Комментарии 116
Оставить правоприменения на совесть "духа закона" — отличный способ навести беспредел (особенно в НЕ прецедентном праве).
И что-то вы намешали законы об охране изображения и ПД…
С одной стороны ГК говорит, что в общественных местах снимать можно, а законы про ПД противоречат этому?
Это очередной пример того, как у нас "умеют" писать законы так, чтобы они противоречили не менее, чем N широкоищвестным существующим?
С одной стороны ГК говорит, что в общественных местах снимать можно, а законы про ПД противоречат этому?Cнимать можно. Есть не мало случаев, когда можно обрабатывать ПД без отдельного на то соглашения. НЕ надо воспринимать ПД как табу.
Ответ на этот вопрос уже содержится в посте выше.
Согласие на съемку не требуется в следующих случаях (ст. 152.1 Гражданского кодекса РФ):
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.
Классическим примером служит та же запись или видео трансляция судебного заседания: согласие гражданина на обнародование и дальнейшее использование его изображения в таком случае не требуется.
Согласие на съемку не требуется в следующих случаях (ст. 152.1 Гражданского кодекса РФ):
1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;
2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3) гражданин позировал за плату.
Классическим примером служит та же запись или видео трансляция судебного заседания: согласие гражданина на обнародование и дальнейшее использование его изображения в таком случае не требуется.
НЛО прилетело и опубликовало эту надпись здесь
Тогда начнется чехарда. Если человек сменит имя, то этот набор может стать ПДн, а может и не стать.
Логического противоречия здесь нет, но есть казусы, которые фактически никак нельзя зарегулировать и выявить, поэтому даже в таких случаях определенную информацию относят к ПДн.
Например, если два мальчика близнеца, родившиеся в один день, имеющие, соответственно, одинаковые имя и фамилию, вдруг решат еще и сменить в паспорте имя на одинаковое, то идентифицировать их будет крайне сложно не только имея в наличии их персональные данные, но и даже чисто физически — то есть визуально, в том числе с использованием биометрических средств.
Именно поэтому набор «ФИО + дата рождения + пол» традиционно относят к ПДн, о чем сложилась достаточно обширная судебная практика.
Например, если два мальчика близнеца, родившиеся в один день, имеющие, соответственно, одинаковые имя и фамилию, вдруг решат еще и сменить в паспорте имя на одинаковое, то идентифицировать их будет крайне сложно не только имея в наличии их персональные данные, но и даже чисто физически — то есть визуально, в том числе с использованием биометрических средств.
Именно поэтому набор «ФИО + дата рождения + пол» традиционно относят к ПДн, о чем сложилась достаточно обширная судебная практика.
в том числе с использованием биометрических средств.отпечатки как минимум разные.
Ситуация. ФИО+дата рождения 2964г. Является ПД?
Вопрос является-не является в первую очередь важен для выстраивания инфраструктуры и правил обработки данных. Единичная запись может быть какая угодно — в том числе с заведомо некорректными данными. Главное, что если вы строите хранилище, в котором будут собираться у реальных людей комплекты ФИО + полная дата рождения, то придется соблюдать все требования — и по расположению, и по требованию явного согласия, и т.д.
Даже если вы будете настоящие данные приводить к виду заведомо некорректных (типа если год рождения начинается с 19, то менять эти цифры на 25) — то такая «обфускация» вас от обязательств по хранению не освободит.
Даже если вы будете настоящие данные приводить к виду заведомо некорректных (типа если год рождения начинается с 19, то менять эти цифры на 25) — то такая «обфускация» вас от обязательств по хранению не освободит.
Зависит от возможностей атакующего. Выбор персональные/не персональные в общем случае требует составления модели нарушителя. Понятно, что возможности ФСБ резко отличаются от возможностей соседа по работе
Обязательно ли применение шифрования (HTTPS, SSL, TLS, прочее) при передаче персональных данных (ФИО, телефон, адрес проживания в любых комбинациях) при передаче их по сети?
Обязательно, если не применяются другие меры защиты, достаточные для обеспечения конфиденциальности персданных на данном этапе их обработки.
Конкретнее, наверное, не получится, т.к. непонятно, что за «сеть» в вопросе упомянута и какая модель угроз принята в качестве актуальной.
Конкретнее, наверное, не получится, т.к. непонятно, что за «сеть» в вопросе упомянута и какая модель угроз принята в качестве актуальной.
