ПДн-Ликбез
18 февраля 2019
- Если вы обрабатываете данные в
ИСПДН, то вам нужно использовать
сертифицированные версии.
- Что это за система? Мы с ней не
работаем, просто храним паспортные
данные.
Диалог пользователя со специалистом
службы поддержки «Доктор Веб»
В качестве эпиграфа – почти дословное содержание обращения в нашу техническую поддержку. Клиент хотел купить сертифицированные продукты, но точно не знал, нужны ли они ему. Казалось бы: есть юристы, они обязаны знать нюансы законодательства, касающиеся работы фирмы. Ладно если речь о защите критических данных – это тема новая, до сих пор вызывающая кучу вопросов. Но уж вопросы защиты персональных данных за прошедшие годы растолкованы вдоль и поперек ... И тем не менее многие не знают о своих обязанностях с точки зрения закона.
В этом нет ничего странного. Большинство людей очень далеки от ИБ, и их технический уровень весьма невысок (и это абсолютно нормально).
Итак, приступим – и начнем с терминологии.
Персональные данные (общеупотребительное сокращение – ПДн). Определение, которое дает Федеральный закон от 27.07.2006 N 152-ФЗ (в текущей редакции от 31.12.2017) «О персональных данных», достаточно широко трактует понятие персональных данных. Согласно закону, «персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Естественно, с таким определением работать нельзя. Цвет лица спросонья – это уже персональная информация. Нужно как-то ограничить круг данных, которые мы обязаны защищать.
На практике под персональными данными понимают данные, по которым можно идентифицировать то или иное лицо.
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Вот пара примеров.
-
Фамилия, имя и отчество. Это персональные данные и нужно ли их защищать? В большинстве случает – нет, наверняка есть люди, имеющие то же ФИО. Но поскольку среди ваших контактов наверняка есть люди с уникальными именами – да, защищать нужно, так как выявить уникальные ФИО самостоятельно вы не сможете.
- Фамилия, имя и отчество, дата и/или место рождения, профессия, образование. Теоретически и тут могут быть «двойники», но вероятность уже меньше. И защищать эту информацию нужно по причинам, перечисленным выше.
- Паспорт. Однозначно персональные данные, поскольку они однозначно определяют субъекта.
-
Номер телефона, IP-адрес, электронная почта. Тоже дискуссионный вопрос, как показывают дела о репостах. Кто сделал запись с вашего IP-адреса на вашей страничке в соцсети (очень часто следственные органы считают, что если адрес ваш, то и данные с него заносите вы).
Здесь нужно понимать, что возможность определить то или иное лицо зависит от дознавателя или атакующего. В российской практике, к сожалению, атакующий имеет доступ к базам данных граждан Российской Федерации и может легко вычислить, кому принадлежит тот или иной адрес.
Надо признать, что вопрос о том, являются ли ФИО персональными данными, дискутируется до сих пор. Но в подавляющем большинстве случаев он не имеет смысла, так как крайне редко хранятся только ФИО – скорее всего, в базе будет присутствовать и другая информация о человеке (скан паспорта, телефон, почтовый или электронный адрес, фотография). Вопрос станет актуальным, только если вы решите обезличить персональные данные – хранить их в нескольких базах, в каждой из которых должен быть набор данных, не являющихся персональными.
Суды признавали, что персональными данными являются:
- информация о смерти физического лица (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
- номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015);
- фотографии физического лица (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).
Как мы видим, данные по отдельности могут и не позволять определить то или иное лицо. Поэтому оператор персональных данных (тот, кто их собирает, обрабатывает и защищает) первым делом должен выяснить, какие данные он имеет на руках / планирует собирать, определить, позволяют ли они в совокупности определить человека, и, возможно, избавиться от ряда ненужных данных, с тем чтобы понизить степень защиты.
Это интересно
- все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
- работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;
- работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
- при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
«Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (ред. от 27.12.2018)
И кстати: «работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников».
Антивирусная правДА! рекомендует
Тема ПДн – очень обширная, так что продолжение следует. Ну и, конечно же, задавайте вопросы в комментариях.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Альфа
23:42:18 2019-07-01
Andromeda
16:27:36 2019-06-28
Неуёмный Обыватель
13:37:30 2019-02-19
Вячeслaв
13:01:53 2019-02-19
Alexander
12:23:48 2019-02-19
Вячeслaв
10:24:14 2019-02-19
И исходя из этого ваш вопрос, а можете ли вы быть уверены, Dr.Web надежно вас защищает теряет смысл. Именно вы решаете, что для противодействия вашему списку угроз соответствует именно эта мера защиты. И я не издеваюсь никоим образом. Ответственность лежит на операторе. Таков закон
Вячeслaв
10:15:00 2019-02-19
Неуёмный Обыватель
10:14:14 2019-02-19
Ну ведь не обязательно на компьютере обрабатывать. В блокнотике-то бумажном по старинке можно? :)
Вячeслaв
10:11:00 2019-02-19
- чхать пользователям, которые игнорируют меры защиты
- чхать компаниям, которые не боятся штрафов за отсутствие защиты с одной стороны и назначают нижайшие зарплаты сотрудникам, в результате чего тем просто выгодно продать подзащитные данные, так как жрать хочется
Вячeслaв
10:05:16 2019-02-19
Вячeслaв
10:03:08 2019-02-19
> Считается ли сбор данных "получением у него самого"?
