ПДн-Ликбез

Persona (non) grata

добавить в избранное

ПДн-Ликбез

Прочитали: 2166 Комментариев: 64 Рейтинг: 78

18 февраля 2019

- Если вы обрабатываете данные в
ИСПДН, то вам нужно использовать
сертифицированные версии.
- Что это за система? Мы с ней не
работаем, просто храним паспортные
данные.

Диалог пользователя со специалистом
службы поддержки «Доктор Веб»

В качестве эпиграфа – почти дословное содержание обращения в нашу техническую поддержку. Клиент хотел купить сертифицированные продукты, но точно не знал, нужны ли они ему. Казалось бы: есть юристы, они обязаны знать нюансы законодательства, касающиеся работы фирмы. Ладно если речь о защите критических данных – это тема новая, до сих пор вызывающая кучу вопросов. Но уж вопросы защиты персональных данных за прошедшие годы растолкованы вдоль и поперек ... И тем не менее многие не знают о своих обязанностях с точки зрения закона.

В этом нет ничего странного. Большинство людей очень далеки от ИБ, и их технический уровень весьма невысок (и это абсолютно нормально).

Итак, приступим – и начнем с терминологии.

Персональные данные (общеупотребительное сокращение – ПДн). Определение, которое дает Федеральный закон от 27.07.2006 N 152-ФЗ (в текущей редакции от 31.12.2017) «О персональных данных», достаточно широко трактует понятие персональных данных. Согласно закону, «персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Естественно, с таким определением работать нельзя. Цвет лица спросонья – это уже персональная информация. Нужно как-то ограничить круг данных, которые мы обязаны защищать.

На практике под персональными данными понимают данные, по которым можно идентифицировать то или иное лицо.

Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Источник

Вот пара примеров.

Фамилия, имя и отчество. Это персональные данные и нужно ли их защищать? В большинстве случает – нет, наверняка есть люди, имеющие то же ФИО. Но поскольку среди ваших контактов наверняка есть люди с уникальными именами – да, защищать нужно, так как выявить уникальные ФИО самостоятельно вы не сможете.

Надо признать, что вопрос о том, являются ли ФИО персональными данными, дискутируется до сих пор. Но в подавляющем большинстве случаев он не имеет смысла, так как крайне редко хранятся только ФИО – скорее всего, в базе будет присутствовать и другая информация о человеке (скан паспорта, телефон, почтовый или электронный адрес, фотография). Вопрос станет актуальным, только если вы решите обезличить персональные данные – хранить их в нескольких базах, в каждой из которых должен быть набор данных, не являющихся персональными.

Фамилия, имя и отчество, дата и/или место рождения, профессия, образование. Теоретически и тут могут быть «двойники», но вероятность уже меньше. И защищать эту информацию нужно по причинам, перечисленным выше.
Паспорт. Однозначно персональные данные, поскольку они однозначно определяют субъекта.
Номер телефона, IP-адрес, электронная почта. Тоже дискуссионный вопрос, как показывают дела о репостах. Кто сделал запись с вашего IP-адреса на вашей страничке в соцсети (очень часто следственные органы считают, что если адрес ваш, то и данные с него заносите вы).

Здесь нужно понимать, что возможность определить то или иное лицо зависит от дознавателя или атакующего. В российской практике, к сожалению, атакующий имеет доступ к базам данных граждан Российской Федерации и может легко вычислить, кому принадлежит тот или иной адрес.

Суды признавали, что персональными данными являются:

информация о смерти физического лица (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015);
фотографии физического лица (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).

Источник

Как мы видим, данные по отдельности могут и не позволять определить то или иное лицо. Поэтому оператор персональных данных (тот, кто их собирает, обрабатывает и защищает) первым делом должен выяснить, какие данные он имеет на руках / планирует собирать, определить, позволяют ли они в совокупности определить человека, и, возможно, избавиться от ряда ненужных данных, с тем чтобы понизить степень защиты.

Это интересно

все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;
работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

«Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (ред. от 27.12.2018)

И кстати: «работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников».

