Но так же существует масса примеров, с одной стороны, что по ФИО идентифицировать человека не возможно, с другой стороны взять не сильно распространенное сочетание ФИО, то идентификация возможна 100%.
В действительности здесь есть некоторое непонимание трактовок. Персональные данные не перестают быть ими, если нет возможности идентифицировать конкретного субъекта, которому они принадлежат. В законе на этот случай предусмотрена специальная процедура - обезличивание (Ст.3 п.8).
И с практической точки зрения спрашивающего волнует, являются ли ФИО обезличенными ПД. Меня восхищает сама постановка вопроса: является атрибут именования субъекта обезличенным! Но если оставить в стороне саму несколько тавтологическую трактовку вопроса и обратиться к практике мы получим довольно интересный результат.
В качестве примера возьмем все тот же многострадальный СКУД [1],[2]. Предположим, что фотографию и должность из системы убрали, оставили только ФИО мы получим
http://goo.gl/0upME
ОтветитьУдалитьНу сколько можно !!! Читайте внимательно...
ФИО - ПДн! Такое чувство что уже по 5 кругу пошла волна в блогосфере...
Персона́льные да́нные (синоним «личные данные») — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Источник: Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных". (Федеральный закон принят Государственной Думой 8 июля 2006 года. Одобрен Советом Федерации 14 июля 2006 года.)
Ну с этим то не кто не спорит, вопрос можно ли в рамках базы данных включающей в себя только id и ФИО утверждать, что данные обезличены. Подчеркиваю в БД ничего кроме id и ФИО не хранится.
ОтветитьУдалитьА на определение ссылку я тоже дал.
P.S. Здесь информация публикуется для моих контрагентов, а у них этот вопрос сидит на уровоне ДНК.
Нет понятия обезличенных ПДн. Есть только определение понятия "Обезличивания".
ОтветитьУдалитьПри этом логика не приминима ;)
http://goo.gl/M3wzw
Обезличенных ПДн не бывает они после обезличивания уже ПДн не являются. Иными словами можно выдать формулу:
[Обезличенные ПДн]<>[ПДн] (не равно).
Это на мой взгляд бестолковый термин. Все равно что сказать пепел = сгоревшие дрова давайте будем их складывать штабелями.
Конкретно БД с ФИО = ПДн так как ФИО = ПДн.
А хранение по определению ФЗ уже обработка!
У юристов логика работает всегда, главное понять какая. В принципе рассмотрение дел в суде как раз и сводится к построению не разрывной логической цепи обосновывающей вашу позицию. В нормальном суде выигрывает тот у кого логическое построение лучше. Отсюда и поговорки про юристов типа: Закон что дышло…
ОтветитьУдалитьТеперь посмотрим с чего бы это ПД после обезличивания переставали быть ПД. В определении из 152-ФЗ, на которое мы оба ссылаемся, говорится: "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу". После обезличивания информация относится к определенному лицу, но лицо не может быть определено на основании этой информации. Например, имя человека, сведения о марке машины, образовании и т.п., после обезличивания не перестают быть ПД. Если внимательно читать определение обезличивания, то мы можем выяснить, что обезличивание влияет на определение принадлежности, но ни как не на принадлежность информации к категории ПД. Более того если мы посмотрим «приказ трех» мы выясним, что регуляторы тоже придерживаются этого мнения " категория 4 - обезличенные и (или) общедоступные персональные данные". Т.е. могут быть обезличенные общедоступные ПД. Ну и уже почти классический пример от Лукацкого: Берем и шифруем ПД, но не с целью обеспечения конфиденциальности, а с целью обезличивания. И здесь мы уходим в философский диспут об обратимости процедуры обезличивания. ;)
Особенностью 152-ФЗ является, то что он классифицирует информацию не по принципу ПД – не_ПДН, а по возможности идентификации субъекта и получения о нем дополнительной информации. Процедура обезличивания выражается в том что вы из общего объема ПД удаляете информацию идентифицирующую субъекта.
upd: Хотя в целом наши позиции совпадают. Невозможно придумать информационную систему в которой бы ФИО не были ПД.
ОтветитьУдалить"Закон что дышло…"
ОтветитьУдалить- можно поискать, уже публиковались противоположные решения судов по одному и тому же вопросу.
"Более того если мы посмотрим «приказ трех»"
- отменен действует 58 приказ.
"Особенностью 152-ФЗ является, то что он классифицирует информацию не по принципу ПД – не_ПДН, а по возможности идентификации субъекта и получения о нем дополнительной информации."
- и по тому и по другому !!!
Обезличивание предполагало задачу например посчитать среднюю температуру по больнице или успеваемость учащихся школ. Когда любые ПДн удаляются и передаются для статистических расчетов. У нас же многие пытаются применить понятие для упрощения/удешевления мероприятий.
Как приказ трех отменен? Когда? На портале персональных данных РКН лежит в разделе действующее законодательство. Рядом с действующим приказом ФСТЭК 58. Если Вы имеете ввиду Решение ФСТЭК от 5 марта 2010 г., то оно отменяет "Основные мероприятия…" и "Рекомендации по обеспечению безопасности…" ссылка.
ОтветитьУдалить" и по тому и по другому !!!"
Давайте смотреть первоисточники: "персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации…"
Закон четко разделяет эти два понятия. Если бы Вы здесь были правы, то стоял бы союз "и".
Для чего законодатель ввел понятие обезличивания мне не известно, но как интегратор и консультант считаю свои долгом найти любую законную возможность снизить затраты заказчика. Именно поэтому я и размышляю на тему: возможно ли обезличивание в современных ИС. И как обезопаситься оператору в случае использования процедур обезличивания.
По моему именно Вы указывали на:
ОтветитьУдалить"Особенностью 152-ФЗ является, то что он классифицирует информацию не по принципу ПД – не_ПДН, а по возможности идентификации субъекта"
Иными словами Вы говорите что ФЗ классифицирует информацию только по возможности идентификации.
На что я возразил...
Теперь оказывается что я утверждаю обязательное "И" ?!! Я утверждаю что оба принципа применимы а не "первое + второе"
Про 58 признаю - накосячил.
Похоже, возникло недопонимание.
ОтветитьУдалитьМоя позиция такова:
ПД остаются персональными данными и после процедуры обезличивания. В качестве обоснования я привел определение ПД из 152-ФЗ.
Насколько я понимаю Вашу позицию – Вы утверждаете, что после обезличивания ПД перестают быть таковыми.
Далее по поводу союзов и-или.
Вашу фразу "и по тому и по другому" я понял, как "152 закон классифицирует информацию как по направлению ПД-не_ПД, так и по возможности определения субъекта". Исходя из этого я утверждал, что если бы закон рассматривал принадлежность информации к множеству ПД, только в случае, если возможна идентификация субъекта-собственника, то в определении стоял бы союз "и". т.е. ПД – любая информация, относящаяся к определенному И определяемому на основании такой информации физическому лицу. Т.е. должны выполняться оба условия (отнесение информации к субъекту и идентификация субъекта). В этом случае утверждение, что ПД после обезличивания перестают быть ПД имело бы силу.
При этом под классификацией я пониманию введение некоторого отношения порядка на множестве информационных ресурсов в математическом смысле.
Однако закон не может как либо регулировать отношения возникающие с информационными ресурсами не относящимися к ПД, о чем сказано в ст. 1.
Тем не менее регулирование обработки ПД после процедуры обезличивания регулируется законом: ст. 6 п. 3 (статистика). Ст.7. п2. (требование по конфе). Так же подзаконными актами, в том числе и приказом трех.
Очевидно, что закон классифицирует информацию еще по ряду признаков: специальные категории, биометрические данные, степень возможного вреда субъекту. Возможно, что я не помню все вектора устанавливаемые в законе. Но в данном случае принципиальным является рассмотрение вектора ПД-не_ПД, который в законе отсутствует.
Если я Вас неправильно понял – приношу извинения.