Удаление ПД - Форум по вопросам информационной безопасности

Коллеги, подскажите...
Веб-сайт осуществляет регистрацию событий. В качестве субъекта доступа регистрируется email пользователя.
Если вдруг пользователь попросит удалить из информационной системы свои персональные данные, то обязан ли в данном случае Оператор вычищать из журнала регистрации событий email данного пользователя?
Как в данном случае на попасть под санкции Регулятора?

to Pavel
email сам по себе != ПДн. В рамках журнала регистрации (без других источников, на основании которых можно провести параллель между email и конкретным человеком) - и подавно...
Так что, вычистив ПДн из других баз и "мест", но оставив в журналах регистрации email, вы эту "подсистему регистрации" в ИСПДн не превращаете (да и ранее вряд ли она сама по себе такой была)...

В целом я тоже придерживаюсь мнения, что email не является ПД, т.к. без дополнительной информации не позволяет идентифицировать человека. Однако сегодня наткнулся в Интернете на видео семинара для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года. На вопрос «являются ли такие идентификаторы как СНИЛС, ИНН, электронная почта персональными данными?», начальник Управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров дает следующий ответ:
«СНИЛС, ИНН, электронная почта являются персональными данными, в том числе без дополнительной информации. Роскомнадзор при принятии данного решения исходит из их уникальности подобных идентификаторов, т.к. они присваиваются конкретному физическому лицу и не могут быть отнесены к другому физическому лицу».

При этом в научно-практических комментариях к ФЗ «О персональных данных» под редакцией А.А. Приезжевой (авторы: Гафурова А. Х., Доротенко Е.В., Контемиров Ю.Е), говорится:
"В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений.
Членами рабочей группы также были представлены отдельные примеры, основанные на опыте работы с персональными данными. Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения".

Отсюда возникают следующие вопросы:
1) Где искать правду, если даже надзорный орган в документах пишет одно, а говорит по другому?
2) Каким образом по email (без дополнительной информации), можно однозначно идентифицировать человека?

to Pavel
1) В документах, а не словах. Слова, как говорится, гордая птица, и может куда-то там вылететь, ага...
2) Только в случае его нахождения в другой базе, где явно указано, что такой-то email это "прямо сейчас" такой-то человек...
А вообще, правду надо искать в здравом смысле. И контролирующим органам следует напомнить, что ни email, ни телефон де юре не принадлежит конкретному физ.лицу на постоянной основе (и тут речь даже не о сроках владения и автоматическом удалении). Следовательно, ни в один конкретный момент времени нельзя с однозначно утверждать, что email, вроде как зарегистрированный лично Ивановым И.И. в 19хх году, сейчас принадлежит и, следовательно, идентифицирует именно Иванова И.И. Иначе многих м*ков, использующих свои "мыла" для спама или фишинга можно было бы давно сажать без суда и следствия. Или то же самое, но уже с владельцами взломанных "ящиков", что еще больший идиотизм...
Закону давно пора относить к ПДн исключительно неотчуждаемые идентификаторы. Или во всяком случае ввести вменяемую градацию ПДн, а не то, что в муках родило Правительство в 2012 г...

to oko

Спасибо большое за полезные ответы.