Есть такое Постановление Правительства №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", определяющее, как видно из названия, перечень мер, которые должны реализовать госы и муниципалы в области обработки персональных данных.
И есть среди прочего в этом перечне такая мера - "согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ". Долгое время я был уверен, что данное требование является рекомендацией, как это вытекает из самого закона, в котором обезличивание - это один из возможных способов снижения обременений на оператора ПДн. Его можно использовать, а можно и обойтись. В первом случае обезличенные данные выпадают из под действия закона "О персональных данных" и их можно даже не защищать так как этого требуют ФСТЭК и ФСБ.
Примерно также я рассуждал и в отношении ПП-211, в котором говорится, что государственный или муниципальный оператор ПДн может использовать обезличивание и в этом случае он должен руководствоваться руководящими документами Роскомнадзора. Но относительно недавно ко мне обратились с вопросом - якобы обезличивание является обязательным для госов и муниципалов и отказаться от него нельзя. "Ну нет", - подумал я, - "Быть такого не может". И обратился в РКН за разъяснением.
И вот на днях я такое разъяснение в устной форме получил. Обезличивание действительно является обязательным - отказаться от его невыполнения нельзя! Вот так! Делайте выводы! При проверках эту тему будут спрашивать!
ЗЫ. У прокуратуры такое же мнение - обезличивание для госов и муниципалов обязательно!
И есть среди прочего в этом перечне такая мера - "согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ". Долгое время я был уверен, что данное требование является рекомендацией, как это вытекает из самого закона, в котором обезличивание - это один из возможных способов снижения обременений на оператора ПДн. Его можно использовать, а можно и обойтись. В первом случае обезличенные данные выпадают из под действия закона "О персональных данных" и их можно даже не защищать так как этого требуют ФСТЭК и ФСБ.
Примерно также я рассуждал и в отношении ПП-211, в котором говорится, что государственный или муниципальный оператор ПДн может использовать обезличивание и в этом случае он должен руководствоваться руководящими документами Роскомнадзора. Но относительно недавно ко мне обратились с вопросом - якобы обезличивание является обязательным для госов и муниципалов и отказаться от него нельзя. "Ну нет", - подумал я, - "Быть такого не может". И обратился в РКН за разъяснением.
И вот на днях я такое разъяснение в устной форме получил. Обезличивание действительно является обязательным - отказаться от его невыполнения нельзя! Вот так! Делайте выводы! При проверках эту тему будут спрашивать!
ЗЫ. У прокуратуры такое же мнение - обезличивание для госов и муниципалов обязательно!
15 коммент.:
Регуляторы, как обычно, радуют своей прямолинейностью. Возникает вопрос: каковы цели обезличивания и что именно госорган обязан обезличить?
Я у себя недавно писал об этом:
http://alexgerm.blogspot.ru/2014/02/blog-post_27.html
Ведь если в ИСПДн периодически вносятся персональные данные, а далее путем обезличивания они превращаются в "обезличенные данные", то защищать ИСПДн все равно придется. Смысл обезлички теряется.
Другое дело, если ПДн нужно хранить сверх установленных законом сроков: вот тогда обезличка действительно полезна. Еще обезличка нужна для статистических целей, о чем прямо говорится в ФЗ-152. Но статистикой занимаются даеко не все госорганы, а законные сроки обработки у них и без того велики....
Регуляторы просто хотят обезличивания ради обезличивания, чтобы соблюсти букву постановления.
Шередин (замрук РКН) же участвовал в разработке какой-то коммерческой фигни для этого самого обезличивания? Они по другому не умеют заставлять покупать свои поделки, тем более вроде бы борьба с коррупцией поутихла, можно расслабиться...
С этой "обязательностью" слишком много вопросов возникает...
Слишком много это мягко сказано. Ладно если ПД обрабатываются только в базах данных, в которых есть механизмы обезличивания, а если у меня база данных в exel? И то, как удостовериться что в 1С, например, есть механизм обезличивания? Я же могу, например в 1С сформировать список работников с паспортными данными и потом этот список распечатать. Получается не важно, что список работников обезличен программным кодом и хранится в обезличенном виде, если я могу эти данные распечатать в реальном виде и если я как я буду доказывать РКН что эти данные обезличенные?
К счастью, сейчас последней инстанцией всё чаще случается арбитражный суд, а не прокуратора или "регуляторы". А суд - законы и тому подобное читает буквально (как пишется по буквам без дополнительной интерпритации). Поэтому, если написано что МОЖЕТ применяться, значит МОЖЕТ и НЕ применяться. Считаю, что любые специалисты в своей работе должны исходить из того что написано в нормативах буквально и перестать принимать к сведению различные комментарии, пояснения, мнения и т.п.
В свое время сталкивались с подобным подходом со стороны регонального РУН (по другому вопросу). По результатам совместных консультаций было выработоно адекватное отношение всех сторон.
В данном случае ситуация видится несколько в ином ключе.
Согласно пречня мер, утвержденного ПП- 211,:
"1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:
......
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
....
правила работы с обезличенными данными;
...."
Т.е. гос.орган обязан разработать и утвердить документ, определяющий правила работы с обезличенными данными, и это с него действительно спросить можно. Но обязанность обезличивать данные в НПА не установлена.
На последние два комментария: в ПП-211 нет слова "может". Я тоже так думал :-) РКН, как регулятор в этом вопросе, считает, что обезличивание ОБЯЗАТЕЛЬНО. Что бы мы ни думали...
Алексей, есть НПА и есть юридическая практика их чтения и использования.
В ПП-211 прописана обязанность утвердить документ. И всё!
Неформальное мнение представителей РКН - это всего лишь мнение, а не постулат.
Нужно привлекать юристов и изучать юридические техники - это необходимая и полезная практика, которая позволяет говорить с регуляторами на "одном языке" и приходить к адекватным решениям.
Игорь, и все остальные, в 221 не только речь о документе. Вы не видите пункт З? Вот он: з) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
Где здесь фраза может обезличивать? Тут по моему все ясно-оператор осуществляет обезличивание. Что тут не понятного и как еще можно это тактовать?
Именно так. Гос или МУП обязаны осуществлять обезличивание. Так это трактует РКН и прокуратура. Поэтому заметка и родилась. Чтобы каждый сам взвешивал свои риски
Действиетльно, пунк з) звучит довольно "агрессивно", поэтому я связался с региональным представительством РКН и получил следующую неофициальную информацию:
1. Единых разъяснений по линии РКН об обязательном обезличивании нет.
2. Пунк з) относится к Операторам, которые используют обезличивание, и регламентирует использование методики, разработанной РКН. Т.е. никаких иных методик обезличивания применять нельзя.
3. Сам пункт з) был включен в ПП-211 как "поручение" РКН на разработку методики обезличивания.
В итоге ситуация проста - раз есть несколько неофициальных мнений, то либо оператор пишет официальное письмо с просьбой разъяснить, либо выбирает одну из позиций и ждет проверки.
Ну и предлагаю не забывать ещё 1 чисто русский способ - на каждую хитрую гайку, найдется хитрый болт. Регламент применения методик обезличивания жестко не определен (только на уровне Методических рекомендаций РКН), нет никаких указаний в какой момент в технологическом процессе обработки информации её следует реализовывать (опять же только на уровне Методических рекомендаций РКН, но не Приказа). А значит есть возможность реализовать неадекватное требование формально. Как они к нам, так и мы к ним.
Отправить комментарий