Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Комментарии на комментарии Роскомнадзора

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()

В РКН не так давно сменилась команда. Результатом стали платные комментарии от сотрудников Роскомнадзора, ознакомиться с которыми я рекомендую каждому.
Учитывая предыдущую традицию публиковать свои разъяснения на сайте, новый способ доводить позицию ведомства по злободневным вопросам до населения вызывает, мягко говоря, множество вопросов. Лично я вижу в этом коррупцию и желание отдельных сотрудников Роскомандзора получать гонорар за то, за что они уже получают свою зарплату из моих налогов. Ну да ладно. Ближе к делу...

Как купить комментарии?

Купить тут, оплатить 100 рублей (а не 265!), написать письмо и приложить копию платежки, ждать. Говорят, уже кто-то выложил в открытый доступ. Если попадётся линк - добавлю.

Что такое персональные данные?

На основании судебных решений к ПДн точно относят:
  • паспортные данные
  • данные технического паспорта на дом
  • адреса места жительства индивидуальных предпринимателей
  • сведения о пересечении государственной границы
  • адрес регистрации должностного лица, сведения о его доходах и собственности
  • данные работника, указанные в трудовом договоре
Обратите внимание: адрес места жительства ИП - персональные данные, а значит системы, обрабатывающие сведения о юр.лицах, могут стать ИСПДн если в них будут ИП,

По мнению авторов (а они по-совместительству ещё и высокопоставленные сотрудники Роскомнадзора), к перс.данным также относят:
  • номер и серия паспорта; 
  • страховой номер индивидуального лицевого счета; 
  • идентификационный номер налогоплательщика; 
  • банковский счет, 
  • номер банковской карты
  • а также идентификаторы, особенно выданные государством
А это данные, которые с "определенной вероятностью можно рассматривать как персональные" (!):
  • фамилия, имя, отчество, дата рождения, место прописки;
  • фамилия, имя, отчество, дата рождения, должность;
  • фамилия, имя, отчество (возможно, фамилия и инициалы) плюс любая информация, выделяющая субъекта из уже ограниченного круга лиц.
Там же пример: житель Москвы А.А. Иванов - неперсональные данные (ибо много их, Ивановых). Житель дома N10 А.А. Иванов - персональные данные. 
Один раз на одном мероприятии я также слышал от представителя Роскомнадзора такую точку зрения: нет Отчества - не ПДн. 

Но дальше ещё интересней.

Фото - не биометрия

Не смотря на свою предыдущую точку зрения, Роскомнадзор теперь считает фотографию не биометрическими персональными данными, так как (Внимание!) она не позволяет произвести достоверную идентификацию субъекта, так как живут на свете близнецы (!) или можно сделать пластическую операцию на лице (!!). Браво, Роскомнадзор! Лучшей иллюстрации фразы "закон — что дышло: куда повернёшь — туда и вышло" я и представить себе не могу. В общем нам остаётся только свыкнуться с новым фактом: фотография - не биометрия (спасибо близнецам и пластическим хирургам!).
Автоматическое распознавание только по двухмерной фотографии связано с большой вероятностью ошибки. Двухмерная фотография представляет собой распределение яркости, поэтому она может изменяться под воздействием различных факторов, например, освещения, ракурса, расстояния до лица, макияжа, наличия очков и т.п. В связи с такой неустойчивостью к внешним воздействиям при автоматическом сравнении по двухмерной фотографии вероятность ошибки идентификации крайне высока.

ФЗ-152 и облака

Текущая трактовка требований ФЗ-152 существенно затрудняет использование облачных сервисов по двум причинам:
1. Не допускается объединение баз данных, созданных в несовместимых целях (ч. 3 ст. 5 152-ФЗ). РКН трактует этот пункт на примере ИСПДн "Зарплата и управление персоналом". Эту БД нельзя объединять с другими. Поэтому базы данных лучше разделять на всех уровнях.
2. Трансграничная передача ПДн должна быть обоснована целями обработки. Даже наличие согласия на транcграничную передачу не даёт оснований для такой передачи, если цель обработки это напрямую не предусматривает. В качестве примера РКН приводит электронные дневники, которые могут хоститься за рубежом, что нарушает принципы обработки персональных данных, так как дети и родители находятся в России (Прощай, Amazon AWS и Microsoft Azure!).

Судимость без подробностей - не специальная категория ПДн

"Были ли вы судимы? (Да/Нет)" спрашивать теперь можно. По какой статье - нельзя.

Из интересного:
  • Над 152-ФЗ стоит также Модельный Закон от 16 октября 1999г "О персональных данных". В нем, к слову, прописана обязанность регистрировать базы персональных данных...
  • РКН не может прийти к вам с внеплановой проверкой без поручения Правительства, Президента или прокурора (пока что). Но может запросить согласия субъектов, что не считается документальной проверкой и не подпадает под 294-ФЗ
  • Иногда случаются казусы:
Например, прокуратурой г. Сарапула было вынесено постановление об административном правонарушении в отношении главного специалиста эксперта Роскомнадзора. Основанием для вынесения постановления послужило направление Управлением Роскомнадзора в адрес оператора персональных данных требования о предоставлении информации, содержащейся в представленных оператором документах, а также сведений, представленных оператором в письменном ответе, что было расценено прокуратурой как проведение внеплановой документарной проверки в соответствии с Законом о защите прав юридических лиц и индивидуальных предпринимателей при осуществлении контроля.
Сотрудник Роскомнадзора получил штраф по ч. 1 ст. 19.6.1 КоАП РФ за незаконную проверку при попытке запросить сведения от оператора в соответствие со п.1 ч.3 ст.23 152-ФЗ :)
  • РКН не может ничего сделать с вашей лицензией, несмотря на то, что п.6 ч.3 ст.23 ФЗ-152 такие полномочия ему даёт. Процедура не детализирована и нет соответствующих правовых мостиков, так что можно спать спокойно.
  • И закончим на оптимистичной ноте. РКН про статью 18.1:
Основным нововведением данной статьи стал вектор саморегуляции, определивший право оператора самостоятельно устанавливать перечень мер, необходимых для выполнения обязанностей, предусмотренных Законом о персональных данных. Этим нововведением была понижена директивная составляющая законодательства РФ в области персональных данных.
Оказывается, оператор вправе полностью самостоятельно выбирать меры защиты персональных данных в нашей стране, что очень либерально и должно обрадовать всех тех операторов ПДн, кто ещё не читал 21 приказ ФСТЭК и 378 приказ ФСБ.
Любопытно, что такой же позиции РКН придерживается и по 242-ФЗ: проблем с переносом баз данных нет, ЦОДов хватает, затрат у операторов нет, все довольны! Пора к логотипу Роскомнадзора добавлять единорогов и радугу.

Что еще почитать?

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.