Получить консультацию по Solar Dozor

Вопрос является ли ФИО ПДн часто всплывает при работе с информацией, относящейся в категорию повышенной защиты. Несмотря на тот факт, что ФИО относятся в перечень персональных данных обозначенных в 152-ФЗ от 27.07.2006 до сих пор ведутся дискуссии на эту тему. С одной стороны, эти сведения присущи каждому из нас, находятся в открытом доступе, с другой стороны они позволяют идентифицировать личность. Такая двойственность понятий не всегда конкретно и понятно выражает позицию законодателей и контролирующих органов в этом вопросе.

Является ли ФИО персональными данными на основании 152-ФЗ от 27.07.2006?

Согласно 152-ФЗ от 27.07.2006 персональными сведениями считается любая информация в прямой или косвенной форме указывающая на определенное физическое лицо и позволяющая его идентифицировать. Эту позицию законодательства также подтверждает 126-ФЗ от 07.07.2003 с поправками от 21.10.2014: ФИО, псевдоним, адрес регистрации и проживания – сведения, которые помогают идентифицировать человека, поэтому они считаются персональными данными.

Если говорить объективно является ли ФИО ПДн, то скорее нужно отталкиваться не от самого понятия личной информации, а ситуаций и целей, когда она используется. Например, обращение к малознакомому человеку по имени и фамилии на улице с целью поздороваться и предложение в оформлении услуги через подписку на телефоне – две совсем разные ситуации, где персональные сведения приобретают разную значимость.

Когда ФИО оправдано считать персональными данными?

ФИО принято считать персональными данными в том случае если их владелец вступил в правоотношения с оператором данных и подписал согласие на их использование и обработку. Причем неважно насколько они полные и соответствуют действительности. Это может быть анкета в банке на получение кредита с подробными сведениями, оформление заказа в интернет магазине, где просто указываются имя и фамилия.

Позиция регуляторов такова, что любые переданные данные оператору и заключение согласия на их обработку автоматически превращают данные в конфиденциальную информацию, требующую обязательной защиты и сохранения конфиденциальности.

Не редкость на практике возникновения в этом вопросе обратной ситуации: оператор не подписывает с субъектом персональных данных договора на их использование и хранение полагая общедоступными сведениями, и при этом использует для ведения своей деятельности. В итоге при проверке со стороны контролирующих органов нарывается на штраф.

Получается, что оператор в любом случае должен изначально рассматривать ФИО в качестве персональных данных, даже если они были получены из открытых источников и носят малоинформативный характер.

Почему с ФИО действуют двойные стандарты для операторов?

  1. В законодательстве нет четкого указания на приоритет тех или иных сведений, они равнозначны по закону даже не являясь таковыми на деле.

  2. ФИО обладают высокой степенью информативности, помогают серьезно снизить круг поиска и упростить идентификацию персоны.

  3. Любая переданная оператору информация должна быть защищена независимо от ее полноты и степени важности.

  4. В основе 152-ФЗ от 27.07.2006 заложены международные стандарты информационной безопасности, которые полагают любую косвенную или прямо указывающую на конкретного человека информацию априори конфиденциальной.

Какую позицию по ФИО занимают регулирующие организации и судебные органы?

  • Роскомнадзор считает, что даже невозможность точной идентификации персоны по одним только ФИО не является поводом для исключения подобных сведений из перечня персональной информации. Напротив, ФИО гражданина – это отправная точка для идентификации лица, поэтому им присваивается повышенная важность и дополнительная защита в процессе хранения и обработки

  • Из 152-ФЗ от 27.07.2006 вытекает, что, если информация так или иначе указывает на конкретное лицо – она становится идентификатором, а значит обрабатывается по единым правилам, с помощью одних и тех же технических и программных средств независимо от того насколько сведения полны и ценны для каждой ситуации

  • Суды указывают оператору на невозможность обнародования любых видов персональной информации несмотря на их разницу в классе сведений и степени идентификации персоны.

Вопрос о том является ли ФИО ПДн будет и дальше оставаться в разряде спорных, пока не будут приняты соответствующие поправки в законопроектах. Учитывая судебную практику и участившиеся случаи штрафования операторов контролирующими органами необходимо придерживаться разъяснений и рекомендаций Роскомнадзора, Минсвязи при работе с ФИО. Обязательно заключать согласие с владельцем, использовать дополнительные меры по информационной защите, как, например, DLP-системы, чтобы предотвратить возможные утечки.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Мониторинг деятельности сотрудников: как организовать и внедрить

Мониторинг деятельности сотрудников: как организовать и внедрить

Узнать больше
Безопасность данных: что это такое и какие решения существуют

Безопасность данных: что это такое и какие решения существуют

Узнать больше
Авторское право: что это такое и как его защитить

Авторское право: что это такое и как его защитить

Узнать больше