#персональные_данные #законодательство

Антивирусная правДА! рекомендует

Тема ПДн – очень обширная, так что продолжение следует. Ну и, конечно же, задавайте вопросы в комментариях.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Альфа
23:42:18 2019-07-01

Это должен знать каждый. Спасибо за интересную тему.

Andromeda
16:27:36 2019-06-28

ИСПДН? Да многие и не знают, что это такое!

Неуёмный Обыватель Собкор
13:37:30 2019-02-19

@Вячeслaв, эх, печалька... Погиб во мне зарождающийся хроникёр и биограф. Можно писать только фантастические книги про вымышленных персонажей.

Вячeслaв Собкор
13:01:53 2019-02-19

@Неуёмный_Обыватель, закон не разделяет понятия автоматизированной (через компьютеры) и неавтоматизированной обработки. Если вы неавтоматизированно обрабатываете, то озаботьтесь спец комнатой для хранения бумаг, решетками на окна. Охраной комнат и тд. Уж чего-чего, а требования пор защите бумаг за века отточены до нюансов

Alexander Собкор
12:23:48 2019-02-19

@Вячeслaв, на 10:24:14 2019-02-19, - спасибо за справку. Как всегда, - кратко, информативно и понятно. Только вот я в своём комментарии (от 11:08:23 2019-02-18) никаких вопросов не задавал. Надеюсь, что автор вопросов, на которые Вы дали ответ (случайно адресованный мне), Ваш ответ не пропустит... ответ от admin найдёт своего адресата...

Вячeслaв Собкор
10:24:14 2019-02-19

@Alexander, Что есть ПДн, а что нет - вопрос весьма скользкий. Для одного какой-то признак ничего не значит, для другого он будет важен. И признаются данные ПДн или нет в зависимости от возможностей атакующего. Тоесть компания сначала составляет модель нарушителя, значимую именно для нее, и собирает список угроз, которые именно для нее значимы (и да, может сказать, что эта угроза для нас не значима и этот тип нарушителя нами не заинтересуется), а уже потом выбирает средства защиты и утверждает меры защиты.

И исходя из этого ваш вопрос, а можете ли вы быть уверены, Dr.Web надежно вас защищает теряет смысл. Именно вы решаете, что для противодействия вашему списку угроз соответствует именно эта мера защиты. И я не издеваюсь никоим образом. Ответственность лежит на операторе. Таков закон

Вячeслaв Собкор
10:15:00 2019-02-19

@eaglebuk, так вы же самостоятельно сделали их общедоступными :-)

Неуёмный Обыватель Собкор
10:14:14 2019-02-19

@Вячeслaв, мне тоже кажется, что благие намерения этого закона претворить в жизнь практически нереально. Разве что применив чрезвычайной мощности и продолжительности административный ресурс, что маловероятно.
Ну ведь не обязательно на компьютере обрабатывать. В блокнотике-то бумажном по старинке можно? :)

Вячeслaв Собкор
10:11:00 2019-02-19

@robot, торгуют и защита - две разные вещи. Торгуют, потому что полиции на это чхать. А не защищают, потому что:
- чхать пользователям, которые игнорируют меры защиты
- чхать компаниям, которые не боятся штрафов за отсутствие защиты с одной стороны и назначают нижайшие зарплаты сотрудникам, в результате чего тем просто выгодно продать подзащитные данные, так как жрать хочется

Вячeслaв Собкор
10:05:16 2019-02-19

@Korney, она в любой стране далека от идеала, утечки персональных данных сейчас идут везде и будет их еще больше. Отличие нашей страны только в том, что у нас ими торгуют открыто. Вот это печаль

Вячeслaв Собкор
10:03:08 2019-02-19

@Неуёмный_Обыватель, вот личное мнение - вся эта борьба за персональные данные и их защиту нежизнеспособна. С одной стороны людям в большинстве чхать на свои данные - они распространяют их через соцсети и не парятся. С другой - защитить персональные данные нереально в принципе. Скажем хочет некая девушка (ПДн скрыты) написать (ПДн скрыты) - "Я вас хочу, чего же боле". А он сначала требует от нее согласие на обработку ее ПДн в письменном виде. И это реальность наших дней, почта называется. А в третьих - как работать без сбора ПДн? Тем же рекрутерам

> Считается ли сбор данных "получением у него самого"?
Читаем закон. Согласие об обработке ПДн в любой форме может быть только и исключительно письменным. Исключений нет. Все эти галки на сайте незаконны. Мало ли кто эту галочку поставил. Да Роскомнадзор, говорит, что это согласие. Но Роскомнадзор не имеет права комментировать закон. Это может делать исключительно суд. Да и то подозреваю, что Верховный

Вот так и живем. А как иначе работать?

