Инфобезопасный дискуссионный клуб

Поделиться:
Уведомления
Очистить все

Является ли email персональными данными?

6 Записи
2 Пользователи
0 Likes
244 Просмотры
 MD5
(@kirill)
Active Member
13
Присоединился: 3 недели назад
Записи: 3
Создатель темы  

В соответствии со ст. 8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, то есть ту информацию, которая позволяет идентифицировать конкретного человека.

И вроде бы все понятно, когда в связке есть ФИО и иные сведения, позволяющие конкретно персонализировать субъекта, но что если рассмотреть комбинацию, состоящую из корпоративного email - наименование отдела сотрудника - наименование должности (email состоит из фамилии и инициалов), например: ivanovav@space.ru - отдел маркетинга - аналитик, в таком случае, указанная комбинация данных является ли персональными данными?

Тема была редактированна 3 недели назад от MD5

   
Цитата
(@admin)
Участник Admin
582
Присоединился: 9 месяцев назад
Записи: 67
 

В вашем вопросе содержится много неточностей и даже путаницы. 🤔 

Во-первых, вы приводите определение персональных данных не соответствующее последней редакции 152-ФЗ и некорректное само по себе:

Запись от: @kirill

к персональным данным можно отнести фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные

Почему можно отнести, а не относятся? Можно отнести весь набор данных, состоящий из всего перечисленного, или каждый элемент данных по отдельности? К ПДн можно отнести иные ПДн?

В актуальной версии 152-ФЗ дается следующее определение:

"персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"

Во-вторых, некорректно утверждение о том, что

Запись от: @kirill

в связке есть ФИО и иные сведения, позволяющие конкретно персонализировать субъекта

Например, ФИО и место рождения не позволяют определить, кому конкретно принадлежат данные, т.к. этот набор данных может относиться к определенному кругу лиц, имеющих одинаковые ФИО и место рождения (и во многих других связках тоже).

А вот набор данных:

Запись от: @kirill

корпоративного email - наименование отдела сотрудника - наименование должности

и даже сам по себе один корпоративный email, относится к одному конкретному сотруднику (если это не групповой email) и следовательно является персональными данными.

Рекомендую всегда задаваться вопросом: "может ли этот набор данных относиться сразу к нескольким людям?". И если ответ на данный вопрос отрицательный или же вызывает затруднения, то имеет смысл считать эти данные персональными (не ошибетесь).  😉 


   
ОтветитьЦитата
 MD5
(@kirill)
Active Member
13
Присоединился: 3 недели назад
Записи: 3
Создатель темы  

@admin Спасибо за развернутый ответ👍Есть еще один уточняющий вопрос: Корпоративный email сотрудника состоит из фамилии и инициалов, что если в компании несколько сотрудников с одинаковой фамилией и схожими инициалами, как в таком случае можно утверждать, что это ПДн конкретного субъекта (сотрудника)?


   
ОтветитьЦитата
(@admin)
Участник Admin
582
Присоединился: 9 месяцев назад
Записи: 67
 

Можно утверждать на основании здравого смысла. Если бы людям так не повезло, что их в компании оказалось несколько с одинаковыми ФИО, неужели вы думаете, что их ещё и заставили бы использовать общий корпоративный email на всех?

Для отнесения email адреса к персональным данным важно не то, сможете ли вы догадаться по его написанию кому этот адрес принадлежит, а то что он по факту принадлежит одному конкретному человеку и в компании известно кто этот конкретный человек. Это личный адрес, персональный, для служебной переписки.

Вот если бы вы в интернете нашли какую то базу email адресов, то эти адреса нельзя было бы, не имея дополнительной информации о них, отнести к персональным данным, поскольку они могут оказаться групповыми и никому персонально не принадлежать. А в вашем примере заранее известно, что это персональные адреса конкретных сотрудников компании.


   
ОтветитьЦитата
 MD5
(@kirill)
Active Member
13
Присоединился: 3 недели назад
Записи: 3
Создатель темы  

@admin Благодарю за разъяснение.


   
ОтветитьЦитата
(@admin)
Участник Admin
582
Присоединился: 9 месяцев назад
Записи: 67
 

Сложность определения персональных данных состоит в том, что один и тот же набор данных, в зависимости от контекста, может являться, а может и не являться персональными данными. Поэтому народ буксует именно на этом вопросе.

Британцы в свое время разработали 8-шаговое руководство по определению того, являются ли данные персональными или нет:

https://infosecportal.ru/blogi/kak-opredelit-otnositsya-li-informacziya-k-personalnym-dannym-prodolzhenie/

Если это руководство внимательно почитать, то становится понятным какой непростой вопрос вы задали и почему я так длинно на него отвечал.

Это сообщение было изменено 3 недели назад 2 раз от Бывалый

   
ОтветитьЦитата
Поделиться: