понедельник, 11 февраля 2019 г.

ИНН это ПДн. А как насчет УИН в ГТО?

Навеяно позицией РКН и комментаторов по отнесению ИНН к ПДн 
     Являясь сторонником здорового образа жизни, что подтверждает и присвоение мне  Приказом Министра спорта РФ Золотого знака ГТО (на фото), мне приходится сталкиваться с необходимостью передачи моих персональных данных организаторам спортивных мероприятий. Так, для сдачи норм ГТО, пришлось пройти регистрацию  и получить личный ID - уникальный идентификационный номер участника ГТО (далее - УИН). Вопрос: УИН это ПДн?

     "Требования к уровню физической подготовленности населения России указаны в специальном протоколе, куда и вносится уникальный идентификационный код зарегистрированного пользователя. Подача заявки на тестирование собственных физических возможностей для школьников и совершеннолетнего населения доступна только при наличии этого кода. Также личный ID номер расширяет для пользователя функционал официального сайта программы «Готов к труду и обороне». Появляется возможность полноценно использовать опции личного кабинета, в том числе одним из первых получать результаты спортивных состязаний, которые содержатся в единой базе данных."

   Как же формируется УИН?
"Первые 2 цифры – зашифровывают календарный год начала участия в комплексе ГТО
Вторые 2 цифры – общепринятое цифровое обозначение субъекта Российской Федерации для определения места регистрации и выдачи учетной карточки
Оставшиеся 7 цифр – соответствуют порядковому номеру участника внутри текущего года и на соответствующей территории."
    Много найдете  отличий от формирования и назначения ИНН?
    И вполне логично, что Минспорта и Минобразования не относит УИН к ПДн
   Зато к ПДн отнесены: номер телефона, электронная почта, спортивные предпочтения, спортивные разряды, пароль для входа в личный кабинет. 
   Даже количество подтягиваний, сделанных спортсменом это ПДн. Расскажите мне, как обеспечить режим защиты ПДн при организации сдачи нормативов? Заставлять граждан сдавать их в одиночной камере? Как быть с массовыми стартами (лыжи, бег)? Ведь все участники и все зрители знают результат, показанный при сдаче норматива.
   Не слишком ли далеко мы зашли с трактовой ПДн в нашем законодательстве?
   Настоящий документ «Положение об обработке и защите персональных данных»
(далее – Положение) представляет собой описание основных принципов обработки и защиты
персональных данных АНО «Дирекция спортивных и социальных проектов» (далее –
Дирекция), являющейся Оператором персональных данных в рамках предоставления доступа
к мероприятиям Всероссийского физкультурно-спортивного комплекса «Готов к труду и
обороне» (далее – «Комплекс ГТО») в рамках предоставления услуги «Реализация
мероприятий по внедрению Всероссийского физкультурно-спортивного комплекса «Готов к
труду и обороне» (ГТО)».
"2.2. В Дирекции с использованием Системы ГТО обрабатываются следующие
персональные данные пользователей: фамилия, имя, отчество (при наличии); пол; дата
рождения; адрес места жительства (адрес регистрации и проживания); контактный
телефон, адрес электронной почты; основное место учебы, работы (при наличии);
спортивный разряд с указанием вида спорта (при наличии); информация, включенная в
согласие на обработку персональных данных в соответствии со ст.9 Федерального закона
от 27.07.2006 N 152-ФЗ «О персональных данных»; спортивные предпочтения (при
наличии); фотография; результаты испытаний, сведения о полученных знаках отличия,
пароль учетной записи пользователя в Системе ГТО."

СОГЛАСИЕ ЗАКОННОГО ПРЕДСТАВИТЕЛЯ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНЕГО
"Настоящим даю свое согласие на обработку АНО «Дирекция спортивных и социальных
проектов»..моих персональных данных, включенных в настоящее согласие (исключительно в целях получения согласия) и персональных данных моего несовершеннолетнего ребенка, а
именно: фамилия, имя, отчество (при наличии); пол; дата рождения; адрес места
жительства (адрес регистрации и проживания); контактный телефон, адрес электронной
почты; основное место учебы, работы (при наличии); спортивный разряд (при наличии);
спортивные предпочтения (при наличии); фотография; результаты испытаний, сведения о
полученных знаках отличия, пароль учетной записи на Интернет-портале Всероссийского
физкультурно-спортивного комплекса «Готов к труду и обороне»; информация,
включенная в настоящее согласие"

Пользовательское соглашение
Настоящий документ «Пользовательское соглашение» (далее – Соглашение) представляет
собой соглашение между пользователем сети Интернет (далее — Пользователь) и АНО
«Дирекция спортивных и социальных проектов», расположенной по адресу: 420010,
Россия, г. Казань, Деревня Универсиады, д.35, Международный информационный центр
(УЛК Поволжской государственной академии физической культуры, спорта и туризма)
(далее – Дирекция) о получении доступа к мероприятиям Всероссийского физкультурноспортивного
комплекса «Готов к труду и обороне» (далее – «Комплекс ГТО») в рамках
предоставления услуги «Реализация мероприятий по внедрению Всероссийского
физкультурно-спортивного комплекса «Готов к труду и обороне» (ГТО)» на изложенных
ниже условиях.

"5. Согласие на обработку персональных данных и иной персональной информации
Пользователя
5.1. В рамках настоящего Соглашения под «персональной информацией Пользователя»
понимаются данные, которые Пользователь (или его законный представитель, в случае
несовершеннолетия Пользователя) предоставляет о себе самостоятельно при регистрации
(создании учётной записи) на Интернет-портале, включая персональные данные
Пользователя: фамилия, имя, отчество (при наличии); пол; дата рождения; адрес места
жительства (адрес регистрации и проживания); контактный телефон, адрес электронной
почты; основное место учебы, работы (при наличии); спортивные предпочтения (при
наличии); фотография; пароль учетной записи на Интернет-портале Всероссийского
физкультурно-спортивного комплекса «Готов к труду и обороне» (обязательная для
предоставления информация помечена специальным знаком (*)), а также данные, которые
появляются по результатам испытаний (результаты испытаний, сведения о знаках
отличия).

5.3. При регистрации Пользователь (или его законный представитель) соглашается с
обработкой (в том числе, сбором, систематизацией, накоплением, уточнением
(обновлением, изменением), использованием, обезличиванием, блокированием,
хранением, уничтожением и передачей Министерству образования и науки России,
Центрам тестирования, созданным в соответствии с Приказом Минспорта России от
01.12.2014 N 954/1 «Об утверждении Порядка создания Центров тестирования по
выполнению видов испытаний (текстов), нормативов, требований к оценке уровня знаний
и умений в области физической культуры и спорта и Положения о них», а также
федеральному и региональным органам исполнительной власти в области физической
культуры и спорта и уполномоченным ими организациям) Дирекцией своих
персональных данных (фамилия, имя, отчество (при наличии); пол; дата рождения; адрес
места жительства (адрес регистрации и проживания); контактный телефон, адрес
электронной почты; основное место учебы, работы (при наличии); спортивный разряд
(при наличии); информация, включенная в согласие на обработку персональных данных в
соответствии со ст.9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных
данных»; фотография; результаты испытаний, сведения о полученных знаках отличия,
пароль учетной записи на Интернет-портале Всероссийского физкультурно-спортивного
комплекса «Готов к труду и обороне») в электронном виде и/или на бумажных носителях
с целью предоставления доступа к мероприятиям Комплекса ГТО в соответствии с
Приказом Министерства спорта Российской Федерации от 29 августа 2014 г. N 739 г.
Москва «Об утверждении Порядка организации и проведения тестирования населения в
рамках Всероссийского физкультурно-спортивного комплекса «Готов к труду и обороне».
Согласие действует до достижения целей обработки, однако, Пользователь (или его
законный представитель) вправе в любой момент отозвать данное согласие, путём
направления письменного уведомления на адрес: 420010, Россия, г. Казань, Деревня
Универсиады, д.35, Международный информационный центр (УЛК Поволжской
государственной академии физической культуры, спорта и туризма).
    В случае отзыва согласия на обработку персональных данных Дирекция обеспечивает
прекращение такой обработки и обеспечивает их уничтожение в срок, не превышающий
тридцати дней с даты поступления указанного отзыва, за исключением случаев, когда
дальнейшая обработка персональных данных необходима для исполнения полномочий
федеральных органов исполнительной власти, органов государственных внебюджетных
фондов, исполнительных органов государственной власти субъектов Российской
Федерации, органов местного самоуправления и функций организаций, участвующих в
предоставлении соответственно государственных и муниципальных услуг,
предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации
предоставления государственных и муниципальных услуг».
Обращаем внимание, что отзыв согласия на обработку персональных данных влечёт за
собой удаление записей, содержащих персональные данные Пользователя, в
информационных системах персональных данных Дирекции, что может повлечь
невозможность использования сервисов Интернет портала Дирекции, а также участия в
мероприятиях Комплекса ГТО."


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

20 комментариев:

  1. Минспорта и Минобразования могут не относить УИН к ПДн ровно также, как это делает Минфин с ИНН. Надо, полагаю, сделать запрос в РКН и на этот счет (это не стеб, не сарказм).
    Результаты испытаний можно через письменное согласие субъектов ПДн попросить сделать общедоступными, и размещать их в открытых источниках (спортзалах, турнирных таблицах и т.д.).

    ОтветитьУдалить
    Ответы
    1. Какой смысл направлять запрос в РКН? Ничего ведь не изменится. Зачем вообще доводить ситуацию до абсурда?
      Бюрократия ради бюрократии. ПДн спортсменов будут лучше защищены, если собирать кучу бумажек? Кому эта показуха нужна?

      Удалить
    2. О какой показухе, каким абсурде идет речь? Запрос в РКН, точнее ответ на него, сможет внести ясность: может УИН быть ПДн или нет. А разве предыдущий запрос в РКН по ИНН не был бюрократией?
      Речи об обеспечении безопасности ни сейчас, ни в предыдущем посте, по моему, никто и не вел, мы, вроде, вели конструктивную беседу о том, что считать ПДн, а что нет.

      Удалить
    3. Отнесение данных к пдн приводит к необходимости выполнения оператором требований законодательства, в том числе и в части обеспечения безопасности

      Удалить
    4. Предыдущий запрос в ркн по инн был вызван интересом к реакции ркн на демарш фнс. И не более.С точки зрения безопасника, примечательно - игнорирование позиции создателя информации.

      Удалить
    5. Защите подлежит любая информация. У некоторых безопасников со временем образуются некие шоры, дескать обеспечение безопасности = обеспечение конфиденциальности информации, однако в нашей стране защищается любая, повторюсь, информация. Только для общедоступной информации необходимо обеспечивать целостность и доступность, а для информации ограниченного доступа еще и конфиденциальность. Поэтому обеспечивать безопасность придется в любом случае.

      Удалить
    6. Потому что статья 16 149-ФЗ распространяется на информацию вообще, а не только на информацию ограниченного доступа.

      Удалить
    7. Да, но в статье 16 ничего не говорится обязательности защиты.
      Более того, в 4. ст.16 прямо сказано "Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить". Не всегда, а только в специально обговоренных в законодательстве случаях

      Удалить
    8. Хех, да информацию вообще можно не защищать, иногда экономически целесообразно заплатить штраф и вообще больше не запариваться.

      Но я же говорил о том, что 149-ФЗ охватывает всю информацию, но только требование обеспечивать конфиденциальность относится с информации ограниченного доступа.

      И тут мы приходим к тому, что сведения о спортсменах будут лучше защищены не из-за того, что они относятся к ПДн или нет, а ввиду того, как оператор подходит к защите информации.

      Удалить
    9. Что бы штраф угрожал, надо сначало закон нарушить.Нет в законодательстве требования защищать любую информацию.