> Раз эти данные компания начала собирать и анализировать, значит она занялась уже обработкой персональных данных кандидата без его согласия?
Ага! Именно поэтому и рекомендуют собирать и анализировать в памяти, но никак не на компьютере

razgen Собкор
01:04:03 2019-02-19

@achemolganskiy, "...А реальность абсолютно другая."

Абсолютно согласен, в практической жизни, во многих случаях, реальность не всегда соответствует теории.

Rider
23:48:41 2019-02-18

В реальности доступ к нашим данным найти не так уж сложно,было бы желание (

Rider
23:48:34 2019-02-18

В реальности доступ к нашим данным найти не так уж сложно,было бы желение (

Zserg
23:22:19 2019-02-18

И интересно, и познавательно, спасибо.

Korney
22:13:02 2019-02-18

Защита ПДн? Думаю в нашей стране ситуация далека от идеала...

orw_mikle
21:45:13 2019-02-18

Свои ПДн, а именно паспорт, представляется во все возможные места, и не понятно, кто и где их охраняет.

mk.insta
21:33:32 2019-02-18

Сейчас все, что касается персональных данных все важнее!

Геральт Собкор
21:31:17 2019-02-18

Защита персональных данных актуальна во все времена.

stavkafon
21:31:04 2019-02-18

Интересная тема, будем ждать продолжения.

Александр
20:27:05 2019-02-18

Тема интересная очень и мы должны знать свои права.

Раш КХ
20:25:33 2019-02-18

Интересную тему затронули. все как-то имеют к этому отношение. Ждем продолжение..

anatol
20:18:30 2019-02-18

Практически любые данные о человеке являются персональными и подлежат защите, ибо все они тесно взаимосвязаны и, зная одни, можно элементарно добраться до других.

Lia00 Собкор
20:15:40 2019-02-18

что только с персон.данными не бывает...

Dvakota
20:00:31 2019-02-18

В области зашиты ПД много бардака , но стремиться улучшить ситуацию надо.Да и самому принимать меры для собственной безопасности .

matt1954
18:59:31 2019-02-18

Хороший выпуск.С нетерпением жду продолжения...

Шалтай Александр Болтай Собкор
18:57:25 2019-02-18

— Не суди, да не судим будешь.
— Протест защиты отклонён.

robot
18:43:34 2019-02-18

Персональными данными торгуют на барахолке. О какой защите идёт речь? Службы безопасности пробивают работника. Кто им давал такие возможности?

Toma
16:56:28 2019-02-18

Хороший получился ПДн-Ликбез! В избранное.

marisha-san Собкор
16:24:14 2019-02-18

Чем дальше в лес, тем больше дров.

Masha
15:48:28 2019-02-18

Спасибо за интересную информацию о персональных данных! Оказывается много нюансов.

МЕДВЕДЬ
15:42:43 2019-02-18

Что-то я уже сомневаюсь,что у нас спраштвают разрешения.Статья очень интересная,ждем продолжения.Спасибо.

kozinka.ru Собкор
15:41:27 2019-02-18

Девочку взяли в отдел кадров, а объяснить, что такое персональные даннные и методы работы с ними, некому, да и ей некогда изучать этот предмет. Инстаграмм, vk и прочие соцсети не позволяют ей понять, что же это за ИСПДН!
Так и живём...

I23
15:29:01 2019-02-18

И кто его знает, что это за ИСПДН. Наши данные с собой

Lenba
15:22:27 2019-02-18

ПД у нас забирают с нашего разрешения

SGES Собкор
15:21:07 2019-02-18

Чем ближе беда, тем больше ума.

Dmur
15:19:58 2019-02-18

Полезные статьи по ПДн. Ждем следующие статьи.

