четверг, 27 февраля 2014 г.

ПДн: вопросы обезличивания


Не смотря на издание Роскомнадзором Приказа №996 по обезличиванию ПДн и даже Методических рекомендаций по его применению, ряд вопросов, связанных с обезличкой, все же остается.
                         
Первый вопрос самый простой: являются ли обезличенные ПДн по-прежнему персональными данными или превращаются в какую-то иную информацию?. Сам Приказ 996 на этот вопрос прямо не отвечает, однако, Методрекомендации вводят понятие «обезличенных данных», из которого ясно видно, что ПДн, будучи обезличенными, перестают быть персональными данными. Проще говоря, после обезличивания они «исчезают» (во всяком случае, исчезают из ИСПДн, а с практической точки зрения это главное).

Второй вопрос: Зачем обезличивать? Надо ли и стоит ли овчинка выделки? Учитывая ответ на первый вопрос, стОит, поскольку если в ИСПДн нет персональных данных, то и самой ИСПДн тоже нет. Со всем вытекающими: ни определять угрозы, ни защищать в ней что-либо не надо. Дешево и сердито. Об этом, кстати, говорилось еще в ноябре 2013г на IV конференции «Защита персональных данных»: «По прогнозным оценкам, использование механизмов обезличивания поможет сократить объем обрабатываемой персональной информации и снизит риск возможного неправомерного доступа к персональным данным со стороны должностных лиц государственных и муниципальных органов».

Третий вопрос сложнее: с какого момента ИСПДн, в которой осуществляется обезличивание ПДн, перестает нуждаться в защите? Ведь если изначально персональные данные в системе были, то меры по их защите должны быть приняты. И только после обезличивания от них можно отказаться. Практически это означает следующее: если в ИСПДн вводятся персональные данные, а их обезличивание производится уже в процессе обработки, то большого смысла в обезличивании нет: защищать ИСПДн все равно придется. Поэтому обезличка имеет смысл только в тех случаях, когда предполагается работать ТОЛЬКО с обезличенными данными. Следовательно, обезличка нужна в основном для хранения ПДн сверх установленных законом сроков (скажем, на съемном носителе или даже в «облаке»), либо для ведения статистики. Для «повседневной» работы она нецелесообразна.

И, наконец, четвертый вопрос: какой оператор может (вправе) проводить обезличивание? Традиционная размытость формулировок в нормативке несколько путает картину. В законе «О персональных данных» по этому поводу ничего не сказано. Необходимость определения методов обезличивания определена Постановлением №211, которое среди мер по обработке ПДн в государственных и муниципальных органах определило и необходимость обезличивания ПДн. Роскомнадзор, выполняя Постановление 211, издал Приказ 996, формально касающийся только гос. и муниц. органов. Однако в самом приказе предусмотрена возможность его применения любым оператором: как «гос», так и «не гос». А вот в «Методических рекомендациях …» к приказу почему-то написали, что они разработаны «с целью оказания помощи операторам, … являющимся государственными и муниципальными органами». Оно и понятно: станет вам РКН оказывать помощь кому попало. Однако, юридически Приказ выше рекомендаций, поэтому вряд ли кого-то станут наказывать за то, что он, не будучи государственным органом, осмелился обезличить ПДн, воспользовавшись Методическими рекомендациями.

Есть еще один вопрос: как передавать обезличенные ПДн по открытому каналу связи? Но о нем в следующий раз.

Комментариев нет:

Отправить комментарий