Pages - Menu

Страницы

12.3.14

Об обязательности обезличивания

Есть такое Постановление Правительства №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", определяющее, как видно из названия, перечень мер, которые должны реализовать госы и муниципалы в области обработки персональных данных.

И есть среди прочего в этом перечне такая мера - "согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ". Долгое время я был уверен, что данное требование является рекомендацией, как это вытекает из самого закона, в котором обезличивание - это один из возможных способов снижения обременений на оператора ПДн. Его можно использовать, а можно и обойтись. В первом случае обезличенные данные выпадают из под действия закона "О персональных данных" и их можно даже не защищать так как этого требуют ФСТЭК и ФСБ.

Примерно также я рассуждал и в отношении ПП-211, в котором говорится, что государственный или муниципальный оператор ПДн может использовать обезличивание и в этом случае он должен руководствоваться руководящими документами Роскомнадзора. Но относительно недавно ко мне обратились с вопросом - якобы обезличивание является обязательным для госов и муниципалов и отказаться от него нельзя. "Ну нет", - подумал я, - "Быть такого не может". И обратился в РКН за разъяснением.

И вот на днях я такое разъяснение в устной форме получил. Обезличивание действительно является обязательным - отказаться от его невыполнения нельзя! Вот так! Делайте выводы! При проверках эту тему будут спрашивать!

ЗЫ. У прокуратуры такое же мнение - обезличивание для госов и муниципалов обязательно!

15 комментариев:

  1. Регуляторы, как обычно, радуют своей прямолинейностью. Возникает вопрос: каковы цели обезличивания и что именно госорган обязан обезличить?
    Я у себя недавно писал об этом:

    http://alexgerm.blogspot.ru/2014/02/blog-post_27.html

    Ведь если в ИСПДн периодически вносятся персональные данные, а далее путем обезличивания они превращаются в "обезличенные данные", то защищать ИСПДн все равно придется. Смысл обезлички теряется.
    Другое дело, если ПДн нужно хранить сверх установленных законом сроков: вот тогда обезличка действительно полезна. Еще обезличка нужна для статистических целей, о чем прямо говорится в ФЗ-152. Но статистикой занимаются даеко не все госорганы, а законные сроки обработки у них и без того велики....

    Регуляторы просто хотят обезличивания ради обезличивания, чтобы соблюсти букву постановления.

    ОтветитьУдалить
  2. Шередин (замрук РКН) же участвовал в разработке какой-то коммерческой фигни для этого самого обезличивания? Они по другому не умеют заставлять покупать свои поделки, тем более вроде бы борьба с коррупцией поутихла, можно расслабиться...

    ОтветитьУдалить
  3. С этой "обязательностью" слишком много вопросов возникает...

    ОтветитьУдалить
  4. Слишком много это мягко сказано. Ладно если ПД обрабатываются только в базах данных, в которых есть механизмы обезличивания, а если у меня база данных в exel? И то, как удостовериться что в 1С, например, есть механизм обезличивания? Я же могу, например в 1С сформировать список работников с паспортными данными и потом этот список распечатать. Получается не важно, что список работников обезличен программным кодом и хранится в обезличенном виде, если я могу эти данные распечатать в реальном виде и если я как я буду доказывать РКН что эти данные обезличенные?

    ОтветитьУдалить
  5. К счастью, сейчас последней инстанцией всё чаще случается арбитражный суд, а не прокуратора или "регуляторы". А суд - законы и тому подобное читает буквально (как пишется по буквам без дополнительной интерпритации). Поэтому, если написано что МОЖЕТ применяться, значит МОЖЕТ и НЕ применяться. Считаю, что любые специалисты в своей работе должны исходить из того что написано в нормативах буквально и перестать принимать к сведению различные комментарии, пояснения, мнения и т.п.

    ОтветитьУдалить
  6. В свое время сталкивались с подобным подходом со стороны регонального РУН (по другому вопросу). По результатам совместных консультаций было выработоно адекватное отношение всех сторон.
    В данном случае ситуация видится несколько в ином ключе.
    Согласно пречня мер, утвержденного ПП- 211,:
    "1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:
    ......
    б) утверждают актом руководителя государственного или муниципального органа следующие документы:
    ....
    правила работы с обезличенными данными;
    ...."
    Т.е. гос.орган обязан разработать и утвердить документ, определяющий правила работы с обезличенными данными, и это с него действительно спросить можно. Но обязанность обезличивать данные в НПА не установлена.

    ОтветитьУдалить
  7. На последние два комментария: в ПП-211 нет слова "может". Я тоже так думал :-) РКН, как регулятор в этом вопросе, считает, что обезличивание ОБЯЗАТЕЛЬНО. Что бы мы ни думали...

    ОтветитьУдалить
  8. Алексей, есть НПА и есть юридическая практика их чтения и использования.
    В ПП-211 прописана обязанность утвердить документ. И всё!

    Неформальное мнение представителей РКН - это всего лишь мнение, а не постулат.

    Нужно привлекать юристов и изучать юридические техники - это необходимая и полезная практика, которая позволяет говорить с регуляторами на "одном языке" и приходить к адекватным решениям.

    ОтветитьУдалить
  9. Этот комментарий был удален автором.

    ОтветитьУдалить
  10. Игорь, и все остальные, в 221 не только речь о документе. Вы не видите пункт З? Вот он: з) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
    Где здесь фраза может обезличивать? Тут по моему все ясно-оператор осуществляет обезличивание. Что тут не понятного и как еще можно это тактовать?

    ОтветитьУдалить
  11. Именно так. Гос или МУП обязаны осуществлять обезличивание. Так это трактует РКН и прокуратура. Поэтому заметка и родилась. Чтобы каждый сам взвешивал свои риски

    ОтветитьУдалить
  12. Этот комментарий был удален автором.

    ОтветитьУдалить
  13. Этот комментарий был удален автором.

    ОтветитьУдалить
  14. Действиетльно, пунк з) звучит довольно "агрессивно", поэтому я связался с региональным представительством РКН и получил следующую неофициальную информацию:
    1. Единых разъяснений по линии РКН об обязательном обезличивании нет.
    2. Пунк з) относится к Операторам, которые используют обезличивание, и регламентирует использование методики, разработанной РКН. Т.е. никаких иных методик обезличивания применять нельзя.
    3. Сам пункт з) был включен в ПП-211 как "поручение" РКН на разработку методики обезличивания.

    В итоге ситуация проста - раз есть несколько неофициальных мнений, то либо оператор пишет официальное письмо с просьбой разъяснить, либо выбирает одну из позиций и ждет проверки.

    ОтветитьУдалить
  15. Ну и предлагаю не забывать ещё 1 чисто русский способ - на каждую хитрую гайку, найдется хитрый болт. Регламент применения методик обезличивания жестко не определен (только на уровне Методических рекомендаций РКН), нет никаких указаний в какой момент в технологическом процессе обработки информации её следует реализовывать (опять же только на уровне Методических рекомендаций РКН, но не Приказа). А значит есть возможность реализовать неадекватное требование формально. Как они к нам, так и мы к ним.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.