Персональные данные в звуковой форме - Форум по вопросам информационной безопасности

Добрый день. Ситуация такова. Имеется личный прием посетителей в гос. учреждении. В местах приема (рабочие места сотрудников в зале) установлены микрофоны для разрешения различных спорных ситуаций.

То есть, имеется сотрудник, принимающий персональные данные в бумажной форме (иногда в устной от заявителя), имеется микрофон который фиксирует звук. Звук хранится на компьютере локально и через некоторое время отправляется на сервер и хранится там. В этих записях соответственно могут быть персональные данные которые заявитель озвучивает. Зал является открытым, имеются таблички о ведении аудиозаписи.

Суть вопроса. Есть желание у руководства аттестовать эту систему обработки и хранения голосовых записей. Система разумеется не ГИС, но будет ли она являться ИСПДн? Аттестация добровольная. Будут ли данные, записанные с микрофона являться персональными данными? Если да, нужно ли прописывать их обработку в согласие на обработку которое уже имеется. И вообще интересует правовая сторона вопроса.

Например, видеозапись не является обработкой пдн, если не используется для идентификации. Аудиозапись тоже не используется для идентификации, но там же присутствуют Пдн, соответсвенно их нужно защищать по закону. С другой стороны, зал можно считать общественным местом, тем более висят таблички, и заявитель своей волей проговаривает их вслух. Но, если например, кто то на улице крикнет в веб камеру свои ПДн, это же не обязывает владельцев вебкамеры защищать эти ПДн, которые также могут хранится у них на серверах?

Немного сумбурно, но надеюсь суть ясна. Если что дополню в комментариях

Интересный вопрос, на который, сразу пишу, ответа я не знаю.

Когда храните аудиофайл в системе, то каким-то образом идентифицируете эту запись? Например, именуете файл 27122022_обращение_ИвановИИ.wav или как-то подобно?

Имеется микрофон, привязанный к рабочему месту. Записи сначала формируются локально на компьютере по 10 минут, потом отправляются на специальный сервер, где уже они все вместе хранятся "списком", соответствующему микрофону (рабочему месту). На компьютере именуются как-то технически, без привязки к ФИО и тд

to Андрей
Цель всей этой схемы какая?
Если подтвердить, что сотрудник-оператор (уже идентифицированное лицо) себя некорректно повел - это одно. И с высокой вероятностью, это вообще нельзя отнести к автоматизированной обработке ПДн. Читай, де юре ИСПДн не будет и все заморочки излишне. Но лучше все-таки обратиться в РКН для подтверждения...
Если подтвердить, что человек с таким-то голосом, назвавший себя Ивановым И.И. с учетом иных подписанных им документов тоже себя некорректно повел - это другое. И тут нужно топать в РКН и узнавать их мнение. imho, при такой конкретной цели - это тоже не автоматизированная обработка ПДн...
Если цель в дальнейшем использовать отпечаток голоса для сличения, передачи в другие ИС, доказательной базы в суде и т.д. - это третье. И тут автоматизированная обработка ПДн со всеми вытекающими (во всяком случае, будет крайне сложно переубедить в этом РКН)...
И да, про общественные места в качестве исключений (для вашего случая) в законе нигде не сказано...

ЗЫ Вообще, я б такой "сервер" защищал как самое ценное в организации вне зависимости от результата общения с РКН. С учетом внедрения ЕБС и наличия различных негодяев с нейросетями, база аудиоданных от различных лиц + их явные ПДн вслух = воооот такое плечо векторов атаки на будущее...

oko:

Цель добровольная аттестация системы как ИСПДн. Инициирована руководством. Я сомневаюсь в смысле всего этого и хочу разобраться в вопросе, действительно ли это ИСДПн, и стоит ли вообще ее аттестировать, если нет - с правовой базой к руководству. Если да - аттестировать собственно.

Эти данные просто хранятся и используются для разрешения конфликтных ситуаций (произошла ситуация - слушаем аудио, разбираемся с сотрудником. Слушая, мы уже знаем посетителя, так как знаем время приема - время конфликта. Если что то серьезнее - с аудио в суд, например), также это все способствует повышению качества обслуживания, работники, зная что их записывают, лучше работают, как ни странно.

СМ:

В звуковых файлах может как содержаться персональная информация, так и нет. Зависит от случая. Кто то может называть свои данные вслух, кто то нет. И запись с одного микрофона разделена на промежутки времени, соответственно в какой то могут быть пдн, в какой то - нет. И все они хранятся в одном месте. То, что возможность их присутствия в аудио есть - это факт, то, что они там есть - почти факт.

