Роскомнадзор выложил на общественное обсуждение проект приказа, который уточняет требования к обезличиванию персональных данных (ПД) и методы их обезличивания. Документ разработан в связи с изменениями действующего законодательства о персональных данных, внесёнными законом от 8 августа 2024 года №233-ФЗ (о создании федеральной и региональной ГИС обезличенных ПД).
Положения проекта приказа распространяются на операторов, занимающихся обезличиванием персданных, отмечает надзорное ведомство. В документе изложены требования к обезличиванию, а также методы обезличивания.
В Требованиях сказано, что оператор обязан соблюдать требования законодательства и применять методы обезличивания в соответствии с ч. 12 ст. 23 федерального закона №152-ФЗ. Перед началом обезличивания необходимо определить состав данных и субъектов, к которым они относятся.
Оператор обязан оценить достаточность методов обезличивания с учетом категорий данных и правовых оснований их обработки; исключить возможность идентификации личности без дополнительной информации; использовать защищенные информационные системы и ПО, обеспечивающие конфиденциальность данных; не допускать совместного хранения исходных и обезличенных данных; вести учет всех операций по обезличиванию.
Кроме этого в обязанности оператора входит:
1) разработка внутренних документов, регламентирующих порядок обезличивания и оценку методов;
2) ограничение доступа третьих лиц к внутренним документам, методам и технологиям обезличивания.
Методы обезличивания персональных данных направлены на исключение возможности идентификации субъектов. Основные подходы включают введение идентификаторов, изменение состава или семантики данных, перемешивание данных и преобразование массивов данных. В документе представлено подробное объяснение, что собой представляют эти подходы.
Применение всех методов требует разработки внутренних регламентов, определяющих правила обработки данных. Документы, содержащие алгоритмы обезличивания, должны храниться отдельно от обработанных данных и не передаваться третьим лицам. Это, по мысли надзорного ведомства, обеспечивает дополнительную защиту персональной информации и снижает риски нарушения конфиденциальности.
Приказ должен вступить в силу с 1 сентября 2025 года, а публичное обсуждение проекта продлится до 16 апреля.
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.