Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Персональные данные - это
Добрый день!
В ФЗ-152 сказано: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"
Часто сталкиваюсь с ситуацией что разобрать что относится к ПДн, а что нет получается далеко не у всех сотрудников фирм. Нередко возникают споры.
Правильно ли я понимаю - если данные однозначно идентифицируют субъекта - это ПДн, остальное - нет. Т.е. если я скажу Иванов Иван Иванович, житель г. Москва - это не ПДн. Добавлю к сказанному - "сотрудник ООО "Фирма" - то это тоже еще не ПДн, а если добавлю "юр. адрес: г. Москва ул. Строителей, д. 4, оф. 2" - это будут ПДн, т.к. вероятность найти этого Иванова велика. Но с другой стороны в "ООО Фирма" может работать 4 Ивановых Иванов Ивановичей на разных должностях, тогда получается что и сказанное ранее тоже не ПДн. Как найти грань?
А грани нет. Когда кто-то входит в кабинет и спрашивает Васю, то я точно могу по этим данным идентифицировать субъекта - Пупкин Василий Васильевич, 01.01.1990 г.р., холост, проживает ..., работает вместе со мной и т.д. Другое дело, что эти данные обезличены и для идентификации требуется дополнительная информация. Минимального набора ПДн/неПДн не существует. Объем данных о субъекте влияет на объем мероприятий по их защите (например для обезличенных или общедоступных ПДн нужно обеспечить только две характеристики безопасности - целостность и доступность).
Как тогда определить нужно их защищать или нет? Получается если это не ПДн, то и никакие документы и меры в соответствии со 152 ФЗ принимать не нужно.
У нас в организации есть система, в которой хранится ФИО, внутренний телефон сотрудника, наименование подразделения и организации.
Однозначно идентифицировать физ.лицо по этим данным, я считаю, нельзя, а значит это не ПДн, а значит и 152 ФЗ применять тут не нужно. Как убедить в этом регулятора?
Цитата
Дмитрий пишет:
а значит это не ПДн, а значит и 152 ФЗ применять тут не нужно.
Как раз это ПДн, и защищать их нужно. Другое дело что их нужно сделать общедоступными собрав согласия с сотрудников. А целостность и доступность обеспечивать надо.
Дмитрий, а где в законе говорится об идентификации? Забудьте этот термин в контексте пдн.
Miksin, в законе написано:
ПД - любая информация, относящаяся к прямо или косвенно определенному или определяемому ФЛ.
Можете ли вы сказать, что Иванов Иван Иванович относится к определенному ФЛ? Или можете ли вы определить по этим данным ФЛ?

Если я пишу на заборе: Иванов Иван Иванович - тракторист. Значит ли это то, что я незаконно распространяю ПДн?

На мой взгляд - нет. Так как это не ПДн в соответствии с законом.
Ключевые слова в законе: определенному или определяемому (читай: определяемому на основе этих данных)
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)