Страницы

среда, 18 сентября 2019 г.

ПП РФ N 1197 и ПДн (телефон и почта)



   Публикация 16.09.2019 ПП РФ от 13 сентября 2019 г. N 1197 "О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных" (начало действия с 24.09.2019) вызвало бурную реакцию в СМИ и интернете. А есть ли повод для этого?

   Кратко можно разделить публикации по поводу этого документа на 3 вида (ссылки приведены для примера, подобных публикаций множество):
1. Номер мобильного телефона и e-mail официально отнесены к персональным данным.
2. Номер мобильного и электронный адрес будут считаться официальными идентификаторами россиян.
3. Единая система персональных данных россиян дополнится номером телефона и e-mail.

Читаем первоисточники:
   "Дополнить состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, утвержденный постановлением Правительства Российской Федерации от 30 июня 2018 г. N 772 "Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации" (Собрание законодательства Российской Федерации, 2018, N 28, ст. 4234), пунктом "д" следующего содержания:

"д) контактные данные физического лица (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты).".

Смотрим изменяемое ПП от 30 июня 2018 г. N 772 и удивляемся. А ведь в нем 2 приложения
  В соответствии с частью 8 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:
Утвердить прилагаемые:
- состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных;
- изменения, которые вносятся в акты Правительства Российской Федерации.

СОСТАВ
СВЕДЕНИЙ, РАЗМЕЩАЕМЫХ В ЕДИНОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЕСПЕЧИВАЮЩЕЙ ОБРАБОТКУ,
ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ, БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ИХ ПРОВЕРКУ И ПЕРЕДАЧУ ИНФОРМАЦИИ О СТЕПЕНИ
ИХ СООТВЕТСТВИЯ ПРЕДОСТАВЛЕННЫМ БИОМЕТРИЧЕСКИМ
ПЕРСОНАЛЬНЫМ ДАННЫМ ГРАЖДАНИНА РОССИЙСКОЙ ФЕДЕРАЦИИ,
ВКЛЮЧАЯ ВИД БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

В единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее - единая биометрическая система), размещаются следующие сведения:
а) биометрические персональные данные физического лица - гражданина Российской Федерации следующих видов:
данные изображения лица человека, полученные с помощью фото- видео устройств;
данные голоса человека, полученные с помощью звукозаписывающих устройств;
б) идентификатор сведений в соответствующем регистре юридических лиц или регистре органов и организаций федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - единая система идентификации и аутентификации) государственного органа, банка, иной организации в случаях, определенных федеральными законами, разместивших в электронной форме в единой биометрической системе биометрические персональные данные гражданина Российской Федерации (далее - уполномоченные организации), - основной государственный регистрационный номер записи о создании юридического лица;
в) идентификатор сведений об уполномоченном сотруднике уполномоченной организации в регистре органов и организаций единой системы идентификации и аутентификации, разместившего в электронной форме в единой биометрической системе биометрические персональные данные гражданина Российской Федерации, - страховой номер индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации;
г) идентификатор сведений о физическом лице в регистре физических лиц единой системы идентификации и аутентификации, биометрические персональные данные которого размещаются в единой биометрической системе, - идентификатор учетной записи в единой системе идентификации и аутентификации.


Утверждены
постановлением Правительства
Российской Федерации
от 30 июня 2018 г. N 772

