В РКН не так давно сменилась команда. Результатом стали платные комментарии от сотрудников Роскомнадзора, ознакомится с которыми я рекомендую каждому.
Учитывая предыдущую традицию публиковать свои разъяснения на сайте, новый способ доводить позицию ведомства по злободневным вопросам до населения вызывает, мягко говоря, множество вопросов. Лично я вижу в этом коррупцию и желание отдельных сотрудников Роскомандзора получать гонорар за то, за что они уже получают свою зарплату из моих налогов. Ну да ладно. Ближе к делу...
name='more'>
Как купить комментарии?
Купить тут , оплатить 100 рублей (а не 265!), написать письмо и приложить копию платежки, ждать. Говорят, уже кто-то выложил в открытый доступ. Если попадётся линк - добавлю.Что такое персональные данные?
На основании судебных решений к ПДн точно относят:
- паспортные данные
- данные технического паспорта на дом
- адреса места жительства индивидуальных предпринимателей
- сведения о пересечении государственной границы
- адрес регистрации должностного лица, сведения о его доходах и собственности
- данные работника, указанные в трудовом договоре
Обратите внимание: адрес места жительства ИП - персональные данные, а значит системы, обрабатывающие сведения о юр.лицах, могут стать ИСПДн если в них будут ИП,
По мнению авторов (а они по-совместительству ещё и высокопоставленные сотрудники Роскомнадзора), к перс.данным так же относят:
- номер и серия паспорта;
- страховой номер индивидуального лицевого счета;
- идентификационный номер налогоплательщика;
- банковский счет,
- номер банковской карты
- а так же идентификаторы, особенно выданные государством
Дальше ещё интересней. Вот данные, которые с "определеннойвероятностью можно рассматривать как персональные" (!):
- фамилия, имя, отчество, дата рождения, место прописки;
- фамилия, имя, отчество, дата рождения, должность;
- фамилия, имя, отчество (возможно, фамилия и инициалы) плюс любая информация, выделяющая субъекта из уже ограниченного круга лиц.
Там же пример: житель Москвы А.А, Иванов - неперсональные данные (ибо много их, Ивановых). Житель дома N10 А.А. Иванов - персональные данные.
Один раз на одном мероприятии я так же слышал от представителя Роскомнадзора такую точку зрения: нет Отчества - не ПДн.
Но дальше ещё интересней.
Фото - не биометрия
Не смотря на свою предыдущую точку зрения, Роскомнадзор теперь считает фотографию не биометрическими персональными данными, так как (Внимание!) она не позволяет произвести достоверную идентификацию субъекта, так как живут на свете близнецы (!) или можно сделать пластическую операцию на лицо (!!). Браво, Роскомнадзор! Лучшей иллюстрации фразы "закон — что дышло: куда повернёшь — туда и вышло" я и представить себе не могу. В общем нам остаётся только свыкнуться с новым фактом: фотография - не биометрия (спасибо близнецам и пластическим хирургам!).
Автоматическое распознавание только по двухмерной фотографии связано с большой вероятностью ошибки. Двухмерная фотография представляет собой распределение яркости, поэтому она может изменяться под воздействием различных факторов, например, освещения, ракурса, расстояния до лица, макияжа, наличия очков и т.п. В связи с такой неустойчивостью к внешним воздействиям при автоматическом сравнении по двухмерной фотографии вероятность ошибки идентификации крайне высока.
ФЗ-152 и облака
Текущая трактовка требований ФЗ-152 существенно затрудняет использование облачных сервисов по двум причинам:
1. Не допускается объединение баз данных, созданных в несовместимых целях (ч. 3 ст. 5 152-ФЗ). РКН трактует этот пункт на примере ИСПДн "Зарплата и управление персоналом". Эту БД нельзя объединять с другими. Поэтому базы данных лучше разделять на всех уровнях.
2. Трансграничная передача ПДн должна быть обоснована целями обработки. Даже наличие согласия на транcграничную передачу не даёт оснований для такой передачи, если цель обработки это напрямую не предусматривает. В качестве примера РКН приводит электронные дневники, которые могут хоститься за рубежом , что нарушает принципы обработки персональных данных, так как дети и родители находятся в России (Прощай, Amazon AWS и Microsoft Azure!).
Судимость без подробностей - не специальная категория ПДн
"Были ли вы судимы? (Да/Нет)" спрашивать теперь можно.
Из интересного:
- Над 152-ФЗ стоит так же Модельный Закон от 16 октября 1999г "О персональных данных". В нем, к слову, прописана обязанность регистрировать базы персональных данных...
- РКН не может прийти к вам с внеплановой проверкой без поручения Правительства, Президента или прокурора (пока что). Но может запросить согласия субъектов, что не считается документальной проверкой и не подпадает под 294-ФЗ
- Иногда случаются казусы:
Например, прокуратурой г. Сарапула Удмуртской Республики было вынесено постановление об административном правонарушении от 04.04.2014 в отношении главного специалиста эксперта Управления Роскомнадзора по Удмуртской Республике. Основанием для вынесения постановления послужило направление Управлением Роскомнадзора по Удмуртской Республике в адрес оператора персональных данных требования о предоставлении информации (сведений) и изучение информации (сведений), содержащейся в представленных оператором документах, а также сведений, представленных оператором в письменном ответе, что было расценено прокуратурой как проведение внеплановой документарной проверки в соответствии с Законом о защите прав юридических лиц и индивидуальных предпринимателей при осуществлении контроля.
- РКН не может ничего сделать с вашей лицензией, несмотря на то, что п.6 ч.3 ст.23 ФЗ-152 такие полномочия ему даёт. Процедура не детализирована и нет соответствующих правовых мостиков, так что можно спать спокойно.