Заполняются поля формы «обратной связи» и все это чистым HTTP уходит непонятно куда через Интернет (несколько промежуточных узлов). Угроза перехвата траффика на любом из узлов, включая начальный и конечный. Если сможете привести конкретное место в нашем законе об обязательности шифрования в данном случае — буду премного благодарен!
Все просто.
Перехваченный трафик превращается в траффик!
Перехваченный трафик превращается в траффик!
Вы интересуетесь как пользователь информационной системы или как её владелец/разработчик/оператор?
Хочу понять, с какой стороны баррикады Вы находитесь. :)
Хочу понять, с какой стороны баррикады Вы находитесь. :)
Я интересуюсь как пользователь различных государственных(!) информационных систем ;-)
Я понял.
Конкретика по мерам защиты (в т.ч. техническим) лежит в приказе ФСБ России от 10.07.2014 № 378 и постановлении Правительства РФ от 01.11.2012 № 1119.
Для государственных ИСПДн могут быть дополняющие нормативные документы, но на работе мне немного неудобно нормативку шелестить. Через пару часов доберусь до дома и попробую изобразить внятный ответ.
Конкретика по мерам защиты (в т.ч. техническим) лежит в приказе ФСБ России от 10.07.2014 № 378 и постановлении Правительства РФ от 01.11.2012 № 1119.
Для государственных ИСПДн могут быть дополняющие нормативные документы, но на работе мне немного неудобно нормативку шелестить. Через пару часов доберусь до дома и попробую изобразить внятный ответ.
Явно в 152-ФЗ, конечно, ничего не прописано, но есть требования по моделированию угроз безопасности персональных данных. При моделировании мы обязаны рассматривать угрозы, связанные с перехватом ПДн. Также есть 21 приказ ФСТЭК, в нем можно увидеть требование ЗИС.3, которое звучит следующим образом: «Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи»
Все зависит от результатов оценки угроз безопасности персональных данных. Если вы в рамках моделирования признаете (обоснованно!), что угрозы, связанные с перехватом информации являются неактуальными, то применение шифрования не требуется. В противном случае шифрование обязательно. Но отмечу, что для нейтрализации актуальных угроз должны применяться СЗИ, прошедшие в установленном порядке процедуру оценку соответствия. В случае с СКЗИ — это сертифицированные ФСБ России решения и алгоритм шифрования ГОСТ.
Оценка угроз, я так понимаю, публичной огласке не подлежит?
Думаю, что на усмотрение владельца ИСПДн.
Очень уверен в себе или хочет быть самым прозрачным на свете — может и опубликовать, почему нет?
Но по законодательству нет такой обязанности.
Очень уверен в себе или хочет быть самым прозрачным на свете — может и опубликовать, почему нет?
Но по законодательству нет такой обязанности.
Тут-то и начинается «веселье»: например, генпрокуратура при обращении граждан через их сайт передает ФИО и прочие важные данные открытым текстом без шифрования. Катается жалоба в РКН с указанием пунктов, по которым шифрование в данном случае необходимо, а в ответ: «в результате оценки угроз безопасности персональных данных выявлено, что угрозы, связанные с перехватом информации являются неактуальными». При этом для «Личного Сайта Васи Пупкина» они будут актуальны и Вася схлопочет штраф :-(
А «Вася Пупкин» реально получил штраф, или это такая фантазия в мрачных тонах?
И да, жалоба на неприменение средств шифрования трафика на сайте Прокуратуры реально подавалась? Или фантазия?
Необходимость применения сертифицированных средств защиты информации при их передаче по сетям общего пользования строго продиктована законодательством и подзаконными актами.
Пункт 13 Постановления №1119
Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: …
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ ФСТЭК №21, Постановление Правительства №1119, Приказ № 378 ФСБ — устанавливают требование о необходимости оценки соответствия.
Пункт 4 Приказа №21
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Если для передачи данных используются сети связи общего пользования, которые находятся вне защищаемой зоны, т.е. не возможно применять организационные меры по защите информации и должны быть применены технические меры защиты информации, прошедшие установленную процедуру оценки соответствия.
Пункт 13 Постановления №1119
Для обеспечения… уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: …
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Приказ ФСТЭК №21, Постановление Правительства №1119, Приказ № 378 ФСБ — устанавливают требование о необходимости оценки соответствия.
Пункт 4 Приказа №21
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Если для передачи данных используются сети связи общего пользования, которые находятся вне защищаемой зоны, т.е. не возможно применять организационные меры по защите информации и должны быть применены технические меры защиты информации, прошедшие установленную процедуру оценки соответствия.
Использование СКЗИ (средств криптографической защиты информации) для обеспечения безопасности персональных данных необходимо в следующих случаях:
— если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
— если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
К случаям, когда угрозы могут быть нейтрализованы только с помощью
СКЗИ, относятся:
— передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
— хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Метод. рекомендации ФСБ от 31 марта 2015 года № 149/7/2/6-432
— если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
— если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
К случаям, когда угрозы могут быть нейтрализованы только с помощью
СКЗИ, относятся:
— передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
— хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Метод. рекомендации ФСБ от 31 марта 2015 года № 149/7/2/6-432
Вопрос, скорее, в необходимости сертификации СКЗИ. Требование закрыть, например, канал через https понятно, но вызывает вопросы требование использовать для этого только сертифицированное ФСБ и кем там ещё ПО. Даже не алгоритмы, а именно ПО.
Вопрос не четко поставлен. Там много условий. Ответ может быть и нет, и да.
Непонятно, как быть при разработке. Вот есть у нас «залогиньтесь по email'у». В общем случае адрес — не персональные данные. Но иногда персональные. А если разрешить линковать аккаунт в фейсбуке, там вообще может и фотография найтись, и дата рождения и даже пол. И что теперь, нужно для каждой тудушницы или онлайн-игры «реализовывать меры защиты»?
Меры защиты не только для ПДн, их в любом случае надо реализовывать, исходя из простого здравого смысла. :)
Просто в случае с ПДн Вы их реализовываете уже не так, как сами считаете нужным, а в соответствии с определёнными требованиями законодательства.
Просто в случае с ПДн Вы их реализовываете уже не так, как сами считаете нужным, а в соответствии с определёнными требованиями законодательства.
Ну так одно дело защита, а другое «защита». Пытаюсь понять, нужно ли (по законодательству) при разработке наколеночной утилитки для десятка друзей регистрироваться оператором персональных данных, заполнять безумные документы и назначать среди себя ответственного… И чего там ещё полагается делать, если кто-то тебе емейл оставил.
… ещё «Политику обработки персональных данных» разрабатывать, утверждать и публиковать. :)
Думаю, что если круг возможных пользователей ограничен и состоит из лояльных вам субъектов ("… для десятка друзей"), то регистрироваться оператором ИСПДн смысла нет.
Вот если речь об интернет-сайте (потенциально неограниченный круг пользователей), то есть смысл сопоставить риски (вероятность жалобы в РКН * возможное количество жалоб * величину возможных штрафных санкций) и затраты на реализацию комплекса мер для приведения ИС в соответствие нормативным требованиям. И тогда уже принимать решение.
Думаю, что если круг возможных пользователей ограничен и состоит из лояльных вам субъектов ("… для десятка друзей"), то регистрироваться оператором ИСПДн смысла нет.
Вот если речь об интернет-сайте (потенциально неограниченный круг пользователей), то есть смысл сопоставить риски (вероятность жалобы в РКН * возможное количество жалоб * величину возможных штрафных санкций) и затраты на реализацию комплекса мер для приведения ИС в соответствие нормативным требованиям. И тогда уже принимать решение.
На мой взгляд, нет. И защищать системы где из ПДн обрабатывается только e-mail по требованиям 152-ФЗ не нужно. Сам по себе email не позволит идентифицировать человека (в большинстве случаев) и по сути является информацией, которую сообщают всем подряд (при регистрации на сайтах, на визитках и т.п.). То есть ущерб субъекту от того, что его имейл узнают — никакой.
Другой вопрос, если вместе с email обрабатываются еще какие-то сведения, которые позволят идентифицировать человека, например, загружаются фотки, Ф.И.О., дата рождения из фейсбука или подтягиваются какие-то платежные данные. Вот тут уже точно нужно думать о защите. Тем более были инциденты, например с Sony, когда утекли данные пользователей Playstation Network.
Другой вопрос, если вместе с email обрабатываются еще какие-то сведения, которые позволят идентифицировать человека, например, загружаются фотки, Ф.И.О., дата рождения из фейсбука или подтягиваются какие-то платежные данные. Вот тут уже точно нужно думать о защите. Тем более были инциденты, например с Sony, когда утекли данные пользователей Playstation Network.
Интересная информация.
Недавно было реализовано прижизненное переписывание генетической последовательности в каждой отдельной клетке с помощью метода CRISPR (Clustered Regularly Interspaced Short Palindromic Repeats). В настоящее время технология CRISPR исследуется на предмет лечения генетических заболеваний как в пре-натальной фазе (на стадии эмбрионального внутриплацентарного развития), так и в пост-натальной фазе, т.е. у взрослых организмов, и людей, в том числе (и в первую очередь). Это означает, по крайней мере, в теории, что она сможет позволить изменять регистрируемый ДНК код индивида, обходя систему генной дактилоскопии.
