Как обрабатывать ПД в РФ и не нарушать закон

[mxms]

Как обычно, куча воды и мало конкретики.
За толковой информацией прошу обратиться к вебинару и презентации Алексея Мунтяна

[DDudko]

Совсем непонятно, как обрабатывать в облаке.
Должен ли оператор выполнять рекомендации ФСТЭК и ФСБ?
Что значит максимально защитить? Это какую шкалу необходимо использовать?

[not_ice]

Вот чего я не могу понять. Адресная книга большого предприятия, реализованная на Интранет-портале (или в exchange) организации (ФИО, должность, внутренний тел.) — судя по определению из статьи содержит ПД. И что, теперь поубирать все адресные книги? Или как с ПД сотрудников работать правильно?

[ader]

Сотрудники — не клиенты, там немножко другие правила. Их данные необходимы для работы производственных процессов, поэтому убирать адресные книги не надо.

[SchmeL]

Или как с ПД сотрудников работать правильно?

<sarcazm_mode> Поставить каждому сотруднику КриптоПРО за 4к рублей, как-то заставить работать exchange с ГОСТ шифрованием, делов-то…

[HaZeR]

Мне частенько звонят всякие инвестиционные и трейдинговые конторы, обращаются сразу по имени отчеству. Говорят, что данные получены якобы из открытых источников. Своего согласия на хранение и обработку я им естественно не давал. Нарушают ли они закон о ПД и что им за это грозит?

[MaxKozlov]

Нарушают.
см. ФЗ 152 Статья 15.1

[APXEOLOG]

А никнейм является ПД? По нему ведь можно идентифицировать человека. Да, не у всех уникальные никнеймы — но ведь и ФИО зачастую совпадает, а при этом является ПД

Является ли IP-адрес ПД (например когда система запоминает адреса последнего входа)? А если он белый статический?

Является ли "адрес домашней странички" ПД? Если укажут ссылку на профиль в соцсетях, то человека можно идентифицировать (наверное), если укажут личный домен — опять же можно сделать whois

[mxms]

IMHO (и далее по тексту), сам никнэйм нет. А вот в сочетании, например, с email уже да.
Сам IP без его связи с другими данными нет. Если статика и инфо о реальном владельце есть в Whois то да, но в данном случае это вопрос не ваш, а того, кто эти данные там опубликовал.

[APXEOLOG]

То есть в принципе абсолютно любая регистрация на любом сайте (ведь email + nickname это классическая минимальная связка) по идее попадает под закон о ПД?

[mxms]

Я считаю что да. Но я бы выслушал мнение профессионалов.

[teecat]

Согласие через «галочку» при сборе ПДн через сайт обязательно (в случаях, предусмотренных законодательством). Но достаточность конкретной процедуры получения согласия субъекта ПДн через сайт будет определятся сотрудником ПДн субъективно. Так же как и проверка подлинности этого согласия (идентификация оператором субъекта). При этом, сотрудник РКН будет субъективно определять моменты: надо ли ему запрашивать подтверждение наличия у оператора процедуры идентификации субъекта при получении согласия и соответствие используемых методов (контрольный звонок, смс, email и т.д.) требованиям законодательства. Как он решит, так и будет в протоколе отражено. РКН рекомендовал приглашать субъекта с паспортом или использовать ГИС по идентификации/биометрической идентификации.

отсюда

[teecat]

РКН считает все метаданные, «большие данные» и прочую техническую информацию ПДн. Просто потому, что им так хочется. Пока законодательством этот вопрос не будет конкретно урегулирован, они будут трактовать по своему усмотрению.

Отсюда

[teecat]

Самое, что мне понравилось из последнего, так это идея мсти.

У любого оператора есть операции по работе с внешними обращениями (входящая почта). Поскольку корреспондент может в своих письмах оператору написать любую информацию о себе, своих родственниках или третьих лицах (медицинскую информацию, судимости, биометрическую и т.д.), то оператор ПДн начинает обработку всех этих категорий ПДн, просто по факту регистрации и хранению входящих обращений в системе документооборота. И не важно, что оператору эти данные вообще не нужны. Мало того, что непонятно что же делать оператору с получением согласий на обработку таких категорий ПДн, так еще РКН требует вносить изменения в реестр, если ранее эти категории ПДн не были заявлены оператором. Проблемы оператора, у которого система ЭДО превращается в ИСПДн высокого уровня защищенности, РКН не волнуют. РКН признает остроту проблемы, но ничего предпринимать не собирается. Очень удобный способ сделать серьезную пакость любой организации: сначала пишешь письмо, содержащее специальные и биометрические категории ПДн, а потом заявление в РКН. А уж какой простор для политической, расовой и прочей дискриминирующей информации.

Все четко по закону. Данные обрабатываются (получены же!) значит нужно защищать в соответствии с требованиями!

[mxms]

Да, это попадалово. Хотя, можно этот случай оговорить в соглашении.
Плюс момент доказательства того, что эти данные были переданы, получены и обработаны.

[teecat]

Случаи разные бывают. Скажем нам в техподдержку файлы прикладываются если не в каждом первом тикете, но уж каждом втором точно. Естественно никому содержимое этих файлов не интересно, но чисто теоретически попасть может любая информация
А факт получения фиксируется в тикете

[dinarv]

Ничего не мешает такие данные удалять "под протокол". И не хранить и не обрабатывать.

[teecat]

Не совсем так. Данные оправляются субъектом, тем самым он подтверждает факт согласия на их обработку. А вот принимающая сторона, получив это письмо, по факту начинает его обрабатывать (хранение на сервере и тд). А раз приняла, то должна и обеспечить соответствующие меры защиты. Никаких передач третьим лицам тут нет

[Bzjick]

1. издать приказы о назначении ответственных
2. определиться с перечнем обрабатываемых ПД
3. зарегистрироваться в РКН
4. взять с сотрудников «невозражайку»

ну и внутренний телефон — это не ПД, это собственность организации

[teecat]

Не полный список. Скажем наиболее частое нарушение по статистике Роскомнадзора — отсутствие вывешенных публично политик обработки ПДн

[gospodinputin]

Все верно.