео трансляция судебного заседания: согласие гражданина на обнародование и дальнейшее использование его изображения в таком случае не требуется.
Тогда начнется чехарда. Если человек сменит имя, то этот набор может стать ПДн, а может и не стать.
Например, если два мальчика близнеца, родившиеся в один день, имеющие, соответственно, одинаковые имя и фамилию, вдруг решат еще и сменить в паспорте имя на одинаковое, то идентифицировать их будет крайне сложно не только имея в наличии их персональные данные, но и даже чисто физически — то есть визуально, в том числе с использованием биометрических средств.
Именно поэтому набор «ФИО + дата рождения + пол» традиционно относят к ПДн, о чем сложилась достаточно обширная судебная практика.
в том числе с использованием биометрических средств.отпечатки как минимум разные.
Даже если вы будете настоящие данные приводить к виду заведомо некорректных (типа если год рождения начинается с 19, то менять эти цифры на 25) — то такая «обфускация» вас от обязательств по хранению не освободит.
Конкретнее, наверное, не получится, т.к. непонятно, что за «сеть» в вопросе упомянута и какая модель угроз принята в качестве актуальной.
Перехваченный трафик превращается в траффик!
Хочу понять, с какой стороны баррикады Вы находитесь. :)
Конкретика по мерам защиты (в т.ч. техническим) лежит в приказе ФСБ России от 10.07.2014 № 378 и постановлении Правительства РФ от 01.11.2012 № 1119.
Для государственных ИСПДн могут быть дополняющие нормативные документы, но на работе мне немного неудобно нормативку шелестить. Через пару часов доберусь до дома и попробую изобразить внятный ответ.
Очень уверен в себе или хочет быть самым прозрачным на свете — может и опубликовать, почему нет?
Но по законодательству нет такой обязанности.
Пункт 13 Постановления №1119
Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: …
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ ФСТЭК №21, Постановление Правительства №1119, Приказ № 378 ФСБ — устанавливают требование о необходимости оценки соответствия.
Пункт 4 Приказа №21
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Если для передачи данных используются сети связи общего пользования, которые находятся вне защищаемой зоны, т.е. не возможно применять организационные меры по защите информации и должны быть применены технические меры защиты информации, прошедшие установленную процедуру оценки соответствия.
— если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
— если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
К случаям, когда угрозы могут быть нейтрализованы только с помощью
СКЗИ, относятся:
— передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
— хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Метод. рекомендации ФСБ от 31 марта 2015 года № 149/7/2/6-432
Вопрос, скорее, в необходимости сертификации СКЗИ. Требование закрыть, например, канал через https понятно, но вызывает вопросы требование использовать для этого только сертифицированное ФСБ и кем там ещё ПО. Даже не алгоритмы, а именно ПО.
Просто в случае с ПДн Вы их реализовываете уже не так, как сами считаете нужным, а в соответствии с определёнными требованиями законодательства.
Думаю, что если круг возможных пользователей ограничен и состоит из лояльных вам субъектов ("… для десятка друзей"), то регистрироваться оператором ИСПДн смысла нет.
Вот если речь об интернет-сайте (потенциально неограниченный круг пользователей), то есть смысл сопоставить риски (вероятность жалобы в РКН * возможное количество жалоб * величину возможных штрафных санкций) и затраты на реализацию комплекса мер для приведения ИС в соответствие нормативным требованиям. И тогда уже принимать решение.
Другой вопрос, если вместе с email обрабатываются еще какие-то сведения, которые позволят идентифицировать человека, например, загружаются фотки, Ф.И.О., дата рождения из фейсбука или подтягиваются какие-то платежные данные. Вот тут уже точно нужно думать о защите. Тем более были инциденты, например с Sony, когда утекли данные пользователей Playstation Network.
Недавно было реализовано прижизненное переписывание генетической последовательности в каждой отдельной клетке с помощью метода CRISPR (Clustered Regularly Interspaced Short Palindromic Repeats). В настоящее время технология CRISPR исследуется на предмет лечения генетических заболеваний как в пре-натальной фазе (на стадии эмбрионального внутриплацентарного развития), так и в пост-натальной фазе, т.е. у взрослых организмов, и людей, в том числе (и в первую очередь). Это означает, по крайней мере, в теории, что она сможет позволить изменять регистрируемый ДНК код индивида, обходя систему генной дактилоскопии.
