Как РКН на мое обращение отвечал

Как РКН на мое обращение отвечал
В конце 2012 года, а точнее 27.11.2012, я оправил обращение (вопрос) в РКН через их официальную форму. Тематика обращения: Обработка персональных данных (далее - ПДн) / Защита прав субъектов персональных данных и совершенствование законодательства в указанной области. 
Суть проста: являются ли ПДн определенный набор полей информации (логин и имя, пароль, адрес электронной почты, номер мобильного телефона), которые мы обычно заполняем на различных интернет сайтах.

Тут несколько мнений:
  1. Да, являются. Ведь ФИО (обычно запрашивают именно имя и фамилию), и, в особенности, мобильный телефон и адрес электронной почты, - это информация (любая), относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (из 152-ФЗ).
  2. Нет, не являются. Когда данная информация вносится в формы на интернет сайте, то не проверяется ее точность и актуальность. Можно написать заведомо ложную информацию и/или информацию о любом другом субъекте ПДн, причем без его ведома.
Проблема заключается в том, что если это ПДн, то и защищать (выполнять требования) должны как ПДн. А это и правильные формы уведомления об обработке, и общедоступная политика оператора в области ПДн, и тех.и орг. меры, и использование сертифицированных (прошедших в установленном порядке процедуру оценки соответствия) средств защиты информации. К сожалению, на данный момент я не встречал ни один российский сайт (включая сайты гос.структур), соответствующий всем требованиям.
Если же рассматриваемый набор информации не ПДн, то и требования по защите будут другие. В большинстве случаев меры защиты могут быть выбраны операторами самостоятельно. А это, как вы понимаете, проще, дешевле и зачастую "безопаснее".

Несмотря на просьбу однозначного ответа коллеги из РКН ответили довольно уклончиво, но все же достаточно информативно:
"Уведомление Роскомнадзора по Москве и Московской области (далее - Управление) рассмотрело Ваше обращение и сообщает следующее.
Согласно ст.3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", персональные данные - любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных) , из чего следует, что номер мобильного телефона, адрес электронной почты и идентификатор пользователя (логин и имя), не являются информацией, на основании которой это лицо (субъект персональных данных) можно однозначно идентифицировать."

Да, невозможно однозначно идентифицировать субъекта ПДн,  но является ли данная информация ПДн? А если это ПДн, то значит ли это, что это "обезличенные ПДн" (ПДн, чью принадлежность конкретному субъекту ПДн невозможно определить без использования дополнительной информации)?

Вот такой вот ответ. Думайте сами, спрашивайте регуляторов и получайте официальные ответы.
Обращение можно оставить здесь - http://rsoc.ru/treatments/ask-question


А как вы считаете, надо ли защищать регистрационную информацию на сайтах как ПДн (выполнять все требования)?



P.S. Кстати, кто еще не в курсе, на сайте РКН появился  "План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2013 год" .
Планируется порядка 1500 поверок соблюдения операторами обязательных требований в сфере обработки ПДн.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Andrey Prozorov

Информационная безопасность в России и мире