Защита данных банковских карт
Узнать большеВопрос является ли ФИО ПДн часто всплывает при работе с информацией, относящейся в категорию повышенной защиты. Несмотря на тот факт, что ФИО относятся в перечень персональных данных обозначенных в 152-ФЗ от 27.07.2006 до сих пор ведутся дискуссии на эту тему. С одной стороны, эти сведения присущи каждому из нас, находятся в открытом доступе, с другой стороны они позволяют идентифицировать личность. Такая двойственность понятий не всегда конкретно и понятно выражает позицию законодателей и контролирующих органов в этом вопросе.
Является ли ФИО персональными данными на основании 152-ФЗ от 27.07.2006?
Согласно 152-ФЗ от 27.07.2006 персональными сведениями считается любая информация в прямой или косвенной форме указывающая на определенное физическое лицо и позволяющая его идентифицировать. Эту позицию законодательства также подтверждает 126-ФЗ от 07.07.2003 с поправками от 21.10.2014: ФИО, псевдоним, адрес регистрации и проживания – сведения, которые помогают идентифицировать человека, поэтому они считаются персональными данными.
Если говорить объективно является ли ФИО ПДн, то скорее нужно отталкиваться не от самого понятия личной информации, а ситуаций и целей, когда она используется. Например, обращение к малознакомому человеку по имени и фамилии на улице с целью поздороваться и предложение в оформлении услуги через подписку на телефоне – две совсем разные ситуации, где персональные сведения приобретают разную значимость.
Когда ФИО оправдано считать персональными данными?
ФИО принято считать персональными данными в том случае если их владелец вступил в правоотношения с оператором данных и подписал согласие на их использование и обработку. Причем неважно насколько они полные и соответствуют действительности. Это может быть анкета в банке на получение кредита с подробными сведениями, оформление заказа в интернет магазине, где просто указываются имя и фамилия.
Позиция регуляторов такова, что любые переданные данные оператору и заключение согласия на их обработку автоматически превращают данные в конфиденциальную информацию, требующую обязательной защиты и сохранения конфиденциальности.
Не редкость на практике возникновения в этом вопросе обратной ситуации: оператор не подписывает с субъектом персональных данных договора на их использование и хранение полагая общедоступными сведениями, и при этом использует для ведения своей деятельности. В итоге при проверке со стороны контролирующих органов нарывается на штраф.
Получается, что оператор в любом случае должен изначально рассматривать ФИО в качестве персональных данных, даже если они были получены из открытых источников и носят малоинформативный характер.
Почему с ФИО действуют двойные стандарты для операторов?
-
В законодательстве нет четкого указания на приоритет тех или иных сведений, они равнозначны по закону даже не являясь таковыми на деле.
-
ФИО обладают высокой степенью информативности, помогают серьезно снизить круг поиска и упростить идентификацию персоны.
-
Любая переданная оператору информация должна быть защищена независимо от ее полноты и степени важности.
-
В основе 152-ФЗ от 27.07.2006 заложены международные стандарты информационной безопасности, которые полагают любую косвенную или прямо указывающую на конкретного человека информацию априори конфиденциальной.
Какую позицию по ФИО занимают регулирующие организации и судебные органы?
-
Роскомнадзор считает, что даже невозможность точной идентификации персоны по одним только ФИО не является поводом для исключения подобных сведений из перечня персональной информации. Напротив, ФИО гражданина – это отправная точка для идентификации лица, поэтому им присваивается повышенная важность и дополнительная защита в процессе хранения и обработки
-
Из 152-ФЗ от 27.07.2006 вытекает, что, если информация так или иначе указывает на конкретное лицо – она становится идентификатором, а значит обрабатывается по единым правилам, с помощью одних и тех же технических и программных средств независимо от того насколько сведения полны и ценны для каждой ситуации
-
Суды указывают оператору на невозможность обнародования любых видов персональной информации несмотря на их разницу в классе сведений и степени идентификации персоны.
Вопрос о том является ли ФИО ПДн будет и дальше оставаться в разряде спорных, пока не будут приняты соответствующие поправки в законопроектах. Учитывая судебную практику и участившиеся случаи штрафования операторов контролирующими органами необходимо придерживаться разъяснений и рекомендаций Роскомнадзора, Минсвязи при работе с ФИО. Обязательно заключать согласие с владельцем, использовать дополнительные меры по информационной защите, как, например, DLP-системы, чтобы предотвратить возможные утечки.