Если я делаю сайт чисто как разработчик, не важно по подряду или как служебное задание, и там нет требования обеспечить обработку ПДн в соответствии с конкретным законом-приказом-инструкцией, то разработка будет вестись исходя из предположения, что организационные и технические мероприятия по обеспечению законности сбора, обработки, хранения и т. п. персональных данных обеспечиваются не мной. Может уточню у заказчика, понимает ли он что такие мероприятия скорее всего нужны, если он собирается результаты моей работы запускать для реальной работы. Но этак так, бесплатный добрый совет.
Поверьте, он не будет спрашивать что Вы думали и что должен был делать кто-то другой. Вопрос будет конкретно звучать так: «Почему Вы нарушили требования пункта такого то документа такого то.» Если Вы штатный работник ответ прост — начальник приказал. А вот если Вы работаете по подряду, то вопрос законности обработки персональных данных строго на Вас. Включая сакраментальное — почему Вы взялись за обработку персональных данных без какой-либо лицензии.
Может возникнуть вопрос: а почему это не считать одной системой просто? Определение ИС достаточно широкое.
ИС назвать-то можно, но вот её оператором будет не владелец, грубо говоря, серверов, а конечный пользователь. Владелец серверов предоставляет несколько независимых сервисов (можно вообще на разных юрлиц раскидать хранение ФИО, дат рождения и т. п.) и ПО для интеграции этих, а так же совсем сторонних, типа OAuth провайдеров, всяких сервисов Гугла, Амазон и т. п. в единую ИС.
Но запускает, разворачивает это интеграционное ПО пользователь.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
ст. 5, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 01.07.2017) «О персональных данных» {КонсультантПлюс}
Ну тут расчёт на то, что нет баз, содержащих персональные данные. Только объединение и даёт персональные данные, а оно осуществляется у клиента.
Существенное внимание тонкостям квалификации изображений в качестве персональных данных уделил Роскомнадзор в своих разъяснениях
Только вот есть проблемки:
Проблема раз — РКН в своем научно-практическом комментарии почему-то изменял точку зрения в вопросе квалификации изображений;
Проблема два — РКН не может трактовать законодательство и их разъяснения не имеют юридической силы.
Разъяснения и комментарии — конечно, хорошо, но ввиду такого непостоянства РКН, понимания не прибавляется после таких «разъяснений». Где гарантия, что завтра регулятор не изменит свою точку зрения?
если нам приходится гадать на кофейной гуще, то это ничерта не закон (не ясно что надо защищать и для чего)
соблюдая и продвигая эту кофейную гущу и передавая возможность гадать на ней в роскомнадзор вы лишь ухудшаете наше и без того плачевное положение
Решение — сменить платформу.
Что если сайт не просит персональные данные (например, собирает анонимные отзывы) и не применяет необходимые меры при обращении с ПД (например, не хранит в РФ), но некоторые пользователи всё равно отправляют свои персональные данные? Является ли это нарушением закона со стороны владельца сайта?
Если нет, то для владельца сайта есть способ не попасть под требования закона о ПД: над каждой формой на сайте добавить текст «не указывайте персональные данные гражданина РФ». Пользователи будут отказываться от заполнения формы так же часто, как читают политику конфиденциальности.
Поэтому было бы очень правильным в каждой такой статье обязательно писать: Внимание!
Мнение автора статьи может не совпадать (и часто не совпадает) с официальной позицией контролирующих органов.
TL;DR: Много воды, в итоге: «Мы сами не знаем. Понимайте как хотите.»
В настоящее время наибольшую дискуссию вызывает понятие персональных данных. В связи с этим Роскомнадзором в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных было предложено создать рабочую группу по определению матрицы персональных данных.
В соответствии с п. 1 комментируемой статьи персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Данное определение практически идентично определению, установленному пп. «а» ст. 2 Конвенции 1981 года, согласно которому персональные данные означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»). В то же время с точки зрения принципов права, действующих в российской
правовой системе, можно усомниться в формальной определенности понятия «персональные данные».
