1

Тема: как урезать БД чтобы выйти из под ФЗ-152

Тысячам маленьких фирм (от фитнес-центров до турагенств) у которых в офисе 2-3 компьютера, интернет и студент по объявлению, который раз в год заходит запустить windows update - никогда не потянуть требования данного закона.
Вопрос - как вырваться из его мёртвой хватки?
Из материалов сайта я понял, что персональными данными являются данные, однозначно определяющие человека. Например, просто ФИО - таковыми не являются. Хорошо бы прикинуть - каким минимумом можно отделаться.
На мой взгляд, ФИО + емэйл + моб.телефон - тоже не могут однозначно определять субъекта.
Что вы думаете по этому подоводу?

2

Re: как урезать БД чтобы выйти из под ФЗ-152

А компания точно сможет работать если будет обрабатывать только ФИО? А зарплату как начислять?

3

Re: как урезать БД чтобы выйти из под ФЗ-152

Ну, во-первых, на учёт сотрудников фирмы этот закон не распространяется - так написано в FAQ здесь на сайте.
Но я имел в виду только клиентов фирмы. Почти каждая фирма ведёт их список. И, в сущности, мало кому из фирм нужны реальные перс.данные. Главное - какое-то имя, на которое клиент отзывается и как его найти (мэйл/тел).
Вот их хочется знать пределы подробности этого списка, после которого ко мне могут явится маски-шоу, чтобы попросить немного денег.

Отредактировано sydenis (2011-07-07 17:21:54)

4

Re: как урезать БД чтобы выйти из под ФЗ-152

sydenis,

боюсь, что вы неверно поняли. Вы можете не подавать уведомление, если ведете обработку ПДн сотрудников. Но действие закона на вас очень даже распространяется.

Предел определяется просто. Если вы можете классифицировать свою ИСПДн, где обрабатываются данные клиентов, по классу К4, то никто к вам не явится и можете зебыть про защиту таких данных. Если не сможете, то приступайте к защите.

Напомню, что К4 - это, фактически, обезличенные или общедоступные данные.

5

Re: как урезать БД чтобы выйти из под ФЗ-152

Ну может я, действительно, не ясно выразился - ещё раз повторю - сейчас меня не интересуют ПД сотрудников.
Речь о том, что почти все фирмы ведут в том или ином виде учёт своих клиентов. Даже если вы простой посредник закупающий бананы и тампаксы у дилера и сплавляющий их более мелким оптовикам, то в вашей БД есть справочник вида: ООО Рога и  Копыта, менеджер Пупкин Ваня, тел 1234567, мэйл vania@roga.su.
В принципе, у каждого из нас есть мобильник и в нём - в контактах - содержится точно такая же инфа.  Мы теперь все нарушители?

И далее, развивая тему про К4 - не очень я понял.  Я сам для себя должен решить, что у меня К4?  И тогда я могу нигде не регистрироваться?
Дело в том, что как показывает опыт, когда органам надо поиметь с тебя клок шерсти - они смело начинают импровизировать. И во время проверки пожарник или налоговик могут заявить, что "у вас не К4, будем составлять протокол".
Как программист, я могу утверждать, что составной ключ ФИО+мэйл+тел - не может служить уникальным ключом для БД. Это общая теория. Но как доказать это проверяющим?
Таким образом два вопроса:
1. Нужно ли регистрироваться если, я считаю, что у меня К4?
2. Есть ли в законе чёткое определение границ его применения: какие данные считать обезличенными или общедоступными, относящимися к К4?

6

Re: как урезать БД чтобы выйти из под ФЗ-152

sydenis.
Если ответить на ваш вопрос конкретно - да, нарушители smile

К4 вы не сами назначаете, а определяется по методике, определенной в приказе трех. И если вы поймете, что у вас К4, то такие системы можно не защищать. Например, если возьмете согласие у субъектов на то, что их ПДн будут общедоступными.

Подача уведомления определена в 152-ФЗ, там же указаны исключения - ст. 22, ч.2.
Закон дает определения и обезличенным и общедоступным данным.

Естественно, что если захотят с вас "содрать", то вольностей закон допускает много.

7

Re: как урезать БД чтобы выйти из под ФЗ-152

вот прочитал:
ст. 22 ч.2
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
п.4 являющихся общедоступными персональными данными;

ст.3 п.12
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Таким образом, включаем всем клиентам в договор фразу о том, что они согласны на то, что мы записываем в свою БД их данные (указываем - какие). И, вроде как, можно считать, что от ФЗ152 мы отмазались....  по крайней мере - надеюсь wink

8

Re: как урезать БД чтобы выйти из под ФЗ-152

Люди, скоро появитца бизнес аутосерсеров, они решат за вас эти проблемы, если вы чё не знаете, крупные фирмы итак в состояние привести все в порядок)