12 Марта, 2014

Об обязательности обезличивания

Алексей Лукацкий
Есть такое Постановление Правительства №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", определяющее, как видно из названия, перечень мер, которые должны реализовать госы и муниципалы в области обработки персональных данных.

И есть среди прочего в этом перечне такая мера - "согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ". Долгое время я был уверен, что данное требование является рекомендацией, как это вытекает из самого закона, в котором обезличивание - это один из возможных способов снижения обременений на оператора ПДн. Его можно использовать, а можно и обойтись. В первом случае обезличенные данные выпадают из под действия закона "О персональных данных" и их можно даже не защищать так как этого требуют ФСТЭК и ФСБ.

Примерно также я рассуждал и в отношении ПП-211, в котором говорится, что государственный или муниципальный оператор ПДн может использовать обезличивание и в этом случае он должен руководствоваться руководящими документами Роскомнадзора. Но относительно недавно ко мне обратились с вопросом - якобы обезличивание является обязательным для госов и муниципалов и отказаться от него нельзя. "Ну нет", - подумал я, - "Быть такого не может". И обратился в РКН за разъяснением.

И вот на днях я такое разъяснение в устной форме получил. Обезличивание действительно является обязательным - отказаться от его невыполнения нельзя! Вот так! Делайте выводы! При проверках эту тему будут спрашивать!

ЗЫ. У прокуратуры такое же мнение - обезличивание для госов и муниципалов обязательно!
или введите имя

CAPTCHA
13 Марта, 2014
В свое время сталкивались с подобным подходом со стороны регонального РУН (по другому вопросу). По результатам совместных консультаций было выработоно адекватное отношение всех сторон. В данном случае ситуация видится несколько в ином ключе. Согласно пречня мер, утвержденного ПП- 211,: "1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами: ...... б) утверждают актом руководителя государственного или муниципального органа следующие документы: .... правила работы с обезличенными данными; ...." Т.е. гос.орган обязан разработать и утвердить документ, определяющий правила работы с обезличенными данными, и это с него действительно спросить можно. Но обязанность обезличивать данные в НПА не установлена.
0 |
  • Поделиться
  • Ссылка
Алексей Лукацкий
13 Марта, 2014
На последние два комментария: в ПП-211 нет слова "может". Я тоже так думал РКН, как регулятор в этом вопросе, считает, что обезличивание ОБЯЗАТЕЛЬНО. Что бы мы ни думали...
0 |
  • Поделиться
  • Ссылка
Игорь А. Михеев
14 Марта, 2014
Алексей, есть НПА и есть юридическая практика их чтения и использования. В ПП-211 прописана обязанность утвердить документ. И всё! Неформальное мнение представителей РКН - это всего лишь мнение, а не постулат. Нужно привлекать юристов и изучать юридические техники - это необходимая и полезная практика, которая позволяет говорить с регуляторами на "одном языке" и приходить к адекватным решениям.
0 |
  • Поделиться
  • Ссылка
Игорь А. Михеев
14 Марта, 2014
Этот комментарий был удален автором.
0 |
  • Поделиться
  • Ссылка
Nikola
14 Марта, 2014
Игорь, и все остальные, в 221 не только речь о документе. Вы не видите пункт З? Вот он: з) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ. Где здесь фраза может обезличивать? Тут по моему все ясно-оператор осуществляет обезличивание. Что тут не понятного и как еще можно это тактовать?
0 |
  • Поделиться
  • Ссылка
Алексей Лукацкий
14 Марта, 2014
Именно так. Гос или МУП обязаны осуществлять обезличивание. Так это трактует РКН и прокуратура. Поэтому заметка и родилась. Чтобы каждый сам взвешивал свои риски
0 |
  • Поделиться
  • Ссылка
Игорь А. Михеев
17 Марта, 2014
Этот комментарий был удален автором.
0 |
  • Поделиться
  • Ссылка
Игорь А. Михеев
17 Марта, 2014
Этот комментарий был удален автором.
0 |
  • Поделиться
  • Ссылка
Игорь А. Михеев
17 Марта, 2014
Действиетльно, пунк з) звучит довольно "агрессивно", поэтому я связался с региональным представительством РКН и получил следующую неофициальную информацию: 1. Единых разъяснений по линии РКН об обязательном обезличивании нет. 2. Пунк з) относится к Операторам, которые используют обезличивание, и регламентирует использование методики, разработанной РКН. Т.е. никаких иных методик обезличивания применять нельзя. 3. Сам пункт з) был включен в ПП-211 как "поручение" РКН на разработку методики обезличивания. В итоге ситуация проста - раз есть несколько неофициальных мнений, то либо оператор пишет официальное письмо с просьбой разъяснить, либо выбирает одну из позиций и ждет проверки.
0 |
  • Поделиться
  • Ссылка
Михаил Новокрещенов
17 Марта, 2014
Ну и предлагаю не забывать ещё 1 чисто русский способ - на каждую хитрую гайку, найдется хитрый болт. Регламент применения методик обезличивания жестко не определен (только на уровне Методических рекомендаций РКН), нет никаких указаний в какой момент в технологическом процессе обработки информации её следует реализовывать (опять же только на уровне Методических рекомендаций РКН, но не Приказа). А значит есть возможность реализовать неадекватное требование формально. Как они к нам, так и мы к ним.
0 |
  • Поделиться
  • Ссылка