При буквальном толковании (применяемом в правоприменительной практике «по умолчанию») рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте. В частности, в нем нет указания на связь между информацией и прямой или косвенной определенностью или «определяемостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких — нет.
Вместе с тем рабочей группой были высказаны сомнения относительно возможности сформулировать адекватное определение, имеющее менее общий характер.
В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность.
При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений.
Но естественно, если не хочется геморроя — легче слушать РКН
Геморроя не избежать, нужно оценить какой выглядит меньшим — исполнять требования закона в трактовке РКН или судиться с РКН без гарантий, что суд примет вашу или иную устраивающую вас трактовку как определяющую результат рассмотрения дела.
Скажем депутаты Думы весьма возмущаются на слова «РКН истолковал» — сам слышал
Если бы депутаты мозгом думали при написании текстов законов, чтоб исключить саму возможность их как-то толковать, то не было бы повода для возмущения.
Существенное внимание тонкостям квалификации изображений в качестве персональных данных уделил Роскомнадзор в своих разъяснениях «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»
А вот что на эту тему пишут в постатейном комментарии 152-ФЗ от 2015 года тот же Роскомнадзор:
Под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Несмотря на то, что законодатель закрепил понятие биометрических данных в комментируемом законе, до настоящего времени отсутствует единообразное толкование данного термина, а соответственно, и понимание, какие данные о человеке могут являться его биометрией. Так, в разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» изображение лица человека на таком материальном носителе, как фотография или видео, расценено в качестве биометрических данных, позволяющих установить личность субъекта персональных данных. Представляется, что особенность данной категории персональных данных выражена в высокой степени точности идентификации человека среди множества иных определяемых лиц ввиду уникальности его физиологических характеристик.
Вместе с тем, фотография или видеоизображение человека, который является близнецом или чье внешнее сходство с иным человеком очевидно, а также в случаях осуществления пластических операций, при визуальной оценке рассматриваемых материальных носителей не позволит произвести достоверную идентификацию субъекта.
В связи с этим, биометрическая информация должна характеризоваться уникальными физиологическими и биологическими данными, которые свойственны исключительно для одного субъекта персональных данных, носят более или менее неизменный характер и могут быть отражены на материальном носителе в виде цифровой, графической и иной кодовой информации. Такому пониманию биометрии соответствуют, например, папиллярные узоры, рисунок радужной оболочки глаза и др.
Законодатель четко определил, что отнесение сведений персонального характера к биометрическим персональным данным следует рассматривать с точки зрения возможности установления, подтверждения личности конкретного лица. Следовательно, биометрическими персональными данными могут являться те сведения, которые используются для идентификации, подтверждения личности по физиологическим параметрам, что предполагает применение особых методов установления личности, биометрических методов аутентификации личности.
Следует заметить, что понятия «видеозапись» и «фотография», рассматриваемые в разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», представляют собой исключительно материальный носитель информации, при этом данная информация не является биометрической по своей сути, поскольку не отражает индивидуальных параметров, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.
В итоге, хоть это явно и не прописано, но в наиболее свежем разъяснении регулятор уже не считает фото- и видеоизображения биометрическими персональными данными (что противоречит документу на который дается ссылка).
всё зависит от того, на кого зарегистрирована почта: на юрлицо или гражданина.
Часть моих ящиков зарегистрирована на 111 222. Идентифицировать меня по ним можно только проанализировав содержимое, там могут оказаться ссылки.
Почта же не на паспорт регистрируется
1. Брал кредит в банке давно, до принятия законов о ПД. Данные у них есть, но согласия я не давал. Они могут обрабатывать эти данные?
2. Брал кредит, давал разрешение, кредит отдал, можно ли отозвать разрешение?
Частный случай: в Сбере закрыл все кредиты и карты, как сделать так, чтобы они меня забыли насовсем?
