Средства для оценки рисков
Средства разработки и внедрения политик безопасности
Средства мониторинга действий пользователей: Программы, предназначенные для контроля работы пользователей и администраторов за своими компьютерами и в сети Интернет. Они сообщают по сети информацию, которая интересует шефа, ему лично или уполномоченному им лицу.
Средства аудита и восстановления паролей
Шифровальщики файлов: Эти программы обеспечивают недорогое, надежное и быстрое шифрование файлов и дисков с использованием популярных алгоритмов (AES, 3DES, Blowfish, ...)

See the entire folder …

Когда обезличенные данные перестают быть персональными?

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. Согласно европейскому законодательству обезличенные данные персональными не являются, но только в том случае, если после обезличивания действительно нет возможности определить их принадлежность. Определить идентифицируемость субъекта по конкретным данным бывает непросто. В ряде случаев здесь приходится полагаться на субъективные мнения.

Эта статья, также как и предыдущие, опирается на европейское законодательство и продолжает рубрику "Как решаются вопросы персональных данных в цивилизованных странах".

Согласно европейским директивам персональные данные - это любая информация, относящая к определенному или определяемому (идентифицируемому) на основании данной информации человеку. При этом для идентификации субъекта (установления того, к кому информация относится) оператором ПДн или любым другим человеком могут использоваться любые оправданные средства. "Оправданные" означает, что даже если у кого-то имеется потенциальная возможность идентифицировать субъекта по имеющимся данным, но однако маловероятно, что данная возможность будет использована (например, это неоправданно дорого или технически очень сложно реализуемо), то субъект признается неидентифицируемым по имеющимся данным, а эти данные не признаются персональными.

Из этого определения следует то, что один и тот же набор данных, обрабатываемый одной организацией, может рассматриваться как персональные данные, поскольку у этой организации есть возможность соотнести его с конкретным субъектом, но при передаче этих данных другой организации, у которой нет возможности идентифицировать субъекта, которому эти данные принадлежат, они перестают быть персональными данными.

Примером могут служить данные, собираемые во время переписи населения. Для Росстата, обрабатывающего и хранящего анкеты граждан, эти данные являются персональными, даже если они разнесены по разным базам данных, каждая из которых по-отдельности не позволяет идентифицировать субъекта. В то же время, когда эти данные передаются в исследовательские центры (при этом из них убирается информация, позволяющая идентифицировать субъекта, такая как ФИО и домашние адреса), эти данные перестают быть персональными, т.к. у ученых, производящих их обработку, нет возможности идентифицировать субъектов без помощи Росстата. Конечно, это будет так только при том условии, что в Росстате обеспечивается надежная защита этих данных и их утечка является маловероятной. Отсюда еще один вывод: возможность отнесения обезличенных данных к персональным зависит от степени защиты идентификационной информации, обеспечиваемой первичным оператором ПДн. Следовательно возможность отнесения данных к персональным зависит также и от времени, поскольку с течением времени условия функционирования ИСПДн могут изменяться, могут появляться новые угрозы и уязвимости и принимаемых защитных мер уже может оказаться недостаточно для обеспечения надлежащего уровня защиты. В этом случае обезличенные ранее данные, уже некорректно будет относить к обезличенным и они снова станут персональными.

Таким образом, возможность отнесения данных к обезличенным также зависит от нашей субъективной оценки уровня защищенности первичной идентификационной информации или от вероятности успешного восстановления такой информации, если она была уничтожена.

_____
tags: ФЗ-152| обезличивание| персональные данные

04-03-2011 | Permalink | Comments (6)

персональные данные

Автор: Lake Дата: 05-03-2011 12:40

Персональные данные, даже обезличенные, являются персональными при любом раскладе. Невозможность по ним идентифицировать субъекта не снижает их персональность. Глупо говорить что обезличенный номер телефона ничейный, если он выдан конкретному человеку.

обезличенные персональные данные

Автор: Александр Астахов Дата: 05-03-2011 12:51

Мы здесь обсуждаем европейскую практику решения вопросов персональных данных, к которой мы в нашей стране неизбежно придем. Делаем мы это на базе официальных документов британского информационного комиссариата, содержащих, в частности, разъяснения по поводу обезличивания и отнесения тех или иных данных к персональным. Но и из теперешнего определения ПДн в ФЗ-152, которое в этой части совпадает с европейским, следует, что если данные не позволяют идентифицировать субъекта, то персональными такие данные не являются. Если по номеру телефона нельзя определить кому он принадлежит, то такие данные не являются персональными.