Недавно было реализовано прижизненное переписывание генетической последовательности в каждой отдельной клетке с помощью метода CRISPR (Clustered Regularly Interspaced Short Palindromic Repeats). В настоящее время технология CRISPR исследуется на предмет лечения генетических заболеваний как в пре-натальной фазе (на стадии эмбрионального внутриплацентарного развития), так и в пост-натальной фазе, т.е. у взрослых организмов, и людей, в том числе (и в первую очередь). Это означает, по крайней мере, в теории, что она сможет позволить изменять регистрируемый ДНК код индивида, обходя систему генной дактилоскопии.
Эту информацию желательно знать каждому разработчику сайтов. Ведь почти в каждом сайте организаций приводятся персональные данные.
Прежде всего заказчику сайта. Его юристам, админам, контента менеджерам и т. п. Разработчик персональные данные не обрабатывает.
Надо разобраться с термином «Обработка персональных данных», особенно если сайт делает пара человек по заказу с нечетко документированными обязанностями. Не удивлюсь что под него легко подходит создание страницы с ФИО и фото.
Если я делаю сайт чисто как разработчик, не важно по подряду или как служебное задание, и там нет требования обеспечить обработку ПДн в соответствии с конкретным законом-приказом-инструкцией, то разработка будет вестись исходя из предположения, что организационные и технические мероприятия по обеспечению законности сбора, обработки, хранения и т. п. персональных данных обеспечиваются не мной. Может уточню у заказчика, понимает ли он что такие мероприятия скорее всего нужны, если он собирается результаты моей работы запускать для реальной работы. Но этак так, бесплатный добрый совет.
Для работы по технической защите информации требуется иметь лицензию. Это лицензируемый вид деятельности.
Вы никогда не сидели на против следователя и не отвечали на его вопросы?
Поверьте, он не будет спрашивать что Вы думали и что должен был делать кто-то другой. Вопрос будет конкретно звучать так: «Почему Вы нарушили требования пункта такого то документа такого то.» Если Вы штатный работник ответ прост — начальник приказал. А вот если Вы работаете по подряду, то вопрос законности обработки персональных данных строго на Вас. Включая сакраментальное — почему Вы взялись за обработку персональных данных без какой-либо лицензии.
Поверьте, он не будет спрашивать что Вы думали и что должен был делать кто-то другой. Вопрос будет конкретно звучать так: «Почему Вы нарушили требования пункта такого то документа такого то.» Если Вы штатный работник ответ прост — начальник приказал. А вот если Вы работаете по подряду, то вопрос законности обработки персональных данных строго на Вас. Включая сакраментальное — почему Вы взялись за обработку персональных данных без какой-либо лицензии.
А почему к персональным данным отнесен номер паспорта? Ведь есть решения судов, по которым номер паспорта признается просто номером бланка документа.
Новая редакция ФЗ-152 действует с 10.08.2017г. — я рекомендую опираться на судебную практику, сформированную уже по актуальному законодательству. Если вы пришлете пример судебного решения, принятого после 10.08.2017г., где будет указано, что номер паспорта сам по себе не является ПДн, то мы с удовольствием его изучим и дадим развернутый комментарий
Идея появилась. Что если хранить ФИО в одной системе, дату рождения в другой, в третьей ссылки на них. А собирать это всё вообще на клиенте.
Тогда и ФИО храните в Local Storage.
Может возникнуть вопрос: а почему это не считать одной системой просто? Определение ИС достаточно широкое.
ИС назвать-то можно, но вот её оператором будет не владелец, грубо говоря, серверов, а конечный пользователь. Владелец серверов предоставляет несколько независимых сервисов (можно вообще на разных юрлиц раскидать хранение ФИО, дат рождения и т. п.) и ПО для интеграции этих, а так же совсем сторонних, типа OAuth провайдеров, всяких сервисов Гугла, Амазон и т. п. в единую ИС.
Но запускает, разворачивает это интеграционное ПО пользователь.
Если бы было так все просто.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
ст. 5, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 01.07.2017) «О персональных данных» {КонсультантПлюс}
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
ст. 5, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 01.07.2017) «О персональных данных» {КонсультантПлюс}
Существенное внимание тонкостям квалификации изображений в качестве персональных данных уделил Роскомнадзор в своих разъяснениях
Только вот есть проблемки:
Проблема раз — РКН в своем научно-практическом комментарии почему-то изменял точку зрения в вопросе квалификации изображений;
Проблема два — РКН не может трактовать законодательство и их разъяснения не имеют юридической силы.
