Концептуальный конфликт с ПДн

Удалось сформулировать концептуальное неприятие предлагаемого в 152-ФЗ подхода к персональным данным (ПДн) более четко.

Понятно стремление защитить информацию физического лица от неоправданного любопытства. Понятно желание ограничить классификацию данных для упрощения условий их защиты. Непонятно, почему нужно доводить простоту до состояния неадекватности жизненным реалиям.

Главное неприятие заключается в полном несоответствии практики обеспечения гражданской ответственности и определения защищаемых ПДн. Если при банальной сдаче в химчистку вещей необходимо сообщить почти все паспортные данные, о какой защите ПДн может идти речь? Причем, химчистку не обвинишь в избыточности притязаний на ПДн: для ответственных договорных отношений необходимо иметь достоверные данные о клиенте.

Так, может, не надо переусердствовать в сокращении категорий персональных данных, а сделать классификацию адекватной? Например:

  1. Общегражданские данные – данные, достаточные для предъявления при необходимости нести гражданско-правовую ответственность по бытовым сделкам: уникальный идентификатор (ИНН или код УЭК), ФИО, год рождения, город проживания, фото на удостоверении для визуальной идентификации соответствия.
  2. Бытовые данные – данные, отражающие бытовую информацию, обычно известную близким знакомым: дата рождения, адрес проживания, контактная информация, родственники, доходы, личное имущество и т.п.
  3. Частные данные – данные, которые могут быть известны только очень близким людям: здоровье, религиозные, политические взгляды
  4. Специальные данные – данные, которые являются предметом договорных отношений, например:
    • данные о здоровье при отношении с поликлиникой
    • данные о прописке про отношениях с управляющей компанией многоквартирного дома
    • данные о состоянии счета при покупке товара в кредит

Общегражданские данные не могут являться конфиденциальными, т.к. без них невозможно вести гражданские отношения. Зато можно законодательно запретить запрос иных данных для бытовых сделок, кроме случаев, когда они нужны по роду оказания услуг. При ведении единых реестров можно обеспечить любым контрагентам информационный контакт без регистрации контактных данных. С согласия клиента, в договор могут быть внесены его контактные данные.

Предметом защиты могут являться бытовые и частные данные, если они оказываются в категории специальных (требуются для исполнения договорных отношений). Необходимости получения согласия на их обработку я не вижу, т.к. они являются условиями реализции отношений. Можно предусмотреть процедуру обоснования исполнителем списка требуемых данных, если заказчик не понимает обоснованности отдельных пунктов списка данных.

Для минимизации риска «Большого брата» можно запретить ведение в реестрах специальных данных уникальных идентификаторов физлиц. Соответствие между локальными идентификаторами записей и уникальным кодом вести в виде отдельных справочников с ограниченными правами доступа, т.к. в рамках обслуживания идентификация конкретной персоны обычно не обязательна (врачу неважно, кому он режет грыжу, Иванову или Сидорову – важно соответствие описаний пациентов проводимой операции).

4.7.2011