Вчера совместно с Ксенией Лебедевой (Шудровой) провели вебинар в новом для нас мини формате. Если предыдущие межблогерские вебинары стремились по времени к 3 часам, то этот удалось уместить в 1 час.
Сделали обзор законодательства и судебной практики РФ по обезличиванию ПДн. В большинстве случаев обезличивание ПДн остается добровольным мероприятием оператора ПДн. Но постепенно появляется все больше случаев, когда обезличивание является обязанностью:
152-ФЗ
• Альтернатива удалению при достижении целей обработки ПДн
• При обработке в статистических или иных исследовательских целях
• В целях повышения эффективности гос. и муниципального управления
• В целях эксперимента по ИИ в Москве
123-ФЗ
• В целях эксперимента по ИИ в Москве
44-ФЗ
• Решения врачебной комиссии при закупке лекарственных препаратов
192-ФЗ
• Обезличивание фискальных данных
78-ФЗ
• Обезличивание результатов жалоб Уполномоченному при опубликовании их в сети Интернет
168-ФЗ
• Обезличивание ПДн в федеральном регистре сведений о населении
Приказ Минпромторга России от 27.06.2019 N 2296
• Обезличивание при обработке в ГИС Честный Знак
Приказ Минздрава России от 14.06.2018 N 341н
• Обезличивание при обработке в ЕГИСЗ
ГОСТ 57580.1
• Запрет обработки защищаемой информации в сегментах разработки и тестирования
Далее рассмотрели лучшие практики обезличивания (там это называется Pseudonymisation) из Евросоюза:
• Pseudonymisation techniques and best practices от ENISA
• Data Pseudonymisation: Advanced Techniques and Use Cases от ENISA
Основными выводами которых являются:
• Pseudonymizationдолжен заниматься каждый оператор
• Нет одного лучшего способа
• Нужно исходить из оценки рисков и целей
• Для сложных масштабных задач есть продвинутые техники, посредники обезличивания и т.п.
• По проектам национального уровня – собирать рабочие группы, проводить исследования
Предлагаю вам самостоятельно ознакомится с записью вебинара, а если будет интересным то и с самими лучшими практиками https://www.youtube.com/watch?v=tGXqefi1iNI
