4 июля, суббота 12:32
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Будем доказывать в суде. Есть несколько статей, где глава РКН Жаров объясняет, что фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных

    Поскольку в законе сказано - ПДн это любая информация ОТНОСЯЩАЯСЯ к субъекту физику, будем доказывать что ОТНОШЕНИЕ это связь, а какая связь у выдранного из контекста адреса или любого другого атрибута если она не определяет это субъект.

    Вот имя "Саша" это же не ПДн, а САША ИВАНОВ ИВАНОВИЧ - это ПДн.
    Адрес zhopa@mail.ru это же не ПДн - а есди эта ОПА в связке с Сашей Ивановым это ПДд.

    Ключевое слово ОТНОШЕНИЕ.

    Комментарий


    • Сообщение от ndebyshe Посмотреть сообщение
      Будем доказывать в суде. ......
      "Ни пуха" вам....

      Сообщение от Cpx Посмотреть сообщение
      .....Удачи, Вы это РКН скажите, у Вас нет оснований на это. Основания есть только о гос органов.
      Не знаю. Пока не слышал, чтоб РНК кому-то предъявлял за "незаконное" обезличивание.

      Комментарий


      • Сообщение от ndebyshe Посмотреть сообщение
        Ну типа каждый получатель кроме себя в получателях увидит пару сотню других email адресов и поймет, что эта пара сотня получателей тоже видят его адрес.
        А зачем так делать? Есть поле скрытая копия. Почтовый сервер за вас каждому отправит индивидуальное письмо.

        Сообщение от ndebyshe Посмотреть сообщение
        . Мы нашли клиентщика, который отправлял на 2000 адресов банер с рекламой, но никаких ФИО нигде не фигурирует.
        Это плохо, что не регулируете вопрос рассылок, регламентируйте и обучите персонал (массовые рассылки и форму, кто-то должен согласовывать), т.к. это может вести к регуляторным рискам.

        Сообщение от ndebyshe Посмотреть сообщение
        Мы возразили РКН, что адреса обезличины и не могут косвенной или явно из рассылки определить субъекта. РКН сказали, что у них другая точка зрение, и что email это ПДн. Даже если он написан на стене.
        Вообще любая информация относящаяся к определённому или определяемому субъекту ПДн и безусловно e-mail фактически ПДн, но только в том состоянии, когда есть связь между субъектом ПДн и такими данными.
        Не забывайте про новые изменения в 152-ФЗ в части "обезличенных ПДн" и "обезличенных данных".
        КМК, адрес электронной почты - это обезличенные ПДн, а почтовый домен - это обезличенные данные.

        Сообщение от saches Посмотреть сообщение
        Кстати, его должность/ФИО присутствует в перечне лиц, обрабатывающих ПДн? Если да, и имеется его роспись под инструктажами (вводным и ежегодными), то возможно имеет смысл что-нибудь ему предъявить (хотя бы, внеочередной инструктаж и взять объяснительную на имя пред права или курирующего зам преда).
        Да, крайнего нужно найти. )))

        Сообщение от Cpx Посмотреть сообщение
        Нельзя - нарветесь на штраф. У банка нет законных целей обезличивать ПДн, только в рамках архивного хранения.
        Это не корректная точка зрения. Явного запрета на такие действия в законе нет, более того есть изменения в закон, где вводятся новые понятия и порядок.

        Сообщение от Cpx Посмотреть сообщение
        емейл может относиться к определяемому лицу и точка, значит Пдн.
        Вообще, что угодно может относится к определяемому субъекту ПДн. В этом случае любые данные фактически ПДн. )

        Сообщение от Cpx Посмотреть сообщение
        Удачи, Вы это РКН скажите, у Вас нет оснований на это
        Способы обработки вы прописываете в согласии.

        Сообщение от Cpx Посмотреть сообщение
        Основания есть только о гос органов.
        И где эти основания указаны в законе? Много раз слышал этот миф, но никто так и не дал ссылок на правоприменительную практику.


