Персональные данные на проходной у всех навиду

Question

[slava_ch]

На проходной весит монитор, при использовании карточки на нем появляется мои данные ФИО / Название компании / номер офиса / фото и еще что-то. На сколько это законно вот так всем показывать эту инфу?

Comments

[Mike Grigorieff]

Более того эти данные еще и на сервере у них хранятся.

Answer 1

[Akr0n]

Персональные данные — информация позволяющая однозначно идентифицировать человека (если коротко по 152ФЗ). Тут есть фотография, которая при некоторых условиях является биометрической информацией, а это самый серьезный тип ПДн.
Такой монитор должен видеть только охранник, в крайнем случае следует хотя бы развернуть его «за периметр». ИС, обрабатывающая данную информацию должна быть оформлена документами по защите ПДн, у охранника должен быть пункт в регламенте про обращение с этими данными.
Роскомнадзор за такую штуку точно по голове не погладит!

Answer 2

[Next_Alex]

Все зависит от подписанных Вами бумаг.

Comments

[slava_ch]

То-есть если в соглашении не указано что на мои данные может посмотреть любой желающий, то я могу потребовать убрать этот монитор?

[Next_Alex]

Полагаю что монитор убирать не стоит, а вот убрать данные сотрудников с него можно потребовать на основании соответствующего федерального закона (если конечно меня не подводит гугл).

Answer 3

[Mario_Z]

Смотря какие данные там отображаются. Если только фото и ФИО, то мне кажется допустимо. Хотя с другой стороны, такие мониторы должны видеть только сотрудники проходной, а не кто попало.

Answer 4

[Adium]

Спросил у знакомой юриста — говорит, что если там нет данных типа серии и номера паспорта, то ничего противозаконного тут нет.

Comments

[Next_Alex]

Статья 8 федерального закона о персональных данных N152-Ф3 гласит что персональные данные, в том числе ФИО, могут быть включены в общедоступные источники только с письменного разрешения субъекта персональных данных и должны быть исключены из общего доступа по его требованию.
Как-то так…

Answer 5

[Loreweil]

Явное нарушение 152-ФЗ. Если вы не давали согласие на то что ваши ПДн можно считать общедоступными, то оператор персональных данных (в данном случае — ваш работодатель) должен обеспечить конфиденциальность таких данных. Одним из требований ФСТЭК является разворачивание мониторов, на которых отображаются ПДн тылом к дверям, а также использование жалюзи на окнах, тк это визуальный канал утечки персданных. Даже если абстрагироваться от юридического балабольства, это серьезная уязвимость, поскольку такие данные, полученные злоумышленником открывают широкие горизонты для использования методов социальной инженерии.

Answer 6

[kimssster]

В данном случае, фото не является биометрической информацией. Что такое биометрическая фотография описано в ГОСТе, с роскомнадзором уже проходили это. Ваше ФИО+должность для компании общедоступны как и телефонный справочник. Если таким образом организован СКУД, то монитор просто нужно повернуть лицом к охраннику., т.к. видовой ТКУЙ еще никто не отменял.

Answer 7

[Илья Севостьянов]

В данном случае — набор данных тянет едва ли на 4К.

При особом усердии можно конечно и за них «вздернуть»,
Хотя в данном конкретном случае из «персональных данных» тут только ФИО и притянутое за уши «место работы», которое «Компания» (насколько я понял), номер офиса и т.д. персональными данными не являются.

PS: Так же стоит упомянуть о том, что тот, кто не подсовывает сотрудникам, в наши дни, соглашение на обработку ПДн тот мягко говоря «стоячая мишень» ФСТЕК, ФСИС, ФСБ и еще 13 ведомств которые непременно рано или поздно объявятся «с проверкой».
Так что для начала следует убедиться, не имеет ли мониторособственник соответствующего, подписанного Вами, документа.

PPS: Конечно это в какой-то степени опасно, но поверьте Ваши персональные данные куда более ПЕРСОНАЛЬНЫЕ — добываются иначе.

