СЗПДн. Анализ. Роскомнадзор и биометрия

На днях довелось поучаствовать в обсуждении результатов проверки одного оператора с Управлением Роскомнадзора по КК. Впечатление об этом органе у меня испортилось. До этого считал и надеялся, что к логичным и аргументированным доводам они прислушиваются.
На основании того, что у оператора обрабатываются ксерокопии паспортов, Роскомнадзор сделал вывод что оператор обрабатывает биометрические ПДн и выкатил предписание о нарушениях при подаче уведомления и отсутствии согласия на обработку биометрических ПДн.
 Основным аргументом Роскомнадзора, объясняющим такую позицию был “мы получили от руководства четкие указания категорировать фотографии паспорта и все их копии как биометрические ПДн. Если не согласны – можете оспорить в суде”. Дополнительным озвученным аргументом было “Фотография может использоваться только для идентификации человека. Соответственно либо Вы используете и тогда это биометрия, либо вы не используете и тогда это избыточные данные”.
Когда оператор, желая не вступать в конфликт и устранить нарушения малой кровью, решил уничтожить все обрабатываемые фотографии – Роскомнадзор сделал ещё более хитрый ход. Потребовали приказ и акте назвать “об уничтожении биометрических ПДн” и по тексту написать соответственно.  Вот так РКН подстраховывается делая спорные выводы.
В дополнение к этому уже мелочи:
·       Если в рамках проверки был предоставлен перечень лиц допущенных к обработке ПДн, но Роскомнадзор считает что перечень не полный, то пишут не стесняясь – “не были предоставлены документы …, не установлен перечень лиц …”.
·       Роскомнадзор так и не разобрался в термине Лицо ответственное за обработку ПДн по поручению оператора (ЛООПДППО). Приходят к ЛООПДППО и пишут в акте нарушение – “в договоре с … отсутствует существенное условие об обеспечении конфиденциальности и безопасности персональных данных при их обработке”.



UDP. В ходе решения проблемы позвонили в московский центральный РКН - там сказали что конечно же скан паспорта не является биометрией.


После того как мы предложил включить в конференцию Московский и Краснодарский РКН - они сказали что в случае таких расхождейний надо писать официальный запрос письмом.


И наконец на официальный запрос письмом с описанием всей проблематики РКН ответил что их управление не уполномочено комментировать законы РФ.


Комментарии

Анонимный написал(а)…
Поставьте себя на их место, у них ведь тоже отчетность, количество недостатков, сумма штрафов, надо же как-то оправдать свою необходимость. А в сканах надо было просто вымарать фото и обозвать удалением избыточной информации.
Сергей Борисов написал(а)…
Так и сделали.
Просто позиция Роскомнадзора напрягает.

Что мешает им на повторной проверке написать, что предписание не выполнено, на том основании что выполнено оно не так, как они захотели?
Анонимный написал(а)…
Беспредел "контролеров" обусловлен, в том числе, беззубостью операторов, вернее нежеланием связываться, потому как может получиться еще хуже. Заплатил 3 т.р. штрафа лишь бы отвязались, и волки сыты и овцы целы. А вот стремление РКН на порядки увеличить суммы штрафов приведет к валу оспаривания предписаний в судах, а с учетом значительной кривизны законов, про подзаконники вообще молчу, шансы на это не малые. Так что пусть стригут свою копеечку и берут массовостью, не нарушая негласного равновесия.
Валентин Хотько написал(а)…
Возможно причина совершенно иная - имея копию паспорта (а особенно двух страниц с фотографией и подписью) можно сделать очень многое. Например, взять кредит, зарегистрировать SIM-карту и т.п.
Возможно из-за этого и требования к хранению таких копий предельно ужесточают - оператору проще будет не хранить эти данные, чем обеспечивать их защиту.

PS. Странно что только фотографию объявляют биометрическими ПДн (могли бы и подпись заодно).
pushkinist написал(а)…
походу у них проверяющий по пдн в отпуск ушел - уже неделю в новостях одни радиочастоты и устройства.

ну или план выполнили
Сергей Борисов написал(а)…
На счет плана - вряд ли.

Они же только про нарушения пишут - может не выявили?

Или сразу в кучу собирают - а потом "выявлены массовые нарушения ..."
pushkinist написал(а)…
раньше каждый день писали.
в том числе про "нарушения не выявлены")
Сергей Борисов написал(а)…
Ещё одно подтверждение по поводу фото и биометрии от Правительства РФ

http://www.businesspravo.ru/Docum/DocumShow_DocumID_164385.html
pushkinist написал(а)…
не, это биометрический загран.
он прям так и называется сам по себе биометрический.
это не то же самое, что черно-белая ксерокопия обычного паспорта в непонятном качестве
Сергей Борисов написал(а)…
Да, точно.
Тут я затупил.
Почему-то подумал что это не только про биометрические паспорта.
Artem Ageev написал(а)…
ЛООПДППО..... да... этож надо то так с великим то и могучим??

интересно послушать как это сокращение произносится вслух.