        Комментарий


        • Сообщение от Zuz Посмотреть сообщение
          ....Да, крайнего нужно найти. )))......
          Дело не столько в "крайнем", сколько в понимании сотрудниками того, что ПДн, это чужая собственность, распоряжаться которой по собственному усмотрению у них нет никакого права. И после 1-2 написанных объяснительных, их мозги (а так же, мозги их руководителей), удивительным образом встают "на место". Есть еще одно в этом плане полезное средство, это запросы из РКН/ЦБ и прокуратуры по поводу неправомочной обработки ПДн. Но это уже чревато кадровыми разборками для тех же сотрудников. Так что, объяснительная на имя руководителя, гораздо более гуманное средство повышения осведомленности персонала в вопросах ИБ...
          Последний раз редактировалось saches; 30.12.2019, 11:10.

          Комментарий


          • Коллеги, я чуть выше в теме написал адрес zhopa@mail.ru.
            Я незаконно распространил ПДн?
            Последний раз редактировалось ndebyshe; 30.12.2019, 13:53.

            Комментарий


            • Сообщение от ndebyshe Посмотреть сообщение
              Коллеги, я чуть выше в теме написал адрес zhopa@mail.ru. Я незаконно распространил ПДн?
              А что вам мешает определиться с этим самостоятельно?

              Комментарий


              • Сообщение от saches Посмотреть сообщение
                А что вам мешает определиться с этим самостоятельно?
                Мое мнение, что отдельно взятый атрибут будь-то адрес или СНИЛС не позволит ни явно ни косвенной установить ОТНОШЕНИЕ к физическому лицу.
                Поэтому не ПДн.

                Комментарий


                • Сообщение от ndebyshe Посмотреть сообщение
                  Коллеги, я чуть выше в теме написал адрес zhopa@mail.ru. Я незаконно распространил ПДн?
                  Если кто-либо, будет в состоянии доказать, что это privacy, и у вас нет письменного "согласия на распространение", то потенциально, вы попали вне зависимости от вашего формального отношения к 152-ФЗ....

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    что ПДн, это чужая собственность, распоряжаться которой по собственному усмотрению у них нет никакого права.
                    Возможно до кого-то и доходит, но, на моей практике, эта схема плохо работает в долгосрочной перспективе (только кратковременный эффект).
                    Сотрудник должен быть заинтересован или иным образом мотивирован (обучен), а так всем "до лампочки" на любые правила.

                    Сообщение от ndebyshe Посмотреть сообщение
                    отдельно взятый атрибут будь-то адрес или СНИЛС не позволит ни явно ни косвенной установить ОТНОШЕНИЕ к физическому лицу.
                    Но это не означает, что такие данные в совокупности с другими ПДн, которые вас определяют не являются персональными.
                    Есть новый несколько кривой термин "обезличенные ПДн" (в проекте), вот это они и есть. И то, что они "обезличены", не означает, что они не представляют никакой ценности для субъекта ПДн и их не нужно в некоторых случаях защищать.

                    Комментарий


                    • 8374625-87 Это мои ПДн.
                      Никто об этом не знает, но это так. Это номер моего свидетельства о .......
                      Т.е. если любой из Вас, случайно напечатает в почте эти цифры и отправит другому - Вы нарушите 152-ФЗ.
                      Но это же полный бред, господа.


                      Комментарий


                      • Сообщение от Zuz Посмотреть сообщение
                        Возможно до кого-то и доходит, но, на моей практике, эта схема плохо работает в долгосрочной перспективе (только кратковременный эффект).
                        Сотрудник должен быть заинтересован или иным образом мотивирован (обучен), а так всем "до лампочки" на любые правила.
                        Работает, и вполне нормально. Сегодня "залетает" один, завтра, его коллега. Когда все видят, что постоянный контроль присутствует, это в достаточной мере всех мотивирует.

                        Сообщение от ndebyshe Посмотреть сообщение
                        ...Но это же полный бред, господа...
                        Это до тех пор кажется бредом, пока кто-то не воспользовался вашими ПДн, ПДн ваших близких или знакомых...



                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          Это до тех пор кажется бредом, пока кто-то не воспользовался вашими ПДн
                          Вот, Вы же написали ключевое слово "Вашими". А если нет связи у информации со мной? Значит это не "Ваши", а "Чеи-то" или вообще это "Нечто, но не ПДН".

