Все равно не понимаю, вот есть сайт, есть личные кабинеты пользователей, в котором отображается соответствующая информация об этом пользователе. Что бы получить, доступ к этой странице и просмотреть информацию, пользователь должен авторизоваться. А поисковой бот, как-то может эту информацию получить без всяких авторизаций?? По идее, не может ведь?
VitaliyPavlov, А можно угрозы третьего типа тоже признать неактуальными? :) И этим уйти от обязанности обеспечивать 4-й уровень защищенности? :) Например в пользовательском соглашении включить пункт, что пользователь соглашается с тем, что НСД к его ПДн не нанесет ему существенного вреда?
ThunderCat, на одном сайте заполнил e-mail и адрес, на другом e-mail и паспортные даные, на третьем e-mail и сепульки, и на всех сайтах метрика, и вот уже у яндекса полная картинка складывается :)
Кстати, а ИСПДн в такой конфигурации: сайт на wordpress, БД MySql, OC Ubuntu из пдн: логин, e-mail, ip, cookies и в качестве наименования организации могут иногда фигурировать ФИО Индивидуального предпринимателя, может претендовать на 4-й уровень защищенности? Т.е. можно признать для неё угрозы 1-го и 2-го типа неактуальными?
ThunderCat, Тогда уж не я путаю, а Роскомнадзор.
Вот материалы более свежего дела (№ А56-6698/2016 от 01.07. 16 г. 13AAC) https://sudact.ru/arbitral/doc/J8ihyq5cYyo1/
цитата:
"Исполнитель передает заказчику сведения об абоненте и его поисковых запросах в сети Интернет, включающие:
Хэш-ID Пользователя - уникальный идентификатор Активного Пользователя;
время просмотра web-страницы;
URL - стандартизированный способ записи адреса web-страницы в сети Интернет;
HTTP referer один из заголовков запроса клиента протокола HTTP. Содержит URL источника запроса;
User Agent часть HTTP запроса, начинающаяся с «User-agent:» или «User-Agent.»;
HTTP Cookie.
Информация, получаемая ПАО «Ростелеком», позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных)."
Идентифицировать на улице не позволяет, а "определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте" - позволяет, "что позволяет ее отнести к сведениям, подпадающим под определение «персональные данные».
Кроме того у меня есть ЛК Организаций, и в качестве наименования организации иногда может фигурировать ФИО индивидуального предпринимателя, а это уже сто процентов ПДн, хоть и общедоступные, а всё равно их надо охранять как зеницу ока.
По этому поводу у меня есть вот такой ответ от Минкомсвязи, Московского РКН и нескольких РКН по Северо-западу:
«Считаем возможным пояснить, что анализ положений локальных актов, регламентирующих порядок и условия использования основных метрических интернет-сервисов, показал, что, в большинстве случаев, объем собираемой информации включает в себя:
персональная информация, предоставленная Пользователем при регистрации (создании учетной записи), такая как имя, номер телефона, адрес и возраст;
электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении);
дата и время осуществления доступа к сайтам и/или сервисам;
информация об активности пользователя во время использования сайтов и/или сервисов (например, история поисковых запросов);
информация о геолокации пользователя;
иная информация о пользователе, необходимая для обработки в соответствии с условиями, регулирующими использование метрического интернет-сервиса.
Таким образом, полагаем, что получаемая при использовании функционала метрических интернет-сервисов информация позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, что позволяет ее отнести к сведениям, подпадающим под определение «персональные данные»».
Нахрена надо? :) Хороший вопрос :) Что бы, не нарушать :) А иначе любой на меня жалобу в РКН может накатать, а они тогда обязаны принять меры.