2. По 152 они обязаны после исполнения цели обработки(договор) удалить данные, но у них есть ихние законы(требования ЦБ, я в них сильно не вникал, поэтому четко вам не тыкну) по которым они скорее всего обязаны их сохранять(скорее всего в архиве), плюс еще законы по налогам, там тоже обязанность хранить…
Так что совсем забыть Вас никто не сможет.
Новгородский мальчик Онфим из XIII века превратил кору в носитель персональных данных, собрав набор из изображения человека и его имени.
Спорно, как вы сами и написали в тексте. ПДн — набор данных, позволяющий однозначно установить субъекта. При этом объем необходимых для установления личности ПДн зависит от возможностей ищущего. Грубо говоря, если у на нас есть ФИО и примерное месторасположение, то современные базы данных позволяют вычисли очень многое в момент. А вот для средневекового Новгорода всего этого нет. Имея данную бересту вы можете вычислить уникального Онфима среди всех жителей Новгорода (кстати на бересте два человека. Это не чисто автопортрет, а картина. Возможно Онфим — это подпись художника)? Ох сомневаюсь. А значит — не ПДн
ПДн — набор данных, позволяющий однозначно установить субъекта.
Если бы так всё просто было, тогда к ПДн относились исключительно номера документов, удостоверяющих личность. Ну, максимум, полные установочные данные: ФИО, дата и место роеждения, может место регистрации. Общий же тренд, что ПДн — это любые данные, привязанные к субъекту, как довольно объективные типа расы, так и чисто субъективные типа даже предпочтений.
Ловкость рук и всеобщее молчаливое принятие некоторых реалий. Вопрос даже не в контроле (напомним, что кстати по закону нет разницы между физ лицами и юр лицами), а в том, что полная и безоговорочная защита перс данных невозможна в принципе.
На всякий случай — я не против вашего ответа. Чуть его расширил скорее
НУ как сказать, достаточно спросить. Как считаете, пересечение госграницы или проверка права управления транспортным средством — это достаточно важные задачи, чтобы не просто спросить?
В зависимости от задачи. Иногда достаточно спросить.
Сказ о том, как прочитать комментарий по диагонали, выдумать точку зрения и придумать к ней контраргумент.
Это не точка зрения, а вопрос, наводящий на точку зрения: "в некоторых областях, кажущихся достаточно важными, чтобы не верить человеку на слово, государство считает, что можно и верить, можно выпустить за границу одного человека по документам другого, можно разрешить продолжать движение человеку, который не имеет (никогда не имел или лишён) права управления транспортным средством." Государство само не может идентифицировать своих граждан, а нас заставляет прилагать значительные усилия для защиты якобы идентифицирующих их данных.
А тот факт, что в функциях хеширования бывают коллизии, еще не означает что базу с хешами паролей не надо защищать. Это два ортогональных вопроса.
А насколько упарываться в вопросах пресечения коллизий, и защите тех или иных данных всегда вопрос соотношения ресурсов и вероятности.
Я получал предписания от РКН, который требовал удалить ПД субъекта РФ, где ПД это:
1) Просто фамилия (а-ля Иванов) (!!!)
2) Имя, Отчество, Фамилия в искаженном виде (Петров => Петруня)
Эти данные распространялись в контексте отзывов об организации. То есть, кроме этого на странице всегда было название компании — например, «ФГУП Городская Больница #3»
То есть, формально мы имеем эти определения, а фактически, мне просто присылают писульку — ТРЕБУЕМ УДАЛИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ: «ИВАНОВ».
Самое обидное, что приходится выполнять эти абсурдные требования.
при этом можно грузить свои книги, цитаты пользователей они тоже хранят, как и историю покупок/загрузок. e-mail хранится, как и имя (но имя не проверяется). Это все — персональные данные? Как быть с тем что Pocketbook например даже не озаботился к своему облаку сделать ToS хотя бы на английском (а не на немецком), при этом железо которое использует их облако — в России продают
Видел подлинник берестинки Онфима в Государственном историческом музее, что на Красной площади. Хороший пример того, что любая информация, намеренно или случайно ставшая публичной, может веками быть у всех на виду. Наверняка не думал парень, от нечего делать рисуя себя в образе Георгия Победоносца, что так прославится.
Что, собственно, такое персональные данные?