11 Декабря, 2011

Вопросы/коллизии ПДн

Andrey Prozorov
Один из принципов обработки ПДн в 152-ФЗ гласит, что "6. При обработке персональных данных должны быть обеспеченыточность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые мерылибо обеспечивать их принятие по удалению или уточнению неполных или неточных данных."

В обычных случаях обработки ПДн (ну, например, кадровый документооборот, заключение договоров на услуги и пр.) все нормально. Когда мы собираем данные с субъекта (заполняем анкеты и базы), то мы проверяем точность иактуальность посредством сверки с официальными документами, например паспортом, и с достаточностью тоже все хорошо, просим субъекта предоставить все необходимые сведения, и пока не предоставит, то не оформляем.
Но есть очень интересная ситуация при удаленном внесении ПДн самим пользователем (регистрация на сайтах сети Интернет). Это могут быть и обычные соц.сети, и сервисы продажи билетов,и подача заявлений на кредитные карты и т.д. При этом точность и актуальность ПДн не может быть проверена, и в ряде случаев (например, те же самые соц.сети) нельзя оценить достаточность (да и избыточность). Повторюсь, что оператор "должен принимать необходимые меры ... по удалению или уточнению неполных или неточных данных". А это уже не просто осуществить, с точки зрения удобства пользователя-субъекта. Ну, по крайней мере до появления и обязательств по использованию единых удостоверяющих электронных карт и ЭЦП. Вот так вот...

А что если такие сведения не считать ПДн? Вот, например, регистрируюсь я где-либо под вымышленным именем и другими персональными сведениями, то будут ли такие данные персональными? Понимаю, что практически нереально, да и регуляторы не одобрят, но что если вывести эти данные из под действия 152го закона...