9 Января, 2013

Как РКН на мое обращение отвечал

Andrey Prozorov
В конце 2012 года, а точнее 27.11.2012, я оправил обращение (вопрос) в РКН через их официальную форму. Тематика обращения: Обработка персональных данных (далее - ПДн) / Защита прав субъектов персональных данных и совершенствование законодательства в указанной области. 
Суть проста: являются ли ПДн определенный набор полей информации (логин и имя, пароль, адрес электронной почты, номер мобильного телефона), которые мы обычно заполняем на различных интернет сайтах.

Тут несколько мнений:
  1. Да, являются. Ведь ФИО (обычно запрашивают именно имя и фамилию), и, в особенности, мобильный телефон и адрес электронной почты, - это информация (любая), относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (из 152-ФЗ).
  2. Нет, не являются. Когда данная информация вносится в формы на интернет сайте, то не проверяется ее точность и актуальность. Можно написать заведомо ложную информацию и/или информацию о любом другом субъекте ПДн, причем без его ведома.
Проблема заключается в том, что если это ПДн, то и защищать (выполнять требования) должны как ПДн. А это и правильные формы уведомления об обработке, и общедоступная политика оператора в области ПДн, и тех.и орг. меры, и использование сертифицированных (прошедших в установленном порядке процедуру оценки соответствия) средств защиты информации. К сожалению, на данный момент я не встречал ни один российский сайт (включая сайты гос.структур), соответствующий всем требованиям.
Если же рассматриваемый набор информации не ПДн, то и требования по защите будут другие. В большинстве случаев меры защиты могут быть выбраны операторами самостоятельно. А это, как вы понимаете, проще, дешевле и зачастую "безопаснее".

Несмотря на просьбу однозначного ответа коллеги из РКН ответили довольно уклончиво, но все же достаточно информативно:
"Уведомление Роскомнадзора по Москве и Московской области (далее - Управление) рассмотрело Ваше обращение и сообщает следующее.
Согласно ст.3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", персональные данные - любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных) , из чего следует, что номер мобильного телефона, адрес электронной почты и идентификатор пользователя (логин и имя), не являются информацией, на основании которой это лицо (субъект персональных данных) можно однозначно идентифицировать."

Да, невозможно однозначно идентифицировать субъекта ПДн,  но является ли данная информация ПДн? А если это ПДн, то значит ли это, что это "обезличенные ПДн" (ПДн, чью принадлежность конкретному субъекту ПДн невозможно определить без использования дополнительной информации)?

Вот такой вот ответ. Думайте сами, спрашивайте регуляторов и получайте официальные ответы.
Обращение можно оставить здесь - http://rsoc.ru/treatments/ask-question


А как вы считаете, надо ли защищать регистрационную информацию на сайтах как ПДн (выполнять все требования)?



P.S. Кстати, кто еще не в курсе, на сайте РКН появился  "План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2013 год" .
Планируется порядка 1500 поверок соблюдения операторами обязательных требований в сфере обработки ПДн.
или введите имя

CAPTCHA
Михаил Нескажуев
11 Марта, 2015
С трудом понимаю логику, в которой «персональность» одних и тех же данных у одного и того же оператора в моменты времени А и Б зависит от того, существует ли где-то в природе в некий момент Б, в отличие от А, информация о том, кому именно принадлежит этот номер телефона, адрес электронной почты, логин и пароль и так далее. Если продолжать рассуждения в этом ключе, то получается какая-то кривая картина мира. Допустим, оператор получает ФИО + e-mail + номер телефона (для регистрации на сайте вполне достаточно). Понятно, что по одним лишь этим данным вычислить конкретного субъекта нельзя. Но откуда оператор знает? Возможно, где-то в Интернете, или в какой-нибудь книге, или в какой-нибудь нелегальной базе написано, что вся эта информация (или её часть) относится к такому-то человеку, который выглядит так-то, живёт там-то и т. д. Это что, для того чтобы определить, ПД это или нет, нужно в постоянном режиме мониторить всё перечисленное? Возможно, ПД станут для оператора П в момент, когда он (намеренно или случайно) получит сведения о субъекте, достаточные для привязки их к конкретному человеку? Но это очевидно лишь один определённый законом случай: «относящиеся к прямо определённому физическому лицу». Ну и потом, представьте, что в одной базе данных написано: «Владелец телефона + 1 234 5678901 убил Бориса Немцова», а в другой, принадлежащей другому оператору: «Владельцем телефона + 1 234 5678901 является Оооев Ооой Оооевич (паспорт гражданина РФ: серия 00 00, № 000000)», а в третьей будет содержаться фотография владельца этого паспорта. В заданных условиях ни один оператор не обладает информацией, позволяющей определить её принадлежность к конкретному человеку без получения дополнительных сведений (и, значит, могут свободно эту информацию распространять, ведь это же не ПД в рамках критикуемой мною логики). Зато те люди, которые знают, что этот номер принадлежит этому человеку или знают, как он выглядит, но которым неизвестны его паспортные данные (или придуманная, разумеется, мною причастность к упомянутому преступлению), благодарю распространению указанного выше содержания баз данных получают возможность восполнить пробелы в своих знаниях. И что, неужели для г-на Оооева (на защиту которого, в частности, направлен закон о ПД) будет иметь хоть какое-то значение, владел или не владел идентифицирующей информацией любой из операторов? Ему будет важно, что сведения, которые он хотел бы хранить в секрете (в частности из-за их недостоверности), оказались в умах знакомых ему людей. Если продолжать такую логику, то важно, является ли данная последовательность символов уникальной (e-mail, телефон, логин и пароль для входа на некий сайт под некоей учётной записью, идентификатор этой учётной записи, номер icq, скайп-логин, номер банковского счёта в конкретном банке и т. д.) или нет. Если да, то имеет место косвенная определённость, если нет, то о персональных данных говорить не приходится. Что думаете о таком подходе?
0 |
Andrey Prozorov
11 Марта, 2015
Я с вами абсолютно согласен, поэтому выступаю с резкой критикой идеи обезличивания путем замены фио на идентификатор (суть вы изложили в своем примере).
0 |