"Т.о. главное сначала выяснить чего персонального содержится в аудиозаписи, а с учетом этого потом определять меры по их защите."

Там может быть любая персональная информация, которую мы запрашиваем и человек вдруг решил назвать ее голосом, вместо например дачи паспорта в руки сотруднику.

" При таком подходе рассмотрения вопроса видится необходимым включение аудиозаписей в согласие, которое Вы берёте у человека перед обработкой персональных данных."

Из ФЗ-152 "Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. ".

Разве нельзя считать человека согласным на обработку, при установленной табличке, предупреждающую о ведении записи?

Для Андрея:

> В звуковых файлах может как содержаться персональная информация, так и нет...
Задача защищать то, что есть. А не то, чего нет. Поэтому случаи когда нет - можно не рассматривать.

> Там может быть любая персональная информация, которую мы запрашиваем...
Деятельность гос учреждения ограничена его уставом. Если отсутствует понимание по видам и объему персональных данных, необходимых для предоставления гражданами при личном приёме, то здесь лучше формализовать перечень, опираясь на отраслевую нормативку. Федеральный закон от 27.07.2006 № 152-ФЗ общий и не учитывает специфику деятельности отдельно взятого госучреждения по обработке персональных данных.

>Разве нельзя считать человека согласным на обработку, при установленной табличке, предупреждающую о ведении записи?
Вряд ли человек давал согласие на установку таблички. Это индивидуальное согласие человека и установка информирующих общественность табличек не связаны между собой.

Для Андрея:

По итогу, я понял, что вы хотите обрабатывать данные полученные в звуковом виде.

1. Для этого уведомьте субъекта о том, что вы получаете ПДн в том числе из аудио-данных.
2. Обязанность доказывать, что у вас есть согласие от субъекта, лежит на вас, поэтому либо включите это на бумаге, но лучше спросите его устно - Понятно ли ему, что если он не хочет обрабатывать информацию таким образом, то не должен ее озвучивать...
3. У вас есть ИС, данные из которой обрабатываются вручную или не вручную...
4. Проводите классификацию этой ИС - и либо определяете ей необходимый уровень защищенности ПДн, либо делаете вывод, что это не ИСПДн....
5. Дальнейшее зависит от результатов, полученных на п.4...

nekto:

1. Таблички в видном месте недостаточно? Как ответил CM, нужно индивидуальное согласие субъекта. Если каждого субъекта уведомлять, шанс возникновения ситуаций, в который субъекты будут задавать лишние вопросы, возрастет. А это приведет к ухудшению времени оказания услуг и к общему диссонансу, на мой взгляд. Кого то это дополнительное озвучивание напряжет, он начнет отказываться, придется лишнее время тратить на объяснение (что в целом нужно конечно, но очеень не эффективно), а отключать конкретные микрофоны для конкретных граждан мы не можем, они должны постоянно работать. За день через одного оператора проходят десятки субъектов, а операторов много. Есть ли другие варианты? Мы берем согласия на обработку, которые уже интегрированы в услуги, которые мы оказываем, и на форму согласия мы повлиять не можем. Там конечно нет ни слова про аудио, там просто общее согласие парой предложений. Тогда лучше сделать отдельное бумажное согласие для аудио данных?

2. Опять же, субъект уведомлен о ведении аудиозаписи. Соответственно, озвучивая их, он понимает, что они будут записаны (обработаны). Но есть например, плохо видящие люди, и так далее. Как с этим быть, что бы это не затрагивало качество и время услуг, непонятно.

3. У нас есть другая ИСДПн, основная. Там обрабатываются все ПДн, со всех услуг, которые мы оказываем. Она аттестирована. При этом в нее входят те же компьютеры, к которым подсоединены микрофоны. И при этом оценку соответствия в форме аттестации нужно отдельно проводить для ИСПДн с микрофонами.

4. Мы уже определили (точнее руководство, которое поставило цель аттестации), что это ИСПДн.

to Андрей
Про таблички в законе и подзаконных актах ничего не сказано. Сумеете с РКН согласовать такую форму уведомления/согласия - оставляйте. Не сумеете, будете жить в состоянии большинства контор с галочкой "я согласен на обработку всего, потому что мне плевать"...
И раз руководство определило это все как ИСПДн-с-явной-аттестацией, то о чем тогда разговор? Вначале в РКН за консультацией корректности, подачей целей и задач, форм и положений. Затем на поиск согласных лицензиатов. Затем,вероятно,в ФСБ, потому что такой шмат данных просто необходимо держать в шифрованном виде. Во избежание, ага...