      Удалить
    10. Возвращаясь к упомянутой статье, из нее следует, кратко, что защита информации (любой) - это комплекс мер, направленных на обеспечение доступности информации (любой), целостности информации (любой) и конфиденциальности информации (ограниченного доступа).
      Как оператор будет защищать информацию в общем - его личное дело, за исключением ряда случаев, о которых дополнительно оговорено в той части статьи, которую Вы привели.

      Удалить
    11. Да, в этой статье просто дано определение, что в данном фз понимается под защитой информации. Обязательность защиты любой информации и в любом случаи - не прописана.
      Не обязан оператор всегда примень этот комплекс мер

      Удалить
    12. Про комплекс некоторых обязательных мер в отношении ряда заранее определенных случаев написали Вы, я же указал то, что подразумевается под защитой информации. Из чего следует, что защита информации, как деятельность, направлена на обеспечение трех составляющих, две из которых распосираняются на всю информацию и только одна на информацию ограниченного доступа. А тепеь читаем 149-ФЗ последовательно, если оператор принял решение защищать информацию, то он обеспечивает как минимум две составляющих, если у оператора есть некая информация ограниченного доступа, то он реализуют и третью составляющую, если оператор обрабатывает информацию, защита которой диктуется отдельным законодательством, то он обязан реализовывать те меры, которые указали Вы.

      Удалить
    13. Алексей, 12.02.2019 вы написали "Защите подлежит любая информация. ...Поэтому обеспечивать безопасность придется в любом случае.". И при ответе на мой вопрос "почему любая информация должна защищаться" сослались на ст.16 в 149-фз. Но в ст.16 и вообще в 149-фз не указано никакой обязательности защиты любой информации. Сейчас же вы начали утверждать, что "А теперь читаем 149-ФЗ последовательно, если оператор принял решение защищать информацию, то он обеспечивает как минимум две составляющих, если у оператора есть некая информация ограниченного доступа, то он реализуют и третью составляющую, если оператор обрабатывает информацию, защита которой диктуется отдельным законодательством, то он обязан реализовывать те меры, которые указали Вы.". Я с такой трактовой 149-фз не спорю и согласен с ней. Только ключевое- "если оператор принял решение", но ведь это противоречит вашему же утверждению о том, что любая информация подлежит защите. Информация подлежит обязательной защите в отдельных случаях, установленных законодательством. Либо добровольно и на усмотрение оператора.

      Удалить
    14. Соответственно, если спортивные результаты на соревнованиях относятся в ПДн, то они подлежат обязательной защите. Если УИН не отнесен к ПДн, то он не подлежит обязательной защите.

      Удалить
    15. Ну, скажем так, зачем его защищать? Пусть себе просто обрабатывается, но произойдет случайная модификации информации и золотой значок ГТО получит не то лицо, которому соответствует этот УИН. Поэтому да, защищать ничего не надо.
      Но возвращаясь к делу. Проблема в том, что по действующему определению ПДн - это любая информация, относящаяся к субъекту ПДн. В моем понимании этого определения, если заранее известно, что эта информация относится к некоему человеку, то это ПДн, если этого не известно, то не ПДн.
      УИН относится прямо или косвенно к человеку?

      Удалить
  2. Отдельный большой палец вверх, лайк за золотой знак ГТО.

    ОтветитьУдалить
  3. Автор не корректно сравнивает ИНН и УИН в ГТО. Это принципиально разные по использованию идентификаторы. ИНН используется большим количеством организаций и ведомств, что позволяет по нему определить субъекта без применения БД ФНС РФ (основная ИСПДн). В этом плане ИНН сродни номеру банковской карты. А вот УИН в ГТО, это локальный идентификатор в ОДНОЙ информационной системе, который никем больше не собирается и не используется, и определить с его помощью субъекта без доступа к этой базе невозможно.

    ОтветитьУдалить
    Ответы
    1. Игорь, я не согласен насчет "принципиальной разницы". Напишу отдельную заметку в блог с описанием своей позиции,с учетом нашей дискуссии в фейсбуке. Спасибо з а активное участие в обсуждении.

      Удалить