Comments

[Loreweil]

1. Классы уже давно отменены, сейчас уровни защищенности ПДн, да и по старой классификации это явно не 4 класс.
2. Расскажите Роскомнадзору что является персданными, а что нет. По закону это любая прямая или косвенная информация, относящаяся к субъекту. Лично видел предписание, где РКН написал в качестве нарушения то, что в перечне ПДн не указаны номера доверенности, которые выданы работнику, хотя казалось бы…
3. Соглашения на обработку ПДн это НЕ соглашение на то, чтобы ПДн были разглашены, не путайте понятия. К тому же по закону брать согласие с работника не нужно, только если не обрабатываются специальные, биометрические персданные, не происходит передача ПДн третьим лицам или, как уже было сказано ПДн не собираются разместить в общедоступном источнике.
4. Проверять по персданным по закону уполномочены только три органа — РКН, ФСТЭК и ФСБ (эти и то только в случае использования криптографии для защиты ПДн).
5. Про соцсети все понятно, а вот монитор позволяет лучше понять о ком нам собирать дальше информацию, не находите?

[Илья Севостьянов]

1. Да классы и вправду отменили. Каюсь (И да, даже по старой сетке 4-ая как раз таки биометрика и т.д., я естественно имел в виду 1К)
2. Оспаривается. Был в гуще подобного рода событий год назад (хотя опять же как с отменой классов, что-то могло измениться, но в моем случае информация которая так или иначе могла быть получена из открытых источников — была исключена из совокупности ПДн, как и субъектов стало существенно меньше.)
3. Соглашение на обработку ПДн, может включать в себя условия предоставления данных третей стороне, да и в общей форме может содержать разрешение на раскрытие неограниченному кругу лиц (очень даже де-юро) (и сейчас это повсеместно, «у нас» например без подобного пункта в соглашении клиента, бизнес скатится в унылое говно, как тогда получать биллинг, договора информационного обмена с партнерами, субподрядчиками)
4. Проверять планово и внепланов уполномочен ФСТЭК — комерсов(и только), ФСБ — ведомственников и прочих «при казне» либо же конторы так или иначе к ней отношение имеющих (например исполняющих гос.заказ).
Остальные в т.ч. Управление «К» МВД (мой случай) органы которые — проверяют одно, выявляют другое (И по мнению честного и справедливого суда — имеют на это все права и основания) А уж как выявили, так за вас принимаются уже «специальнобученные»
5. В таком случае наш выход — паранжа и параноя. Обращение таких данных неизбежно в сегодняшнем обществе, а уж ФИО и место работы — ну Вы я надеюсь понимаете.

PS: Я такой типо «не спорю», но препарирую. Белый и пушистый.

[Loreweil]

В паранже ходить не нужно, вам нужно просто почитать про методы социальной инженерии =) Допустим, эта самая организация — цель злоумышленника, первое, что он делает — собирает информацию. И в первую очередь именно о сотрудниках, имея эту информацию открывается огромное поле для противоправной деятельности — от банальных спам-рассылок до подкупа недовольного работника, чтобы тот похитил секретную информацию. И тут встает вопрос — как собирать инфу. Вариантов много: Google, Maltego, соцсети и тд. Но, найденная в сети информация может быть недостоверной, устаревшей, или, например, как определить по поиску в соцсети что Иван Иванов это тот самый человек, который нам нужен? А тут заходи — смотри сотрудников, еще и с фото (чтобы потом в соцсетях было проще верифицировать субъекта)… Может быть и паранойя, но если в организации пропускной режим и они разорились на СКУД, видимо им есть чего терять.

В этой всей истории меня интересует только один вопрос — почему пропускная система именно так реализована? Зачем монитор висит именно так? Это недоработка или так и задумано и в этом есть какой-то сакральный смысл?

[Илья Севостьянов]

Так очень часто организовывается СКУД.
Охранник стоит «на турникете» (т.е. радом с ним, в «клетке»)
Проходящий прикладывает/вставляет карту/таблетку/чипованный бэйдж — информация подается на экран, охранник сличает личность проходящего с предъявленными пропускными данными. Как правило именно охранник и управляет пропуском, т.е. нажимает клавишу и турникет открывается, но на больших потоках турникет открывается автоматически, но охрана таки бдит на этот самый монитор.
Почему он в коридоре, потому как там видимо оптимальнее всего для охранника который сличает проходящего с фоткой.

Строгие настройки правил СКУД напримре по времени / разным проходным, являются большим источником головной боли.
Потому как правило решение принимается на месте, а для этого необходимы данные о компании подрядчике и т.д.

(Хотя ИМХО — КПП продуманно должно быть иначе — так чтобы охранник видел а остальные — нет, с этим я полностью согласен)

Answer 8

[dummy2002]

Насколько я понял, засвеченные персональные данные на проходной ничем не отличаются по информативности от повешенного на грудь бэджика.