ИЗМЕНЕНИЯ,
КОТОРЫЕ ВНОСЯТСЯ В ОТДЕЛЬНЫЕ АКТЫ ПРАВИТЕЛЬСТВА
РОССИЙСКОЙ ФЕДЕРАЦИИ

..
2. Пункт 5 требований к федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденных постановлением Правительства Российской Федерации от 28 ноября 2011 г. N 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (Собрание законодательства Российской Федерации, 2011, N 49, ст. 7284; 2013, N 5, ст. 377; N 50, ст. 6601), дополнить подпунктами "ж" - "и" следующего содержания:
"ж) автоматическое предоставление по запросу государственных органов и организаций сведений о гражданине Российской Федерации, размещенных в единой системе идентификации и аутентификации, в целях идентификации гражданина Российской Федерации с применением информационных технологий без его личного присутствия;
и) предоставление по запросу государственных органов, банков и иных организаций с согласия гражданина Российской Федерации сведений о нем, размещенных в единой системе идентификации и аутентификации, в целях обновления информации о гражданах Российской Федерации, идентифицированных в соответствии с частью 18 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации".".
3. В Правилах использования федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме", утвержденных постановлением Правительства Российской Федерации от 10 июля 2013 г. N 584 "Об использовании федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (Собрание законодательства Российской Федерации, 2013, N 30, ст. 4108):
а) пункт 3 дополнить подпунктами "з" и "и" следующего содержания:
"з) предоставление государственным органам, банкам и иным организациям в случаях, определенных федеральными законами, сведений о гражданине Российской Федерации, размещенных в единой системе, в целях идентификации гражданина Российской Федерации с применением информационных технологий без его личного присутствия;
и) предоставление оператору единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, сведений, размещенных в единой системе, для идентификации и аутентификации участников информационного взаимодействия в целях исполнения оператором указанной системы функций, предусмотренных статьей 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации".";
..
г) дополнить пунктом 20 следующего содержания:
"20. В целях осуществления идентификации гражданина Российской Федерации с применением информационных технологий без его личного присутствия государственные органы и организации запрашивают и получают из регистра физических лиц единой системы следующие сведения о гражданине Российской Федерации:
фамилия, имя, отчество (при наличии), страховой номер индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации (СНИЛС), пол, дата рождения, реквизиты основного документа, удостоверяющего личность гражданина (серия, номер, кем выдан, дата выдачи, код подразделения), адрес места жительства (регистрации), место рождения, сведения о гражданстве, контактная информация - номер абонентского устройства подвижной радиотелефонной связи;
адрес места пребывания, идентификационный номер налогоплательщика, адрес электронной почты - при наличии данных сведений в единой системе.
Указанные сведения предоставляются государственным органам, банкам и иным организациям в случае получения единой системой из единой биометрической системы информации о соответствии предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, а также о степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации с применением информационных технологий без его личного присутствия, согласно методикам проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, которые утверждаются федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных, а также определению указанным органом степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации.
Предоставление указанных сведений из регистра физических лиц осуществляется после получения от гражданина Российской Федерации согласия на их передачу с использованием единой системы.".

Итог: 

1. в Постановлении только п."а" отнесен к ПДн, причем биометрическим. В остальных пунктах вообще не упоминается о персональных данных. Более того, в п "б" вообще идет речь об ОГРН, что явно не ПДн и вообще отношения к физлицам не имеет.
    От того, что какую то информацию разместили в ИСПДн, сама эта информация не становится автоматически ПДн. Вот обратное верно, если в ИС попадают на обработку ПДн, то такая ИС становится ИСПДн.

2. Нет никаких упоминаний, что "номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты" это идентификатор граждан. В отличии от других пунктов, вновь введенный пункт "д" называется - "контактные данные".

3. Обработка контактной информации изначально была предусмотрена в ЕБС. Сейчас это просто формально учли и в первом приложении к ПП772.


Вывод: Нет никакого повода для подобной реакции иб-сообщества на публикацию данного ПП.

P.S. Многие вопросы бы сняла пояснительная записка к ПП 1197, но ее не опубликовали.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

5 комментариев:

  1. Номер телефона и адрес эл.почты ка ПДн - это "бородатый баян". Смотрите ч. 1 ст. 53 ФЗ "О связи": "Сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.
    К сведениям об абонентах ОТНОСЯТСЯ фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, а также адрес абонента или адрес установки оконечного оборудования, АБОНЕНТСКИЕ НОМЕРА и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
    Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами." и далее по тексту статьи.
    Таким образом абонентский номер и адрес эл.почты во всех случаях ОТНОСЯТСЯ к ПДн.

    ОтветитьУдалить
    Ответы
    1. Заметка в блоге про то, что пп1197 вообще не влияет на отнесении таких данных к пдн.

      Удалить
    2. РКН уже два года согласен с тем,что номер телефона не ПДн.

      Удалить
  2. Полностью согласен с тем, что хайп на этой новости преувеличен. Законодатель не подтверждал официально, что некая информация является ПДн, просто был расширен состав информации, которая может собираться в ЕБС.

    ОтветитьУдалить