I46
15:10:47 2019-02-18

Работаем в связке с работодателем по защите ПД

maestro431
14:35:10 2019-02-18

Да, это сложно понять!

Serg07
14:12:01 2019-02-18

Организации обзывают защищать ПДн по закону(как минимум 252-ФЗ)
Но и простые граждане должны понимать какие данные о них персональные и как можно требовать их защищать.

Родриго
13:28:26 2019-02-18

посмотрим дальше. было довольно актуально при работе в колл-центрах, незаблокированный компьютер сотрудника - самый простой способ доступа к информации.

znamy
13:23:42 2019-02-18

На такие темы надо разговаривать с работодателями,но и простым людям надо знать их.

eaglebuk
13:09:38 2019-02-18 Именинник

На местную почту народ приходит и сообщает свой адрес и фамилию, чтобы узнать, пришло ли ему что-нибудь - мелкий пакет, квитанция, письмо и пр. А если пришла посылка какая-нибудь, так ещё и телефон продиктуют, чтобы ответную смс получить. Нужно ли остальным уши затыкать, ибо они узнают чьи-то персональные данные?

vinnetou
12:21:27 2019-02-18

Полезная информация,будем ждать продолжения!!!

Денисенко Павел Андреевич
12:12:25 2019-02-18

Знания по ПДн, лишними не будут.

sanek-xf
11:51:57 2019-02-18

Интересный выпуск. Буду следить за темой.

Неуёмный Обыватель Собкор
11:12:37 2019-02-18

"все персональные данные работника следует получать у него самого."
Практически всегда сейчас сбор данных о будущем работнике начинается до первого контакта с потенциальным работником: с соцсетей, сайтов по поиску работы, сайтов компаний, где человек ранее работал. Где-то идут дальше и применяют более масштабные программы сбора и анализа данных.
Теоретически почти все из этого человек сам выложил куда надо и куда не надо.
Отсюда вопрос: Считается ли сбор таких данных "получением у него самого"?
И второй вопрос: Раз эти данные компания начала собирать и анализировать, значит она занялась уже обработкой персональных данных кандидата без его согласия?

Alexander Собкор
11:08:23 2019-02-18

Некий умник мог бы дать такой анонс ожидаемой серии статей о "ПДн": "Некоторые тезисы краткого обзора вступления к размышлениям о неоднозначности отожествления личности с разнообразными искусственными характеристиками её внешнего проявления в обществе"... Без специального "стимулятора" сразу и не поймёшь… Да, такие вот они, эти самые "ПДн"... Не однозначно и не просто...

И ещё такая мысль о сути спора о том, относить или не считать те или иные данные объекта персональными. Известная поговорка: "Хоть горшком назови, только в печь не сажай". В ней имеются такие составляющие: Горшок, как объект; "горшок", как название; сажать в печь, - действия над объектом; субъект, - группа лиц, которая собирается посадить объект, названный "горшком", в печь.

Так вот, предметом сегодняшней статьи являются разные объективные данные личности, которые либо официально называют "ПДн", либо некая группа лиц (министерство, комитет) не желает эти данные признать в качестве "ПДн". Почему?! Да потому, что после их официального признания "ПДн", на обработку данных в таком статусе потребуются дополнительные затраты (в том числе, на защиту и учет) и ответственность с новой "головной болью". А кому это надо?! Вот и отпихиваются…

Спасибо за статью. Их серия с тематикой "ПДн" обещает быть интересной.

P.S. Мы можем быть уверены, что продукция Dr.Web, в том числе и мой любимый Dr.Web Security Space надёжно защищает наши "ПДн"...

B0RIS
10:46:06 2019-02-18

ПДн - тема необъятная и неиссякаемая.

dyadya_Sasha Собкор
10:04:38 2019-02-18

Ощущение легкого бардака в этой области. Откуда быть железному порядку, если сам объект наведения порядка широко и расплывчато трактуется законом. С другой стороны, жесткие требования в области защиты ПДн могут оказаться тяжелым ярмом (помимо СЭС, пожарников и др.) для предприятий, а для кого-то и неподъемным.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

ПДн-Ликбез

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей