Разработаны требования и методы обезличивания персданных

Роскомнадзор выложил на общественное обсуждение проект приказа, который уточняет требования к обезличиванию персональных данных (ПД) и методы их обезличивания. Документ разработан в связи с изменениями действующего законодательства о персональных данных, внесёнными законом от 8 августа 2024 года №233-ФЗ (о создании федеральной и региональной ГИС обезличенных ПД).

Положения проекта приказа распространяются на операторов, занимающихся обезличиванием персданных, отмечает надзорное ведомство. В документе изложены требования к обезличиванию, а также методы обезличивания.

В Требованиях сказано, что оператор обязан соблюдать требования законодательства и применять методы обезличивания в соответствии с ч. 12 ст. 23 федерального закона №152-ФЗ. Перед началом обезличивания необходимо определить состав данных и субъектов, к которым они относятся.

Оператор обязан оценить достаточность методов обезличивания с учетом категорий данных и правовых оснований их обработки; исключить возможность идентификации личности без дополнительной информации; использовать защищенные информационные системы и ПО, обеспечивающие конфиденциальность данных; не допускать совместного хранения исходных и обезличенных данных; вести учет всех операций по обезличиванию.  

Кроме этого в обязанности оператора входит:

1) разработка внутренних документов, регламентирующих порядок обезличивания и оценку методов;  

2) ограничение доступа третьих лиц к внутренним документам, методам и технологиям обезличивания.

Методы обезличивания персональных данных направлены на исключение возможности идентификации субъектов. Основные подходы включают введение идентификаторов, изменение состава или семантики данных, перемешивание данных и преобразование массивов данных. В документе представлено подробное объяснение, что собой представляют эти подходы.

Применение всех методов требует разработки внутренних регламентов, определяющих правила обработки данных. Документы, содержащие алгоритмы обезличивания, должны храниться отдельно от обработанных данных и не передаваться третьим лицам. Это, по мысли надзорного ведомства, обеспечивает дополнительную защиту персональной информации и снижает риски нарушения конфиденциальности.

Приказ должен вступить в силу с 1 сентября 2025 года, а публичное обсуждение проекта продлится до 16 апреля.