Вопросы/коллизии ПДн

Вопросы/коллизии ПДн
Один из принципов обработки ПДн в 152-ФЗ гласит, что "6. При обработке персональных данных должны быть обеспеченыточность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые мерылибо обеспечивать их принятие по удалению или уточнению неполных или неточных данных."

В обычных случаях обработки ПДн (ну, например, кадровый документооборот, заключение договоров на услуги и пр.) все нормально. Когда мы собираем данные с субъекта (заполняем анкеты и базы), то мы проверяем точность иактуальность посредством сверки с официальными документами, например паспортом, и с достаточностью тоже все хорошо, просим субъекта предоставить все необходимые сведения, и пока не предоставит, то не оформляем.
Но есть очень интересная ситуация при удаленном внесении ПДн самим пользователем (регистрация на сайтах сети Интернет). Это могут быть и обычные соц.сети, и сервисы продажи билетов,и подача заявлений на кредитные карты и т.д. При этом точность и актуальность ПДн не может быть проверена, и в ряде случаев (например, те же самые соц.сети) нельзя оценить достаточность (да и избыточность). Повторюсь, что оператор "должен принимать необходимые меры ... по удалению или уточнению неполных или неточных данных". А это уже не просто осуществить, с точки зрения удобства пользователя-субъекта. Ну, по крайней мере до появления и обязательств по использованию единых удостоверяющих электронных карт и ЭЦП. Вот так вот...

А что если такие сведения не считать ПДн? Вот, например, регистрируюсь я где-либо под вымышленным именем и другими персональными сведениями, то будут ли такие данные персональными? Понимаю, что практически нереально, да и регуляторы не одобрят, но что если вывести эти данные из под действия 152го закона...
Alt text

Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!


Andrey Prozorov

Информационная безопасность в России и мире