Как объяснили нам ФСТЭК, это дополнительная информация (не важно на чем она) с помощью которой можно определить конкретного человека… ссылка на документ у нас в системе есть. Это реальный случай. Со ФСТЭКом сильно не поспорить.
Власть как обычно, взяли документы других стран, перевели, состыковали абы как и приняли. Это ж все для ЕвроСоюза :). До сих пор есть разногласие в части документах по поводу Автоматической и Автоматизированной системы. Из за неправильного переводя документы другу другу противоречат.
Тут тоже не все так просто. Реальный пример: организация вела базу клиентов и вместо ФИО + ДР + Паспорт, использовала в ИСПДн номер (КОД). Кодом был номер бумажного документа который хранился в другом отделе, закрытый в сейфе, в бумагу были те самые ФИО + ДР + Паспорт.
Была проверка со ФСТЭКом, ФСТЭК сказал, что можно определить человека, так как можно получить доступ к бумагам.
Тут двоякая ситуация, документы не отменены, а как сказано в решении: «не применять с 15 марта 2010 г.»
Также у ФСТЭКа есть регламентирующие документы в статусе ДСП (Для служебного пользования) с которыми многие даже не знакомы. Если у Вас есть эти документы буду Вам очень признателен если Вы отправите ссылочку.
Как уже написано ниже в комментариях «На этот вопрос не знают однозначного ответа ни законодатели ни РосКомНадзор.».
может так получится что ФИ + ДР может оказаться несколько, что не позволит идентифицировать конкретного, НО ТАКЖЕ может и одна только ФИО (если такой человек с такими ФИО уникальны) уже позволит узнать конкретного человека
Если например только Фамилия Имя Отчество то данные будут обезличены, по ним не возможно идентифицировать конкретного человека. "обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;" 152-ФЗ п.3
да если вы будете собирать и не распространять или не будете предоставлять доступ к собранной информации сторонним лицам «если при этом не нарушаются права субъектов персональных данных;»
Кстати сам ФСТЭК очень положительно относится к разного рода терминальным сессиям. Можно аттестовать один сервер, на нем держать нужные ПДн. Доступ у ограниченного круга лиц (регламентируется права доступа и тд). В зависимости от класса, возможно придется на клиентские машины ещё навешать Соболя, но это в разы дешевле чем аттестовать каждение место по полной.
Была проверка со ФСТЭКом, ФСТЭК сказал, что можно определить человека, так как можно получить доступ к бумагам.
Также у ФСТЭКа есть регламентирующие документы в статусе ДСП (Для служебного пользования) с которыми многие даже не знакомы. Если у Вас есть эти документы буду Вам очень признателен если Вы отправите ссылочку.
может так получится что ФИ + ДР может оказаться несколько, что не позволит идентифицировать конкретного, НО ТАКЖЕ может и одна только ФИО (если такой человек с такими ФИО уникальны) уже позволит узнать конкретного человека