Выпущенное чуть больше двух лет назад 211-е Постановление Правительства, установившее набор обязательных действий и документов, которые должны были сделать государственные и муниципальные организации для реализации закона о персональных данных содержало и такую меру, как обезличивание ПДн, которое могло помочь сильно снизить обременения на операторов ПДн, ведь обезличенные данные выпадают из под действия ФЗ-152 и подзаконных актов.
Однако формулировка ПП-211 была таковой, что обезличивание из меры, снижающей обременения, стала, наоборот, усиливать их, т.к. эта норма читалась как обязательная. Т.е. хотело государственное или муниципальное предприятие или не хотело, но обезличивать ПДн оно было обязано. Даже если ничего обезличивать и вовсе не надо было. Получалась парадоксальная вещь - вместо облегчения жизни госорганам и муниципалам ПП-211 жизнь им сильно осложнило. Для устранения этой проблемы Минкомсвязь разработало проект нового Постановления Правительства, вносящего изменения в ПП-211.
Как написано в пояснительной записке к этому проекту "осуществление процедуры обезличивания персональных данных может рассматриваться как один из методов обеспечения безопасности персональных данных при их обработке. В связи с чем, при рассмотрении вопроса о необходимости применения процедуры обезличивания персональных данных следует принимать во внимание весь комплекс мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ о персональных данных, в том числе, нормы статьи 19 ФЗ о персональных данных, устанавливающей требования по обеспечению безопасности персональных данных при их обработке, и нормативных правовых актов Российской Федерации, утвержденных в целях реализации указанной статьи.
Следует также иметь ввиду, что применение государственными и муниципальными органами обязательной процедуры обезличивания влечёт значительные финансовые, организационные, временные затраты, особенно при реализации такой процедуры в информационных системах персональных данных, созданных до вступления в силу постановления № 211.
В связи с изложенным, учитывая выполнение оператором персональных данных, являющимся государственным или муниципальным органом, требований по обеспечению безопасности персональных данных, применение процедуры обезличивания персональных данных в информационных системах целесообразно применять в отдельных случаях, а именно:
Так что ждем принятия этого полезного изменения.
Однако формулировка ПП-211 была таковой, что обезличивание из меры, снижающей обременения, стала, наоборот, усиливать их, т.к. эта норма читалась как обязательная. Т.е. хотело государственное или муниципальное предприятие или не хотело, но обезличивать ПДн оно было обязано. Даже если ничего обезличивать и вовсе не надо было. Получалась парадоксальная вещь - вместо облегчения жизни госорганам и муниципалам ПП-211 жизнь им сильно осложнило. Для устранения этой проблемы Минкомсвязь разработало проект нового Постановления Правительства, вносящего изменения в ПП-211.
Как написано в пояснительной записке к этому проекту "осуществление процедуры обезличивания персональных данных может рассматриваться как один из методов обеспечения безопасности персональных данных при их обработке. В связи с чем, при рассмотрении вопроса о необходимости применения процедуры обезличивания персональных данных следует принимать во внимание весь комплекс мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ о персональных данных, в том числе, нормы статьи 19 ФЗ о персональных данных, устанавливающей требования по обеспечению безопасности персональных данных при их обработке, и нормативных правовых актов Российской Федерации, утвержденных в целях реализации указанной статьи.
Следует также иметь ввиду, что применение государственными и муниципальными органами обязательной процедуры обезличивания влечёт значительные финансовые, организационные, временные затраты, особенно при реализации такой процедуры в информационных системах персональных данных, созданных до вступления в силу постановления № 211.
В связи с изложенным, учитывая выполнение оператором персональных данных, являющимся государственным или муниципальным органом, требований по обеспечению безопасности персональных данных, применение процедуры обезличивания персональных данных в информационных системах целесообразно применять в отдельных случаях, а именно:
- установленных нормативными правовыми актами Российской Федерации (например, размещение органами государственной власти и местного самоуправления в открытом доступе документов, содержащих персональные данные, при условии невозможности определить принадлежность персональных данных, указанных в документах, конкретному субъекту персональных данных );
- сложившихся в ходе практического применения норм ФЗ о персональных данных и постановления № 211 – перечень таких случаев необходимо установить на уровне акта уполномоченного органа по защите прав субъектов персональных данных.
Так что ждем принятия этого полезного изменения.
4 коммент.:
Ура! Наконец этот бред исправят.
С вашей подачи, Алексей?)
Постановление НЕ РАСПРОСТРАНЯЕТСЯ на организации и предприятия. Оно касается только государственных и муниципальных органов.
Наконец-то обязанность заменили на право.
Отправить комментарий