Ms
Единственное что нужно сделать — это создать разрываемую связь между юзером и персоной
Size: a a a
2020 March 22
Ms
Юзер — обезличенная структура данных
Ms
Персона — то что подпадает под PII
PD
ПДН - то, что позволяет однозначно идентифицировать физическое лицо или параметры, связанные со свойствами физлица (типа национальность или фоография).
IB
ФЗ определяет иначе.
PD
Igor Bespalchuk
ФЗ определяет иначе.
Э, в чем разница?
Ms
В момент отзыва консента — обнуляем person_id и репорты все еще свежи и актуальны
PD
Я бы вообще советовал для хранения ПДН выделять отдельные сервисы с собственым хранилищем (так как в разных юрисдикциях разные требования к хранению ПДН) и навигировать по ним по информации в user
IB
По ФЗ (и, кажется, по европейскому - тоже), ПДн - любая информация, прямо или косвенно относящаяся к конкретному физлицу.
PD
Только если можно определить это конкретное физлицо. Если конкретного физлица нет, то и ПДН нет.
IB
Это ваши личные добавки в формулировки ФЗ :)
PD
Т.е. если у тебя вообще нет ФИО+телефона или года рождения - то по 152ФЗ можно хранить дофига всего разного и это не будет ПДН.
PD
Неа, это согласованная с юристами банка понимание, прошедшее несколько проверок ЦБ.
DK
Igor Bespalchuk
Это ваши личные добавки в формулировки ФЗ :)
ФЗ в этом смысле сформулирован ну очень расплывчато.
PD
Причем недоброжелательных проверок.
IB
Если посмотреть на недавно появившиеся уточнения про методики обезличивания ПДн, то становится окончательно ясно, что с т.з. законодателя обезличенные ПДн остаются, тем не менее, ПДн.
PD
А можно ссылки на эти уточнения? Может за последний год там и поменялось, я за этот год аудит не проходил.
DK
Плюсую, тоже хочу посмотреть
IB
Как я уже говорил - это все - вопрос оценки рисков и вашей юридической и регуляторной защищенности. Если смелые - трактуете закон мягче, если трусливые - трактуете строже. Аттестаторы будут разные трактовать чуть-чуть по-разному (мы это видели), проверяющие - тоже, в зависимости от пристрастности.
PD
Но ip адрес сессии точно не ПДН. Вот если вы по сессии связали это с конкретным физлицом, то уже да.