Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как обезличить персональные данные физических лиц». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.
Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
Понятие и виды персональных данных
Законопроект закрепляет за операторами право осуществлять обработку персональных данных, полученных ими на законных основаниях, в целях получения обезличенных данных.
Требования и методы обезличивания персональных данных установит Роскомнадзор. Обработка обезличенных персональных данных должна проходить согласно российскому законодательству в области персональных данных.
Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.
Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц.
Рассмотренные нами требования и методы по обезличиванию персональных данных содержатся в приказе Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных». Для практической реализации этого приказа разработаны Методические рекомендации по применению методов по обезличиванию персональных данных, утвержденные Роскомнадзором 13.12.2013.
Однако при любом способе деперсонализации данных интернет-магазин сохранит возможность оперировать необходимыми материалами, например, использовать информацию для собственных статистических исследований по популярности ресурса в отдельном населенном пункте или востребованности определенного товара.
Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.
Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
Ст. 44.1. Закона «О связи» 07.07.2003 N 126-ФЗ с изменениями, вступившими в силу 21.10.2014г., также закрепляет, что если по номеру телефона можно как-либо идентифицировать абонента, то необходимо согласие абонента, например на рассылку рекламной информации.
В России со второй попытки отрегулируют обезличенные данные
Если при обработке обезличенных персональных данных оператором эти данные принимают вид, позволяющий определить их принадлежность к конкретному субъекту, то проводить такую и дальнейшую обработку этих данных можно только с согласия субъекта, кроме некоторых случаев, предусмотренных законодательством.
Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.
Обратите внимание, что при нарушении «конфиденциальности» итоговых таблиц с обезличенными ПДн, вреда для конечного субъекта ПДн не будет лишь в случае использования второго метода (изменения состава или семантики). Во всех остальных (особенно первого и третьего метода) ущерб для конечного пользователя может быть очень велик.
Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе.
Закон о персональных данных — это не страшно
Но ст. 3 Закона также вводит понятие обезличивания персональных данных, которое включает в себя действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?
Можем ли мы считать этот параметр «ответственным» за обеспечение конфиденциальности обезличенных ПДн? Скорее да… При этом все представленные методы обезличивания обладают «стойкостью» (с некоторыми мелкими допущениями).
В сентябре Роскомнадзор дал разъяснения по закону о персональных данных в форме вопросов и ответов. Публикуем их.
Можем ли мы считать этот параметр «ответственным» за обеспечение конфиденциальности обезличенных ПДн? Скорее да… При этом все представленные методы обезличивания обладают «стойкостью» (с некоторыми мелкими допущениями).
Определение всегда остается теоретической выкладкой, каким бы понятным оно не казалось. Наиболее наглядно сущность обезличивания его может проиллюстрировать пример. Обезличивание персональных данных – это действия, в результате которых из судебного решения, к примеру, изымаются непременно содержащиеся в нем персональные данные.
ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ
Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку.
Если согласие дается в электронной форме, пользователь, вместо указания наименования и адреса лица, осуществляющего обработку персональных данных по поручению оператора, может просто дать ссылку на сайт оператора, где указаны эти сведения. Оператор должен предупредить пользователя, если в этих сведениях что-то изменилось.
За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.
В статье 7 Федерального закона РФ от 27 июля 2006 года «О персональных данных» сообщается, что под обезличиванием ведомостей понимается действие, которое делает невозможным определение принадлежности информации к конкретному лицу. При этом, речь идет только об идентификации физического или юридического лица на основе сообщений, которые подвергаются обезличиванию.
Переведя данные в разряд обезличенных, оператор может сократить собственные расходы на хранение информации, ведь с этого момента они больше не позволяют определить их владельца.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.
Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Для реализации метода требуется выделить атрибуты ПДн, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.
Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
Начнем со второго случая, как наиболее очевидного. Использование любого вида искажения, основанного на секрете алгоритма (перестановка букв, их замена, добавление помех и т.п.) полезно лишь для кратковременной обработки (передача информации), но не для постоянного хранения. Алгоритм часто известен третьим лицам (реализуется сторонним производителем ПО), что повышает вероятность компрометации.
При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
Что-то в последнее время стало модно подменять понятие «защищенные ПДн» термином «обезличенные ПДн». Типа если ПДн обезличены, то и защищать их не надо (ну, или не надо защищать их «конфиденциальность»). А точнее, что если ПДн обезличены, то можно не выполнять многие требования ФСТЭК России по безопасности ПДн, а значит существенно снизить нагрузку (в том числе и денежную) на операторов ПДн.
Персональные данные – 2018: как избежать штрафов
Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.
А что значит можно и нельзя идентифицировать? К сожалению, здесь без количественной оценки вероятности никак не обойтись, а это вопрос строго нормативный, и к сожалению никак не решен. Поэтому для понимания мы примем, что если данному набору ПД соответствует малое количество лиц, которые легко локализуются для дальнейшего уточнения, то это значит — можно идентифицировать.
Пользователи не «выкладывают свои данные в открытых источниках», а соглашаются с пользовательскими соглашениями этих открытых источников (сайтов), оставляя данные. А зачем нужно обезличивать ПД? Чтобы сэкономить деньги на их защите – ведь согласно классификации (Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г., № 55/86/20) обезличенные ПД – это 4-й класс защищенности, не требующий защиты конфиденциальности.
Посмотрим, что нам даст для обезличивания метод перекрестных ссылок. Для этого разделим ПД радикально – в одну базу выделим все идентифицирующие реквизиты (ФИО, дату и место рождения, адрес и телефон, паспорт и т.п.) – пусть это будет справочник физических лиц (по классификации – 3-й класс), в другой базе будет все остальное (обезличенные ПД — 4-й класс).
В России будут законодательно закреплены понятия «обезличенные персональные данные» и «обезличенные данные», а также будет скорректирован порядок обработки персональных данных. Соответствующий законопроект Минкомсвязи опубликован на федеральном портале проектов нормативных правовых актов. Законопроект вносит необходимые изменения в федеральный закон «О персональных данных», принятый в 2006 г.
Устраняется одна из основных характерных черт личных материалов – возможность идентификации лица, а вместе с ней – и надобность сохранять наивысший уровень конфиденциальности.
Кто по закону 152-ФЗ считается оператором персональных данных?
Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.
Важно понимать, что существуют специальные требования и способы обезличивания данных, которые обрабатываются в информационных системах. Они перечислены в приказе Роскомнадзора от 05.09.2013 № 996.
Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.