                          Нет связи с физлицом - не ПДн.

                          Комментарий


                          • Сообщение от ndebyshe Посмотреть сообщение
                            .....Нет связи с физлицом - не ПДн....
                            В целом да, но есть нюансы. Например, написанный отдельно на заборе - "ivanov@mail.ru", это ПДн? Конечно да, но, возможно, обезличенные.
                            Другой вариант - несколько e-mail адресов в рассылке банке и, в том числе - "ivanov@mail.ru". Это ПДн?, Конечно да! И с высокой долей вероятности, можно сделать предположение, что это адрес живого клиента конкретного банка, который был отобран маркетинговой службой этого банка в надежде, что клиент может быть перспективен для каких то еще предлагаемых услуг. Т.е. при желании, эти адреса могут быть использованы для дальнейшего поиска телефонов этих клиентов в слитых базах с последующими попытками "звонков от ИБ службы банка" о подозрительных переводах....

                            Кстати, недавно общался с сотрудником одного из вендоров оборудования для мобильной связи. Представляете из каких зданий исходит максимальный мобильный трафик, причем такой, что операторы стараются сразу дублировать свои вышки/подводящие каналы, чтобы минимизировать потери из-за возможного отсутствия связи?
                            Последний раз редактировалось saches; 31.12.2019, 11:14.

                            Комментарий


                            • Сообщение от saches Посмотреть сообщение
                              Конечно да
                              Ни в коем случае. Это корпоративный ящик фирмы ООО "Иванов" и это никакой не ПДн. Вы не можете по ящику определить человека. НЕ МОЖЕТЕ!!!

                              Сообщение от saches Посмотреть сообщение
                              несколько e-mail адресов в рассылке банке
                              Тоже самое, это просто ящики, их владельцы кто угодно - люди, системы, LOT вещи. Но мы не знаем кто.

                              Пока у Вас не связи ivanov@mail.ru" - это Иванов Иван Иванович, - ящик не ПДн.

                              Поскольку в законе сказано - ПДн это любая информация ОТНОСЯЩАЯСЯ к субъекту.
                              Для оператора, который владеет этой связью (Отношением) - это ПДн.
                              Для оператора который не владеет - это не ПДн.



                              Комментарий


                              • ndebyshe
                                ОК. Остались при своих...
                                Но похоже, что позиция РКН, по данному вопросу, мне понятна и вот почему -
                                Один из ваших физиков увидел, что вы рассылаете в открытом виде его e-mail и пишет жалобу, например, в РКН.
                                Если вы докажите проверяющим, что все перечисленные адреса в рассылке не являются адресами физиков, то вероятно, РКН вам ничего не сможет предъявить. Если же перечисленные адреса, это адреса физиков, то значит, это ПДн. Как бы всё.
                                Последний раз редактировалось saches; 31.12.2019, 12:27.

                                Комментарий


                                • saches
                                  С наступающим!!!

                                  Продолжем после 9-го.

                                  Комментарий


                                  • ndebyshe
                                    Взаимно! И успехов в борьбе с РКН! и не только...))))

                                    Комментарий


                                    • С новым годом! )

                                      Сообщение от ndebyshe Посмотреть сообщение
                                      Для оператора, который владеет этой связью (Отношением) - это ПДн.
                                      Вы оператор. Жалоба на Вас. (

                                      Комментарий


                                      • Сообщение от Zuz Посмотреть сообщение
                                        С новым годом! )


                                        Вы оператор. Жалоба на Вас. (
                                        Жалоба на нас. Рассылали мы. Но кто владельцы этих адресов мы не знаем. И ПДн владельцев этих ящиков мы не обрабатываем. (нет ни ФИО ни другой информации)
                                        Клиентщики проводят призентации, встречи, собирают адреса, но не их владельцев. Никто не знает кому принадлежат ящики.
                                        Тут может быть нарушение закона о рекламе (спам), но нет тут никаких ПДн.

