Начнем с утверждений:
"персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)."СНИЛС - страховой номер индивидуального лицевого счета.
Статья 3. ФЗ от 27.07.2006 г. № 152-ФЗ "О персональных данных"
"На территории Российской Федерации на каждое застрахованное лицо Пенсионный фонд Российской Федерации открывает индивидуальный лицевой счет с постоянным страховым номером ..."Исходя из этих утверждений, СНИЛС является персональными данными и подлежит защите.
Статья 6. ФЗ от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования"
В том же 27-ФЗ предъявляются требования к Пенсионному фонду и страхователям обеспечить защиту сведений, входящих в индивидуальный лицевой счет застрахованного лица в соответствии с законодательством о ПДн (Статьи 6 и 17).
Несмотря на вышеописанное, аккредитованные удостоверяющие центры требуют указывать СНИЛС заявителя при подготовке квалифицированной электронной подписи. Причем, СНИЛС используется не только для нужд удостоверяющего центра, он является частью открытого ключа, а значит, доступен широкому кругу лиц.
Пример:
Удостоверяющий центр Информационного аналитического центра Санкт-Петербурга (http://ca.iac.spb.ru).- Заходим в раздел Реестр сертификатов пользователей.
- Скачиваем сертификат интересующего нас пользователя.
Стоит отметить что наличие капчи не позволяет автоматизированно выгрузить все сертификаты, но и считать это ограничением доступа к ПДн нельзя. - 3. В сертификате во вкладке Состав находим поле Субъект:
- Вот они, ПДн.
Не берусь судить о возможности нанесения практического ущерба субъекту ПДн из за разглашения его СНИЛС, но факт нарушения 152-ФЗ удостоверяющими центрами на лицо.
А почему так? - а по законодательству.
"Квалифицированный сертификат должен содержать следующую информацию:Те же требования продублированы в нормативных документах ФСБ, регламентирующих деятельность, в том числе, удостоверяющих центров:
...
страховой номер индивидуального лицевого счета владельца квалифицированного сертификата - для физического лица либо идентификационный номер налогоплательщика владельца квалифицированного сертификата - для юридического лица;"
Статья 17 ФЗ от 06.04.2011 № 63-ФЗ "Об электронной подписи"
"6. В соответствии со статьями 14 и 17 Федерального закона квалифицированныйВот и получается, что законодательство делает общедоступными ПДн СНИЛС всех граждан, кто хоть раз получал квалифицированную электронную подпись.
сертификат должен содержать следующую информацию:
...
- страховой номер индивидуального лицевого счета (далее - СНИЛС) владельца квалифицированного сертификата - для физического лица;"
Приказ ФСБ от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"
В качестве завершения статьи вопрос, риторический
- если удостоверяющие центры вполне легально публикуют ПДн субъектов ПДн (в частности СНИЛС), надо ли другим операторам ПДн у себя продолжать обеспечивать защиту этих ПДн?
Обычно они берут согласие на обработку персональных данных - значит считают, что данные=ПДн. Значит, данные должны защищать по всем критериям.
ОтветитьУдалитьА по поводу защиты конфиденциальности - в Согласии я не видел "РЖД-ешного" приема: предложения ПРИЗНАТЬ пользователю, что его ПДн являются общедоступны)).