Разъяснения и комментарии — конечно, хорошо, но ввиду такого непостоянства РКН, понимания не прибавляется после таких «разъяснений». Где гарантия, что завтра регулятор не изменит свою точку зрения?
Коллеги, хабр не для политики, но относитесь к этому с технической точки зрения как к использованию кривой и небезопасной платформы:
если нам приходится гадать на кофейной гуще, то это ничерта не закон (не ясно что надо защищать и для чего)
соблюдая и продвигая эту кофейную гущу и передавая возможность гадать на ней в роскомнадзор вы лишь ухудшаете наше и без того плачевное положение
Решение — сменить платформу.
если нам приходится гадать на кофейной гуще, то это ничерта не закон (не ясно что надо защищать и для чего)
соблюдая и продвигая эту кофейную гущу и передавая возможность гадать на ней в роскомнадзор вы лишь ухудшаете наше и без того плачевное положение
Решение — сменить платформу.
НЛО прилетело и опубликовало эту надпись здесь
Что если сайт не просит персональные данные (например, собирает анонимные отзывы) и не применяет необходимые меры при обращении с ПД (например, не хранит в РФ), но некоторые пользователи всё равно отправляют свои персональные данные? Является ли это нарушением закона со стороны владельца сайта?
Если нет, то для владельца сайта есть способ не попасть под требования закона о ПД: над каждой формой на сайте добавить текст «не указывайте персональные данные гражданина РФ». Пользователи будут отказываться от заполнения формы так же часто, как читают политику конфиденциальности.
Уже в который раз приходят юристы и начинаю теоретизировать, что такое ПДн, пытаясь толковать закон, исходя из здравого смысла и его «духа». А вот РКН давно уже его истолковал, как посчитал нужным: «Любая информация, относящаяся к субъекту персональных данных, является персональными данными» и «факт идентификации или неидентификации субъекта персональных данных оператором не влияет на статус данных как персональных» — Коротова Ольга Александровна, заместитель руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу.
Поэтому было бы очень правильным в каждой такой статье обязательно писать: Внимание!
Мнение автора статьи может не совпадать (и часто не совпадает) с официальной позицией контролирующих органов.
Поэтому было бы очень правильным в каждой такой статье обязательно писать: Внимание!
Мнение автора статьи может не совпадать (и часто не совпадает) с официальной позицией контролирующих органов.
Официальная позиция была изложена в постатейном комментарии 152-ФЗ:
TL;DR: Много воды, в итоге: «Мы сами не знаем. Понимайте как хотите.»
TL;DR: Много воды, в итоге: «Мы сами не знаем. Понимайте как хотите.»
В настоящее время наибольшую дискуссию вызывает понятие персональных данных. В связи с этим Роскомнадзором в рамках Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных было предложено создать рабочую группу по определению матрицы персональных данных.
В соответствии с п. 1 комментируемой статьи персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Данное определение практически идентично определению, установленному пп. «а» ст. 2 Конвенции 1981 года, согласно которому персональные данные означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»). В то же время с точки зрения принципов права, действующих в российской
правовой системе, можно усомниться в формальной определенности понятия «персональные данные».
При буквальном толковании (применяемом в правоприменительной практике «по умолчанию») рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте. В частности, в нем нет указания на связь между информацией и прямой или косвенной определенностью или «определяемостью» физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких — нет.
Вместе с тем рабочей группой были высказаны сомнения относительно возможности сформулировать адекватное определение, имеющее менее общий характер.
В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность.
При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений.
РКН не имеет права толкования закона. Скажем депутаты Думы весьма возмущаются на слова «РКН истолковал» — сам слышал. Поэтому любые слова любых регуляторов — это их личное мнение. Которое может быть оспорено. Толковать у нас может суд
Но естественно, если не хочется геморроя — легче слушать РКН
Но естественно, если не хочется геморроя — легче слушать РКН
Геморроя не избежать, нужно оценить какой выглядит меньшим — исполнять требования закона в трактовке РКН или судиться с РКН без гарантий, что суд примет вашу или иную устраивающую вас трактовку как определяющую результат рассмотрения дела.
Скажем депутаты Думы весьма возмущаются на слова «РКН истолковал» — сам слышал
Если бы депутаты мозгом думали при написании текстов законов, чтоб исключить саму возможность их как-то толковать, то не было бы повода для возмущения.
Это действительно так. Тем не менее, РКН в данном случае это тот орган, который занимается вопросами обеспечения этого закона и узнать их позицию будет не лишним. Указанный комментарий не несет никакой юридической силы, также как и не несет никакой юридической силы та дичь, которую представители РКН несут при проверках. Из недавней практики это требование разделить ИСПДн «Бухгалтерия и кадры» на ИСПДн «Бухгалтерия» и ИСПДн «Кадры».
Существенное внимание тонкостям квалификации изображений в качестве персональных данных уделил Роскомнадзор в своих разъяснениях «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»
А вот что на эту тему пишут в постатейном комментарии 152-ФЗ от 2015 года тот же Роскомнадзор:
Под биометрическими персональными данными понимаются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Несмотря на то, что законодатель закрепил понятие биометрических данных в комментируемом законе, до настоящего времени отсутствует единообразное толкование данного термина, а соответственно, и понимание, какие данные о человеке могут являться его биометрией. Так, в разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» изображение лица человека на таком материальном носителе, как фотография или видео, расценено в качестве биометрических данных, позволяющих установить личность субъекта персональных данных. Представляется, что особенность данной категории персональных данных выражена в высокой степени точности идентификации человека среди множества иных определяемых лиц ввиду уникальности его физиологических характеристик.
Вместе с тем, фотография или видеоизображение человека, который является близнецом или чье внешнее сходство с иным человеком очевидно, а также в случаях осуществления пластических операций, при визуальной оценке рассматриваемых материальных носителей не позволит произвести достоверную идентификацию субъекта.
В связи с этим, биометрическая информация должна характеризоваться уникальными физиологическими и биологическими данными, которые свойственны исключительно для одного субъекта персональных данных, носят более или менее неизменный характер и могут быть отражены на материальном носителе в виде цифровой, графической и иной кодовой информации. Такому пониманию биометрии соответствуют, например, папиллярные узоры, рисунок радужной оболочки глаза и др.
Законодатель четко определил, что отнесение сведений персонального характера к биометрическим персональным данным следует рассматривать с точки зрения возможности установления, подтверждения личности конкретного лица. Следовательно, биометрическими персональными данными могут являться те сведения, которые используются для идентификации, подтверждения личности по физиологическим параметрам, что предполагает применение особых методов установления личности, биометрических методов аутентификации личности.
Следует заметить, что понятия «видеозапись» и «фотография», рассматриваемые в разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», представляют собой исключительно материальный носитель информации, при этом данная информация не является биометрической по своей сути, поскольку не отражает индивидуальных параметров, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.
В итоге, хоть это явно и не прописано, но в наиболее свежем разъяснении регулятор уже не считает фото- и видеоизображения биометрическими персональными данными (что противоречит документу на который дается ссылка).
всё зависит от того, на кого зарегистрирована почта: на юрлицо или гражданина.
Часть моих ящиков зарегистрирована на 111 222. Идентифицировать меня по ним можно только проанализировав содержимое, там могут оказаться ссылки.
Почта же не на паспорт регистрируется
Если я единствнный двурукий этнически русский работающий на заправке, то это тоже ПДн?
Меня интересует вопрос, как я могу отозвать разрешение на обработку персональных данных. Два примера:
1. Брал кредит в банке давно, до принятия законов о ПД. Данные у них есть, но согласия я не давал. Они могут обрабатывать эти данные?
2. Брал кредит, давал разрешение, кредит отдал, можно ли отозвать разрешение?
Частный случай: в Сбере закрыл все кредиты и карты, как сделать так, чтобы они меня забыли насовсем?
1. Брал кредит в банке давно, до принятия законов о ПД. Данные у них есть, но согласия я не давал. Они могут обрабатывать эти данные?
2. Брал кредит, давал разрешение, кредит отдал, можно ли отозвать разрешение?
Частный случай: в Сбере закрыл все кредиты и карты, как сделать так, чтобы они меня забыли насовсем?
Напрашивается: «Отмотал срок, наказание понес, ничего не должен, как стереть судимость» Я без всякой иронии.
Написать заявление в банк с требованием прекратить обработку ПД (Отозвать заявление на обработку персональных данных). Есть образцы в интернете.
Вообще ситуация с банком конечно маловероятна. Особенно с учетом того, что закон вышел более 10 лет назад, и за это время банки собрали согласия со всех своих клиентов. Также следует помнить, что согласно п.1 ст.6 152-ФЗ обработка ПДн допускается в том числе в случае если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. То есть сослаться на отсутствие согласия и не отдавать кредит не получится :)
1. Обрабатывать могут, если договор не исполнен.
2. По 152 они обязаны после исполнения цели обработки(договор) удалить данные, но у них есть ихние законы(требования ЦБ, я в них сильно не вникал, поэтому четко вам не тыкну) по которым они скорее всего обязаны их сохранять(скорее всего в архиве), плюс еще законы по налогам, там тоже обязанность хранить…
Так что совсем забыть Вас никто не сможет.
2. По 152 они обязаны после исполнения цели обработки(договор) удалить данные, но у них есть ихние законы(требования ЦБ, я в них сильно не вникал, поэтому четко вам не тыкну) по которым они скорее всего обязаны их сохранять(скорее всего в архиве), плюс еще законы по налогам, там тоже обязанность хранить…
Так что совсем забыть Вас никто не сможет.
Подскажите, пожалуйста, если Пользователь самостоятельно ввёл в какое-нибудь текстовое поле, например, своё ФИО, можно ли тогда утверждать, что в Система хранятся ПДн с точки зрения законодательства РФ?
Тут принцип разумной достаточности. По факту, если в вашей системе обрабатываются только Ф.И.О., то просить согласия на их сбор вы не должны, уведомлять РКН тоже. При этом вы можете еще сделать протокол, в котором укажете, что нарушение конфиденциальности, целостности или доступности Ф.И.О. не принесет никакого ущерба субъекту ПДн. Соответственно, и защищать ничего не надо. Какой смысл защищать то, что никакой ценности не представляет?
Роскомнадзор с вами не согласен… Ну по крайней мере мой региональный-по его мнению ФИО это ПД, отсюда все вытекающее, протокол Вас не спасет, там кипа бумаг толщиной примерно как в две пачки по 500 листов-ответственный, комиссия, категорирование ИС… проще по факту данные, подходящие под определение, просто удалять.
Новгородский мальчик Онфим из XIII века превратил кору в носитель персональных данных, собрав набор из изображения человека и его имени.
Спорно, как вы сами и написали в тексте. ПДн — набор данных, позволяющий однозначно установить субъекта. При этом объем необходимых для установления личности ПДн зависит от возможностей ищущего. Грубо говоря, если у на нас есть ФИО и примерное месторасположение, то современные базы данных позволяют вычисли очень многое в момент. А вот для средневекового Новгорода всего этого нет. Имея данную бересту вы можете вычислить уникального Онфима среди всех жителей Новгорода (кстати на бересте два человека. Это не чисто автопортрет, а картина. Возможно Онфим — это подпись художника)? Ох сомневаюсь. А значит — не ПДн
ПДн — набор данных, позволяющий однозначно установить субъекта.
Если бы так всё просто было, тогда к ПДн относились исключительно номера документов, удостоверяющих личность. Ну, максимум, полные установочные данные: ФИО, дата и место роеждения, может место регистрации. Общий же тренд, что ПДн — это любые данные, привязанные к субъекту, как довольно объективные типа расы, так и чисто субъективные типа даже предпочтений.
Это конечно, но счастье, что все их вам защищать по закону не нужно
Ошибочное мнение, согласно закона это обязанность оператора.
И так и не так. Защищать персональные данные — обязанность оператора, но вот что признать персональными данными (а также какие места являются местами их обработки, какие меры необходимы для защиты...), а что нет — его умение писать документы, требуемые для предоставления в РКН.
Пока нормального контроля нет(а его нет от слова совсем), ваше мнение может иметь место.
Ну защита персональных данных это дело такое… Скажем всем понятно, что по закону нельзя галочкой на сайте принимать соглашение. Или что нельзя про закону написать письмо новом контакту (согласия-то от него нету, да и согласия на то, чтобы его данные были на вашем компьютере он не давал). Или почему шифрованная переписка с налоговой не считается использованием шифровальных средств. И тд и тп
Ловкость рук и всеобщее молчаливое принятие некоторых реалий. Вопрос даже не в контроле (напомним, что кстати по закону нет разницы между физ лицами и юр лицами), а в том, что полная и безоговорочная защита перс данных невозможна в принципе.
На всякий случай — я не против вашего ответа. Чуть его расширил скорее
Ловкость рук и всеобщее молчаливое принятие некоторых реалий. Вопрос даже не в контроле (напомним, что кстати по закону нет разницы между физ лицами и юр лицами), а в том, что полная и безоговорочная защита перс данных невозможна в принципе.
На всякий случай — я не против вашего ответа. Чуть его расширил скорее
Из всего выше сказанного так и непонятно, как отличить двух близнецов с одинаковыми фамилиями, датой рождения (часы минуты ведь не указываются) и внешностью. Сколько же фильмов было снято на эту тему.
В зависимости от задачи. Иногда достаточно спросить. Если нужна более высокая точность — отпечатки. они-то всё равно разные. (Ну и лица у близнецов все-таки отличаются. Хотя иногда различий не больше, чем различий в лице одного человека в течении жизни).
НУ как сказать, достаточно спросить. Как считаете, пересечение госграницы или проверка права управления транспортным средством — это достаточно важные задачи, чтобы не просто спросить?
В зависимости от задачи. Иногда достаточно спросить.
Сказ о том, как прочитать комментарий по диагонали, выдумать точку зрения и придумать к ней контраргумент.
Это не точка зрения, а вопрос, наводящий на точку зрения: "в некоторых областях, кажущихся достаточно важными, чтобы не верить человеку на слово, государство считает, что можно и верить, можно выпустить за границу одного человека по документам другого, можно разрешить продолжать движение человеку, который не имеет (никогда не имел или лишён) права управления транспортным средством." Государство само не может идентифицировать своих граждан, а нас заставляет прилагать значительные усилия для защиты якобы идентифицирующих их данных.
В том числе поэтому и вводятся в обращение биометрические паспорта.
А тот факт, что в функциях хеширования бывают коллизии, еще не означает что базу с хешами паролей не надо защищать. Это два ортогональных вопроса.
А насколько упарываться в вопросах пресечения коллизий, и защите тех или иных данных всегда вопрос соотношения ресурсов и вероятности.
А тот факт, что в функциях хеширования бывают коллизии, еще не означает что базу с хешами паролей не надо защищать. Это два ортогональных вопроса.
А насколько упарываться в вопросах пресечения коллизий, и защите тех или иных данных всегда вопрос соотношения ресурсов и вероятности.
Для закона в принципе это и не нужно.
НЛО прилетело и опубликовало эту надпись здесь
Вот вам практика:
Я получал предписания от РКН, который требовал удалить ПД субъекта РФ, где ПД это:
1) Просто фамилия (а-ля Иванов) (!!!)
2) Имя, Отчество, Фамилия в искаженном виде (Петров => Петруня)
Эти данные распространялись в контексте отзывов об организации. То есть, кроме этого на странице всегда было название компании — например, «ФГУП Городская Больница #3»
То есть, формально мы имеем эти определения, а фактически, мне просто присылают писульку — ТРЕБУЕМ УДАЛИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ: «ИВАНОВ».
Самое обидное, что приходится выполнять эти абсурдные требования.
Я получал предписания от РКН, который требовал удалить ПД субъекта РФ, где ПД это:
1) Просто фамилия (а-ля Иванов) (!!!)
2) Имя, Отчество, Фамилия в искаженном виде (Петров => Петруня)
Эти данные распространялись в контексте отзывов об организации. То есть, кроме этого на странице всегда было название компании — например, «ФГУП Городская Больница #3»
То есть, формально мы имеем эти определения, а фактически, мне просто присылают писульку — ТРЕБУЕМ УДАЛИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ: «ИВАНОВ».
Самое обидное, что приходится выполнять эти абсурдные требования.
А набор ФИО+номер сотового — ПДн?
А вот интересно — существуют сервисы для облачного чтения, часто совмещенные с магазинами — Google Play Books, Литрес(у них есть облачная читалка), Pocketbook Cloud, Bookmate.
при этом можно грузить свои книги, цитаты пользователей они тоже хранят, как и историю покупок/загрузок. e-mail хранится, как и имя (но имя не проверяется). Это все — персональные данные? Как быть с тем что Pocketbook например даже не озаботился к своему облаку сделать ToS хотя бы на английском (а не на немецком), при этом железо которое использует их облако — в России продают
при этом можно грузить свои книги, цитаты пользователей они тоже хранят, как и историю покупок/загрузок. e-mail хранится, как и имя (но имя не проверяется). Это все — персональные данные? Как быть с тем что Pocketbook например даже не озаботился к своему облаку сделать ToS хотя бы на английском (а не на немецком), при этом железо которое использует их облако — в России продают
Видел подлинник берестинки Онфима в Государственном историческом музее, что на Красной площади. Хороший пример того, что любая информация, намеренно или случайно ставшая публичной, может веками быть у всех на виду. Наверняка не думал парень, от нечего делать рисуя себя в образе Георгия Победоносца, что так прославится.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Что, собственно, такое персональные данные?