26.05.2014

О внесении изменений в ПП-211 относительно вопросов обезличивания ПДн

Выпущенное чуть больше двух лет назад 211-е Постановление Правительства, установившее набор обязательных действий и документов, которые должны были сделать государственные и муниципальные организации для реализации закона о персональных данных содержало и такую меру, как обезличивание ПДн, которое могло помочь сильно снизить обременения на операторов ПДн, ведь обезличенные данные выпадают из под действия ФЗ-152 и подзаконных актов.

Однако формулировка ПП-211 была таковой, что обезличивание из меры, снижающей обременения, стала, наоборот, усиливать их, т.к. эта норма читалась как обязательная. Т.е. хотело государственное или муниципальное предприятие или не хотело, но обезличивать ПДн оно было обязано. Даже если ничего обезличивать и вовсе не надо было. Получалась парадоксальная вещь - вместо облегчения жизни госорганам и муниципалам ПП-211 жизнь им сильно осложнило. Для устранения этой проблемы Минкомсвязь разработало проект нового Постановления Правительства, вносящего изменения в ПП-211.

Как написано в пояснительной записке к этому проекту "осуществление процедуры обезличивания персональных данных может рассматриваться как один из методов обеспечения безопасности персональных данных при их обработке. В связи с чем, при рассмотрении вопроса о необходимости применения процедуры обезличивания персональных данных следует принимать во внимание весь комплекс мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ о персональных данных, в том числе, нормы статьи 19 ФЗ о персональных данных, устанавливающей требования по обеспечению безопасности персональных данных при их обработке, и нормативных правовых актов Российской Федерации, утвержденных в целях реализации указанной статьи.

Следует также иметь ввиду, что применение государственными и муниципальными органами обязательной процедуры обезличивания влечёт значительные финансовые, организационные, временные затраты, особенно при реализации такой процедуры в информационных системах персональных данных, созданных до вступления в силу постановления № 211. 

В связи с изложенным, учитывая выполнение оператором персональных данных, являющимся государственным или муниципальным органом, требований по обеспечению безопасности персональных данных, применение процедуры обезличивания персональных данных в информационных системах целесообразно применять в отдельных случаях, а именно:

  • установленных нормативными правовыми актами Российской Федерации (например, размещение органами государственной власти и местного самоуправления в открытом доступе документов, содержащих персональные данные, при условии невозможности определить принадлежность персональных данных, указанных в документах, конкретному субъекту персональных данных );
  • сложившихся в ходе практического применения норм ФЗ о персональных данных и постановления № 211 – перечень таких случаев необходимо установить на уровне акта уполномоченного органа по защите прав субъектов персональных данных.
Кроме того, нельзя прямо исключать возможность добровольного применения органами государственной власти и органами местного самоуправления процедур обезличивания персональных данных."

Так что ждем принятия этого полезного изменения.

4 коммент.:

Nikola комментирует...

Ура! Наконец этот бред исправят.

Nikola комментирует...

С вашей подачи, Алексей?)

bdfy-cthutq комментирует...

Постановление НЕ РАСПРОСТРАНЯЕТСЯ на организации и предприятия. Оно касается только государственных и муниципальных органов.

Алексей Беседин комментирует...

Наконец-то обязанность заменили на право.