                                        Комментарий


                                        • по поводу того, является ли эл адрес сведениями, содержащими персональные данные граждан:

                                          http://www.consultant.ru/cons/cgi/on.../1578554355059
                                          https://www.google.com/amp/s/vc.ru/amp/83665


                                          В единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система), размещаются следующие сведения:

                                          д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты).
                                          (п. "д" введен Постановлением Правительства РФ от 13.09.2019 N 1197)

                                          Комментарий


                                          • Сообщение от solus rex Посмотреть сообщение
                                            по поводу того, является ли эл адрес сведениями, содержащими персональные данные граждан:

                                            http://www.consultant.ru/cons/cgi/on.../1578554355059
                                            https://www.google.com/amp/s/vc.ru/amp/83665


                                            В единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система), размещаются следующие сведения:

                                            д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты).
                                            (п. "д" введен Постановлением Правительства РФ от 13.09.2019 N 1197)
                                            Так я не спорю, что номер телефона или почтовый ящик в связке с физическим лицом - это ПДн.
                                            Но если нет связки, если нет возможности идентифицировать человека по ящику - разве это ПДн.

                                            Постановлением Правительства РФ от 13.09.2019 N 1197 введены дополнительные атрибуты человека (данные физического лица) при сборе ПДн, почта и телефон. Но они не могут быть ПДн без самого субъекта. Это обезличенная информация.


                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              Это не корректная точка зрения. Явного запрета на такие действия в законе нет, более того есть изменения в закон, где вводятся новые понятия и порядок.
                                              Это точка зрения РКН и в ходе проверок успешно нагибает своих проверяющих.
                                              Про закон спасибо, обязательно изучу (возможно. что-то поменяется).
                                              п.с. интересный фильм The Great Hack от Нетфликса на эту тему обезличенных и общедоступных ПДн

                                              Сообщение от ndebyshe Посмотреть сообщение
                                              8374625-87 Это мои ПДн. Никто об этом не знает, но это так. Это номер моего свидетельства о .......
                                              Как никто не знает? ПФР и ФНС знает и все кто имеет доступ к БД. Вспомните старый термин ПДн и определения обезличенных ПДн (из методики для гос контор)- когда без доп информации нельзя установить Субъекта ПДн. Вопрос у кого и в каких случаях будет эти допы.


                                              Комментарий


                                              • Сообщение от Cpx Посмотреть сообщение
                                                ПФР и ФНС
                                                Так для ПФР и ФНС это будут ПДн, у них есть есть СВЯЗКА с физиком.
                                                А у Вас нет, и Вы меня по этому номеру не идентифицируете. Значит для Вас это не ПДн.

                                                Есть еще ответ РКН, что фото на сайте это не ПДн, так как нет связи с субъектом.
                                                Чем фото отличается от почтового ящика?

                                                https://66.rkn.gov.ru/directions/p18760/p20284/

                                                Комментарий


                                                • Сообщение от ndebyshe Посмотреть сообщение

                                                  Так для ПФР и ФНС это будут ПДн, у них есть есть СВЯЗКА с физиком.
                                                  А у Вас нет, и Вы меня по этому номеру не идентифицируете. Значит для Вас это не ПДн.

                                                  Есть еще ответ РКН, что фото на сайте это не ПДн, так как нет связи с субъектом.
                                                  Чем фото отличается от почтового ящика?

                                                  https://66.rkn.gov.ru/directions/p18760/p20284/
                                                  фото тоже защищено законом, ст.152.1 гк (охрана изображения гражданина),
                                                  а признак идентифицируемости не охватывается понятием персональных данных,
                                                  охраняемые законом интересы - неприкосновенность частной жизни гражданина, именно для достижения этого конституционного права охраняются сведения, содержащие персональные данные гражданина,
                                                  квалифицирующий признак персональных данных - фактическая соотносимость сведений с определяемой с их помощью персоной (прямо или косвенно),
                                                  то есть, идентифицируемость - это [возможное] свойство персданных, а не наоборот,

                                                  персданные охраняются не в связи с тем, что они идентифицируют гражданина, а в связи с тем, что они признаются законом сведениями, потенциально относящимися к частной жизни гражданина


                                                  Последний раз редактировалось solus rex; 09.01.2020, 12:43.