Читаем закон. Согласие об обработке ПДн в любой форме может быть только и исключительно письменным. Исключений нет. Все эти галки на сайте незаконны. Мало ли кто эту галочку поставил. Да Роскомнадзор, говорит, что это согласие. Но Роскомнадзор не имеет права комментировать закон. Это может делать исключительно суд. Да и то подозреваю, что Верховный
Вот так и живем. А как иначе работать?
> Раз эти данные компания начала собирать и анализировать, значит она занялась уже обработкой персональных данных кандидата без его согласия?
Ага! Именно поэтому и рекомендуют собирать и анализировать в памяти, но никак не на компьютере
razgen
01:04:03 2019-02-19
Абсолютно согласен, в практической жизни, во многих случаях, реальность не всегда соответствует теории.
Rider
23:48:41 2019-02-18
Rider
23:48:34 2019-02-18
Zserg
23:22:19 2019-02-18
Korney
22:13:02 2019-02-18
orw_mikle
21:45:13 2019-02-18
mk.insta
21:33:32 2019-02-18
Геральт
21:31:17 2019-02-18
stavkafon
21:31:04 2019-02-18
Александр
20:27:05 2019-02-18
Раш КХ
20:25:33 2019-02-18
anatol
20:18:30 2019-02-18
Lia00
20:15:40 2019-02-18
Dvakota
20:00:31 2019-02-18
matt1954
18:59:31 2019-02-18
Шалтай Александр Болтай
18:57:25 2019-02-18
— Протест защиты отклонён.
robot
18:43:34 2019-02-18
Toma
16:56:28 2019-02-18
marisha-san
16:24:14 2019-02-18
Masha
15:48:28 2019-02-18
МЕДВЕДЬ
15:42:43 2019-02-18
kozinka.ru
15:41:27 2019-02-18
Так и живём...
I23
15:29:01 2019-02-18
Lenba
15:22:27 2019-02-18
SGES
15:21:07 2019-02-18
Dmur
15:19:58 2019-02-18
I46
15:10:47 2019-02-18
maestro431
14:35:10 2019-02-18
Serg07
14:12:01 2019-02-18
Но и простые граждане должны понимать какие данные о них персональные и как можно требовать их защищать.
Родриго
13:28:26 2019-02-18
znamy
13:23:42 2019-02-18
eaglebuk
13:09:38 2019-02-18
vinnetou
12:21:27 2019-02-18
Денисенко Павел Андреевич
12:12:25 2019-02-18
sanek-xf
11:51:57 2019-02-18
Неуёмный Обыватель
11:12:37 2019-02-18
Практически всегда сейчас сбор данных о будущем работнике начинается до первого контакта с потенциальным работником: с соцсетей, сайтов по поиску работы, сайтов компаний, где человек ранее работал. Где-то идут дальше и применяют более масштабные программы сбора и анализа данных.
Теоретически почти все из этого человек сам выложил куда надо и куда не надо.
Отсюда вопрос: Считается ли сбор таких данных "получением у него самого"?
И второй вопрос: Раз эти данные компания начала собирать и анализировать, значит она занялась уже обработкой персональных данных кандидата без его согласия?
Alexander
11:08:23 2019-02-18
И ещё такая мысль о сути спора о том, относить или не считать те или иные данные объекта персональными. Известная поговорка: "Хоть горшком назови, только в печь не сажай". В ней имеются такие составляющие: Горшок, как объект; "горшок", как название; сажать в печь, - действия над объектом; субъект, - группа лиц, которая собирается посадить объект, названный "горшком", в печь.
Так вот, предметом сегодняшней статьи являются разные объективные данные личности, которые либо официально называют "ПДн", либо некая группа лиц (министерство, комитет) не желает эти данные признать в качестве "ПДн". Почему?! Да потому, что после их официального признания "ПДн", на обработку данных в таком статусе потребуются дополнительные затраты (в том числе, на защиту и учет) и ответственность с новой "головной болью". А кому это надо?! Вот и отпихиваются…
Спасибо за статью. Их серия с тематикой "ПДн" обещает быть интересной.
P.S. Мы можем быть уверены, что продукция Dr.Web, в том числе и мой любимый Dr.Web Security Space надёжно защищает наши "ПДн"...
B0RIS
10:46:06 2019-02-18
dyadya_Sasha
10:04:38 2019-02-18