Удалось сформулировать концептуальное неприятие предлагаемого в 152-ФЗ подхода к персональным данным (ПДн) более четко.
Понятно стремление защитить информацию физического лица от неоправданного любопытства. Понятно желание ограничить классификацию данных для упрощения условий их защиты. Непонятно, почему нужно доводить простоту до состояния неадекватности жизненным реалиям.
Главное неприятие заключается в полном несоответствии практики обеспечения гражданской ответственности и определения защищаемых ПДн. Если при банальной сдаче в химчистку вещей необходимо сообщить почти все паспортные данные, о какой защите ПДн может идти речь? Причем, химчистку не обвинишь в избыточности притязаний на ПДн: для ответственных договорных отношений необходимо иметь достоверные данные о клиенте.
Так, может, не надо переусердствовать в сокращении категорий персональных данных, а сделать классификацию адекватной? Например:
Общегражданские данные не могут являться конфиденциальными, т.к. без них невозможно вести гражданские отношения. Зато можно законодательно запретить запрос иных данных для бытовых сделок, кроме случаев, когда они нужны по роду оказания услуг. При ведении единых реестров можно обеспечить любым контрагентам информационный контакт без регистрации контактных данных. С согласия клиента, в договор могут быть внесены его контактные данные.
Предметом защиты могут являться бытовые и частные данные, если они оказываются в категории специальных (требуются для исполнения договорных отношений). Необходимости получения согласия на их обработку я не вижу, т.к. они являются условиями реализции отношений. Можно предусмотреть процедуру обоснования исполнителем списка требуемых данных, если заказчик не понимает обоснованности отдельных пунктов списка данных.
Для минимизации риска «Большого брата» можно запретить ведение в реестрах специальных данных уникальных идентификаторов физлиц. Соответствие между локальными идентификаторами записей и уникальным кодом вести в виде отдельных справочников с ограниченными правами доступа, т.к. в рамках обслуживания идентификация конкретной персоны обычно не обязательна (врачу неважно, кому он режет грыжу, Иванову или Сидорову – важно соответствие описаний пациентов проводимой операции).
4.7.2011