О персональных данных

14 Май
2012

Пост навеян наблюдениями/ практикой написания ТЗ и проверки ТЗ разработчиков.

Ключевые идеи 2:

1) с персональными данными нужно определяться еще на стадии ТЗ (отправить «лесом» на стадию технического проектирования некорректно, т.к. даже 1 поле может перевести систему в другой класс);
2) продумайте, как удалять из ИС персональные данные (по законодательству персональные данные, далее ПДн, можно использовать только для целей, для которых они были собраны и сразу же их удалять).

Теперь подробнее.

Пункт 1.
При написании ТЗ есть желание, часто справедливое, написать фразу «требования уточняются на стадии технического проектирования». Но с ПДн лучше четко определиться с самого начала — от этого зависит и средства защиты, и объем документации, которую необходимо будет сдавать.

На практике лучше:
1) собрать список того, что хочет Заказчик по ПДн
2) урезать список максимально, до «просто ФИО» (и даже его перевести в табельный номер, сведя систему к К4).

На практике сначала Заказчик «хочет все по ПДн», а потом оказывается, что 80% из всего этого не нужно.
Так же можно применить гибкий подход и часть данных из ПДн перевести в «не ПДн», например «адрес заявителя» перевести в «адрес объекта по заявке» (адрес объекта, в отношении которого формируется заявка — и это уже не ПДн, т.к. адрес прописки/проживания человека могут не совпадать с адресом объекта).
Можно придумывать способы агрегирования, которые тоже снижают уровень ПДн, например вместо графы «места прописки/адрес фактического проживания» (точного адреса) указывать только субъект РФ.

Пункт 2.
С давних времен, точне с времен до июля 2011 года, осталась привычка «собирать и накапливать информацию» в ИС. Однако есть требование, что:

1) ПДн могут быть обработаны только и только для целей, для которых они были собраны. Хотите использовать их еще раз? Берите письменное согласие еще раз. Да, даже если это ваши клиенты, о которых уже есть информация в одной из частей ИС.

2) Необходимо удалять ПДн после того, как они были обработаны/выполнения цели, для которой они были собраны (лучше продумать заранее алгоритмы для автоматического/полуавтоматического удаления). Вроде бы мелочь, но на этом легко «ловить».

Удачи!
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх