вторник, 5 июля 2011 г.

ФЗ о персональных данных применительно к шареваре


Увидел в РСДН вопрос о сабже. Расскажу немного что знаю. Присутствовал недавно на мероприятии, где ФЗ о персональных данных разъяснял человек из роскомнадзора.

В первом приближении ситуация следующая. Данные являются персональными, если по ним можно идентифицировать отдельного человека. Чем больше разнообразных данных, тем выше их класс, и тем надежнее они должны защищаться, т.е. надо проводить сертификацию сетки: больше дорогого софта надо поставить для защиты и прочих мероприятий предпринять против утечек. Чем выше класс защиты, тем больше гемора и дороже софт.

Применительно к шароваре совет такой. Не стремитесь собирать и хранить все подряд (имя-фамилия, адрес, паспортные данные и т.п.). Для целей email-маркетинга и суппорта вполне достаточно имени (ну в крайнем случае ФИО) и email. В данных, присылаемых регистратором конфиденциальной информации практически нет (шаблон писем зачастую можно настроить). Когда данные больше не нужны, надо их уничтожать. И не надо будет заморачиваться с защитами тогда. :)

Роскомнадзор пока ведет себя спокойно. Проверки мягкие, организации предупреждают заранее. Карманы выворачивать, забирать компы и стены сверлить не будут, а просто спросят: что и где храните :). Могут проконсультировать и помочь если есть необходимость. Это касаемо организаций, а ИПшников, наверное, вообще не проверяют.

P.S. Вышесказанное не претендует на истину в последней инстанции. Если ситуация требует, изучайте вопрос более детально и конкретно. В других регионах роскомнадзор может вести себя по-другому. :)