Если по теме, то как показывает последняя практика - с РКН можно вполне успешно судиться, если считаете себя правым.
Сергей Борисов написал(а)…
(Лицо осуществляющее обработку персональных данных по поручению оператора) ЛООПДППО - это когда нужен официальный термин, как в ФЗ.
Если неформально, то "обработчик".

На счет судов - да. Например, в МТС по ЮФО каждый год по 15 проверок проходит и по каждой они судятся. Первый год вообще всё выигрывали. Сейчас с переменным успехом.

Но всякие там поликлиники, школы, территориальные отделения гос. учреждений судится не хотят. А использовать это как повод уволить сотрудника ответственного за организацию или защиту ПДн - легко.
Artem Ageev написал(а)…
Был уже период подобных сокращений в жизни нашей страны. Он закончился :). Пора перестать издеваться над русским языком!

хм.. а зачем поликлиникам и школам скан паспорта?

ответственный за обработку ПДн назначается из числа близких к руководству людей. Если ищут повод его уволить - проблема не в роскомнадзоре.
Сергей Борисов написал(а)…
Артем, как всегда софистикой занимаешься? Почему-то другие аббревиатуры у тебя вопросов не вызывают? (ПДн, ИСПДн, СЗПДн, НГМД,НЖМД,СКЗИ, ОТСС, ФСТЭК, BSAT, CISSP, MCSA, MCITP)

На счет увольнений - в случае инцидентов в небольших гос. учреждениях есть вышестоящие организации, которые назначают и снимают с должности.
Artem Ageev написал(а)…
http://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%84%D0%B8%D1%81%D1%82%D1%8B

для общего развития.
Сергей Борисов написал(а)…
Спасибо за ссылку, всегда полезно расширять гругозор.

Но у софистики есть и ещё одно значение.

(греч. sophisma — измышление, хитрость) — преднамеренное применение в споре и в доказательствах ложных аргументов, основанных на сознательном нарушении логических правил (софизмов); словесные ухищрения, вводящие в заблуждение. Различают следующие виды софизмов: а) софизм ‘учетверение термина’ — силлогическое умозаключение, в котором нарушено правило простого категорического силлогизма: в каждом силлогизме должно быть только три термина. Умышленно ошибочное рассуждение строится с использованием нетождественных, но внешне сходных понятий: например, ‘Вор не желает приобрести ничего дурного. Приобретение хорошего есть дело хорошее. Следовательно, вор желает хорошего’; б) софизм недозволенного процесса — силлогистическое умозаключение, в котором нарушено правило простого категорического силлогизма: термин, не распределенный (не взятый во всем объеме) в одной из посылок, не может быть распределен (взят во всем объеме) в заключении: все птицы имеют крылья; некоторые яйцекладущие имеют крылья; в) софизм собирательного среднего термина — силлогистическое умозаключение, в котором нарушено правило простого категорического силлогизма: средний термин должен быть распределен (взят во всем объеме) по крайней мере в одной из посылок: некоторые люди умеют играть на скрипке; все дипломаты — люди; все дипломаты умеют играть на скрипке.


А если заглянуть в историю вопроса:

"Действительно, историческая миссия софистов состояла именно в "сообщении результатов науки массе", а это требует иной направленности ума, чем задачи собственно научного исследования, да и иных способностей: если для античного ученого были прежде всего необходимы сосредоточение на своем предмете, наблюдательность и склонность к умозрению, то для популяризатора - скорее дар красноречия, умение аргументировать свою точку зрения, а также при случае всенародно продемонстрировать как свое остроумие, так и полемические способности. Сразить противника неожиданным аргументом - независимо от того, насколько этот аргумент действительно имеет отношение к существу рассматриваемого предмета, - это способность, необходимая для того, кто обращается к широким массам, не имеющим достаточного знания об обсуждаемом предмете, и совсем не столь важная для ученого, имеющего дело с другим (или другими) учеными.
Именно потому, что софисты развили прежде всего искусство аргументации, искусство побеждать противника в споре, они, естественно, имели "малую способность к самостоятельному творчеству". Не удивительно поэтому, что образовательная деятельность софистов очень скоро выявила свою действительную природу: софистов стали рассматривать не как тех, кто может научить какой-либо науке или ремеслу, а как тех, кто может научить убедительно доказывать свою точку зрения независимо от того, в чем последняя состоит."

"У ‘младших’ софистов (Фразимах, Критий, Алкидам, Ликофрон, Полемон, Гипподам) С. вырождается в ‘жонглирование’ словами, в фальшивые приемы ‘доказательства’ истины и лжи одновременно."

(источники http://dic.academic.ru/dic.nsf/history_of_philosophy/500/%D0%A1%D0%9E%D0%A4%D0%98%D0%A1%D0%A2%D0%98%D0%9A%D0%90

http://philosophy.wideworld.ru/books/ancientgreek/5/ )

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

КИИ. ОКВЭД vs 187-ФЗ

Модель угроз безопасности клиента финансовой организации