сотовые компании и ПДн

Автор: Alex Дата: 11-03-2011 12:54

Александр, а что если у меня есть просто номер телефона человека, который сам по себе не является персональными данными, однако, имея знакомых у сотового оператора ,я могу выяснить по этому номеру его владельца. Будут ли тогда написанные 10 цифр номера телефона в открытом доступе персональными данными?

номер телефона - персональные данные?

Автор: Александр Астахов Дата: 11-03-2011 13:26

Когда рассматриваются такие вырожденные случаи, как номер телефона без какой-либо дополнительной информации да еще в открытом доступе (не могу себе представить кому и для каких целей может понадобится обработка таких данных), то для того, чтобы определить являются ли такие данные персональными и подпадают ли они под действие законодательства о персональных данных, нужно анализировать весь контекст использования таких данных. Смысл законодательства о ПДн заключается в защите интересов конкретных физических лиц, которым эти данные принадлежат и на которые может повлиять обработка этих данных.

В частности, надо определить кто, при каких условиях, с какой целью, на каких основаниях и каким образом обрабатывает 10 цифр номера телефона и вместе с какой дополнительной информацией (дополнительная информация обязательно должна быть, иначе это не будет ничем отличаться от произвольного перебора любых номеров), может ли такая обработка затрагивать интересы конкретного физического лица, осуществляется ли такая обработка в личных или иных целях, если ли у обработчика (оператора ПДн) возможность идентифицировать конкретного владельца номера телефона (любым экономически оправданным способом) и т.д.

Только после этого можно четко ответить на следующие вопросы:
- являются ли указанные вами данные персональными
- каким образом и в какой степени обработка этих данных может затрагивать интересы субъекта
- подпадает ли такая обработка под действие законодательства о персональных данных

Является ли публикация сотовых - нарушением 152 ФЗ?

Автор: Alex Дата: 14-03-2011 11:55

Попробуем разобраться на примерах:
http://zvonki.octo.net/number.aspx/9037011111 -- база данных всех номеров, однако явного указания на идентификацию владельца нет.
Опять же, например, пост в блоге с указанием сотовых телефонов
http://www.blog.bank24.ru/archives/3379
является нарушением?

публикация сотовых

Автор: Александр Астахов Дата: 14-03-2011 12:48

Первый указанный вами сайт является потенциально рисковым, с точки зрения законодательства о персональных данных, т.к. там цель обработки телефонных номеров - идентификация их владельцев. Если владельцы идентифицируемых номеров - физические лица, если их удастся идентифицировать через данный сайт и на этом сайте будет выложена какая-либо информация к ним относящаяся без их разрешения, то здесь будет очевидно нарушение законодательства. Представьте себе, что Семен Семеныч по ошибке и не в неудачное время набрал номер какого-то психа. Этот псих, воспользовавшись данным сайтом, вычислил домашний адрес Семен Семеныча и жестоко избил его. Нарушение прав Семен Семеныча на частную жизнь здесь очевидно.

Однако, пощелкав немного по указанному сайту, я персональных данных сходу там не обнаружил. Обсуждаемые там номера в основном принадлежат юридическим лицам и по определению не могут относится к персональным данным.

Будут ли владельцы этого сайта признаны оператором ПДн зависит от их официальной политики, содержащей формулировку целей обработки данных, и модераторов данного сайта. Если цель - установление организаций, занимающихся телефонным спамом, то к ПДн это отношения очевидно не имеет. В этом случае модераторы сайта должны следить за тем, чтобы там не появилась информация о конкретных физических лицах, позволяющая их идентифицировать.

Второй пример (список телефонов в блоге) скорее всего не является персональными данными, т.к. по одному номеру сложно идентифицировать владельца. Тем более, что приводимые телефонные номера используются в мошеннической деятельности (по утверждению автора блога), а это значит, что установить их реальных владельцев, скорее всего, не сможет даже сотовый оператор. Какой идиот будет заниматься мошенничеством с личного телефона? Эти номера зарегистрированы по паленым картам и на несуществующих владельцев. Возможно у них вообще нет владельцев или они зарегистрированы на какие-нибудь организации.

Однако, если эти номера принадлежат конкретным физическим лицам, которых автор блога обвиняет в мошенничестве и установить данных лиц проще простого (учитывая реалии нашей страны), купив на рынке базу данных сотового оператора, тогда ситуация принимает другой оборот. У данных физических лиц появляются основания обращаться и в Роскомнадзор и в суд.

Александр Астахов

Recent entries:

Одинокий вечер безопасника в Москва-Сити

Встреча BSI с консультантами по системам менеджмента, тонкости внедрения и аудита и недостатки ISO 27001

Легенда о разрушении ада и восстановлении его

Британское анти-коррупционное законодательство и система менеджмента противодействия коррупции

Дракон - очередной претендент на звание самого безопасного интернет-браузера

Ещё