Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Персональные данные - это
Добрый день!
В ФЗ-152 сказано: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"
Часто сталкиваюсь с ситуацией что разобрать что относится к ПДн, а что нет получается далеко не у всех сотрудников фирм. Нередко возникают споры.
Правильно ли я понимаю - если данные однозначно идентифицируют субъекта - это ПДн, остальное - нет. Т.е. если я скажу Иванов Иван Иванович, житель г. Москва - это не ПДн. Добавлю к сказанному - "сотрудник ООО "Фирма" - то это тоже еще не ПДн, а если добавлю "юр. адрес: г. Москва ул. Строителей, д. 4, оф. 2" - это будут ПДн, т.к. вероятность найти этого Иванова велика. Но с другой стороны в "ООО Фирма" может работать 4 Ивановых Иванов Ивановичей на разных должностях, тогда получается что и сказанное ранее тоже не ПДн. Как найти грань?
А грани нет. Когда кто-то входит в кабинет и спрашивает Васю, то я точно могу по этим данным идентифицировать субъекта - Пупкин Василий Васильевич, 01.01.1990 г.р., холост, проживает ..., работает вместе со мной и т.д. Другое дело, что эти данные обезличены и для идентификации требуется дополнительная информация. Минимального набора ПДн/неПДн не существует. Объем данных о субъекте влияет на объем мероприятий по их защите (например для обезличенных или общедоступных ПДн нужно обеспечить только две характеристики безопасности - целостность и доступность).
Как тогда определить нужно их защищать или нет? Получается если это не ПДн, то и никакие документы и меры в соответствии со 152 ФЗ принимать не нужно.
У нас в организации есть система, в которой хранится ФИО, внутренний телефон сотрудника, наименование подразделения и организации.
Однозначно идентифицировать физ.лицо по этим данным, я считаю, нельзя, а значит это не ПДн, а значит и 152 ФЗ применять тут не нужно. Как убедить в этом регулятора?
Цитата
Дмитрий пишет:
а значит это не ПДн, а значит и 152 ФЗ применять тут не нужно.
Как раз это ПДн, и защищать их нужно. Другое дело что их нужно сделать общедоступными собрав согласия с сотрудников. А целостность и доступность обеспечивать надо.
Дмитрий, а где в законе говорится об идентификации? Забудьте этот термин в контексте пдн.
Miksin, в законе написано:
ПД - любая информация, относящаяся к прямо или косвенно определенному или определяемому ФЛ.
Можете ли вы сказать, что Иванов Иван Иванович относится к определенному ФЛ? Или можете ли вы определить по этим данным ФЛ?

Если я пишу на заборе: Иванов Иван Иванович - тракторист. Значит ли это то, что я незаконно распространяю ПДн?

На мой взгляд - нет. Так как это не ПДн в соответствии с законом.
Ключевые слова в законе: определенному или определяемому (читай: определяемому на основе этих данных)
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)