                                                  Комментарий


                                                  • Сообщение от ndebyshe Посмотреть сообщение
                                                    А у Вас нет, и Вы меня по этому номеру не идентифицируете. Значит для Вас это не ПДн.
                                                    Вашими словами, если я купил/украл эту базу - я уже смогу и они вдруг станут Пдн? А если с этим номером пойду в полицию?
                                                    А этот номер м.б. еще у страховых, медецинских, банков.
                                                    Они от этого не перестают быть Пдн! solus rex крайне правильно и доходчиво с юр точки Вам это пояснил.
                                                    Я не понимаю, почему Вы и многие зациклились на "идентификации" со старым понятием ПДн 152ФЗ и попыткой разбираться, что Пдн, а что нет. Все, что как то относится или м.б. отнесено к Пдн субъекта = Пдн. Все остальные случаи будут разибратсья в частном порядке с РКН или в суде. Зачем Вы на себя примеряете роль орбитора?

                                                    П.с. Единственное законное Пдн которое позволяет заниматься идентификацией субьекта - это БПДн. Но это другая тема.
                                                    п.с.2 мне кажется вы путаете понятия:
                                                    - ПДн;
                                                    - БПДн;
                                                    - общедоступные ПДн;
                                                    - обезличенные ПДн.

                                                    Комментарий


                                                    • Сообщение от ndebyshe Посмотреть сообщение
                                                      Есть еще ответ РКН, что фото на сайте это не ПДн, так как нет связи с субъектом. Чем фото отличается от почтового ящика?
                                                      ссылка не открывает, фото всегда связано с кем. Это м.б. общедоступными Пдн, т.к. изображено должностное лицо, это м.б. просто фото улицы, куда попали люди. Поэтому не нужно прыгать на другие плохие примеры и пытаться найти подтверждение Вашей аргументации. Ее просто нет и быть не может с учетом практики РКН и судебной практики.
                                                      Вы какую цель преследуете? Вам пройти проверку нужно или доказать не совершенность законов, определений?

                                                      Комментарий


                                                      • Сообщение от Cpx Посмотреть сообщение
                                                        Вы какую цель преследуете?
                                                        Мне необходимо дать ответ РКН, на каком основании у меня туева хуча обезличенных e-mail адресов (где я их взял) и я шлю им безадресное предложения банка да еще и групповой рассылкой. Т е. каждый потенциальный получатель письма увидит еще адреса других получателей. (Без привязки к ФИО)).

                                                        Комментарий


                                                        • Сообщение от ndebyshe Посмотреть сообщение

                                                          Мне необходимо дать ответ РКН, на каком основании у меня туева хуча обезличенных e-mail адресов (где я их взял) и я шлю им безадресное предложения банка да еще и групповой рассылкой. Т е. каждый потенциальный получатель письма увидит еще адреса других получателей. (Без привязки к ФИО)).
                                                          разве нет оснований?
                                                          обработка в силу договора или закона, в том числе по поручению оператора,
                                                          если только вы не имеете дело со случаем, когда условием обработки является согласие субъекта персональных данных

                                                          Комментарий


                                                          • Сообщение от solus rex Посмотреть сообщение
                                                            разве нет оснований?
                                                            обработка в силу договора или закона, в том числе по поручению оператора,
                                                            если только вы не имеете дело со случаем, когда условием обработки является согласие субъекта персональных данных
                                                            или и согласие отсутствует... Если ничего нет, Вас накажут и жестко...
                                                            На каком основании Вы делаете групповую рассылку (договор поручение или Вам так удобно)? В чем проблема сделать адресную?

                                                            Комментарий


                                                            • Сообщение от solus rex Посмотреть сообщение
                                                              обработка в силу договора или закона
                                                              Дело в том, что это адреса нипойми кого, но 100% не наши клиенты.

                                                              С клиентами у нас согласия на рекламу есть, тут проблем нет.
                                                              А это откуда-то тетка-клиентщица притащила свою базу с прошлой работу, чисто адреса, она даже не знает чьи это адреса, и как эта база создавалась.
                                                              И 6 человек пожаловались в РКН, что они увидели чужие e-mail адреса в получателях, а значит и их адрес кто-то увидит.
                                                              Знать бы кто эти люди, мы бы купили у них эти согласия, но они не известны, и РКН не раскрывает информацию.

                                                              Комментарий

                                                              Обработка...
                                                              X