12.3.14

Об обязательности обезличивания

Есть такое Постановление Правительства №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", определяющее, как видно из названия, перечень мер, которые должны реализовать госы и муниципалы в области обработки персональных данных.

И есть среди прочего в этом перечне такая мера - "согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ". Долгое время я был уверен, что данное требование является рекомендацией, как это вытекает из самого закона, в котором обезличивание - это один из возможных способов снижения обременений на оператора ПДн. Его можно использовать, а можно и обойтись. В первом случае обезличенные данные выпадают из под действия закона "О персональных данных" и их можно даже не защищать так как этого требуют ФСТЭК и ФСБ.

Примерно также я рассуждал и в отношении ПП-211, в котором говорится, что государственный или муниципальный оператор ПДн может использовать обезличивание и в этом случае он должен руководствоваться руководящими документами Роскомнадзора. Но относительно недавно ко мне обратились с вопросом - якобы обезличивание является обязательным для госов и муниципалов и отказаться от него нельзя. "Ну нет", - подумал я, - "Быть такого не может". И обратился в РКН за разъяснением.

И вот на днях я такое разъяснение в устной форме получил. Обезличивание действительно является обязательным - отказаться от его невыполнения нельзя! Вот так! Делайте выводы! При проверках эту тему будут спрашивать!

ЗЫ. У прокуратуры такое же мнение - обезличивание для госов и муниципалов обязательно!

15 коммент.:

Александр Германович комментирует...

Регуляторы, как обычно, радуют своей прямолинейностью. Возникает вопрос: каковы цели обезличивания и что именно госорган обязан обезличить?
Я у себя недавно писал об этом:

http://alexgerm.blogspot.ru/2014/02/blog-post_27.html

Ведь если в ИСПДн периодически вносятся персональные данные, а далее путем обезличивания они превращаются в "обезличенные данные", то защищать ИСПДн все равно придется. Смысл обезлички теряется.
Другое дело, если ПДн нужно хранить сверх установленных законом сроков: вот тогда обезличка действительно полезна. Еще обезличка нужна для статистических целей, о чем прямо говорится в ФЗ-152. Но статистикой занимаются даеко не все госорганы, а законные сроки обработки у них и без того велики....

Регуляторы просто хотят обезличивания ради обезличивания, чтобы соблюсти букву постановления.

Евгений комментирует...

Шередин (замрук РКН) же участвовал в разработке какой-то коммерческой фигни для этого самого обезличивания? Они по другому не умеют заставлять покупать свои поделки, тем более вроде бы борьба с коррупцией поутихла, можно расслабиться...

Алексей Лукацкий комментирует...

С этой "обязательностью" слишком много вопросов возникает...

Мисник Николай комментирует...

Слишком много это мягко сказано. Ладно если ПД обрабатываются только в базах данных, в которых есть механизмы обезличивания, а если у меня база данных в exel? И то, как удостовериться что в 1С, например, есть механизм обезличивания? Я же могу, например в 1С сформировать список работников с паспортными данными и потом этот список распечатать. Получается не важно, что список работников обезличен программным кодом и хранится в обезличенном виде, если я могу эти данные распечатать в реальном виде и если я как я буду доказывать РКН что эти данные обезличенные?

Unknown комментирует...

К счастью, сейчас последней инстанцией всё чаще случается арбитражный суд, а не прокуратора или "регуляторы". А суд - законы и тому подобное читает буквально (как пишется по буквам без дополнительной интерпритации). Поэтому, если написано что МОЖЕТ применяться, значит МОЖЕТ и НЕ применяться. Считаю, что любые специалисты в своей работе должны исходить из того что написано в нормативах буквально и перестать принимать к сведению различные комментарии, пояснения, мнения и т.п.

Игорь А. Михеев комментирует...

В свое время сталкивались с подобным подходом со стороны регонального РУН (по другому вопросу). По результатам совместных консультаций было выработоно адекватное отношение всех сторон.
В данном случае ситуация видится несколько в ином ключе.
Согласно пречня мер, утвержденного ПП- 211,:
"1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:
......
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
....
правила работы с обезличенными данными;
...."
Т.е. гос.орган обязан разработать и утвердить документ, определяющий правила работы с обезличенными данными, и это с него действительно спросить можно. Но обязанность обезличивать данные в НПА не установлена.

Алексей Лукацкий комментирует...

На последние два комментария: в ПП-211 нет слова "может". Я тоже так думал :-) РКН, как регулятор в этом вопросе, считает, что обезличивание ОБЯЗАТЕЛЬНО. Что бы мы ни думали...

Игорь А. Михеев комментирует...

Алексей, есть НПА и есть юридическая практика их чтения и использования.
В ПП-211 прописана обязанность утвердить документ. И всё!

Неформальное мнение представителей РКН - это всего лишь мнение, а не постулат.

Нужно привлекать юристов и изучать юридические техники - это необходимая и полезная практика, которая позволяет говорить с регуляторами на "одном языке" и приходить к адекватным решениям.

Игорь А. Михеев комментирует...
Этот комментарий был удален автором.
Мисник Николай комментирует...

Игорь, и все остальные, в 221 не только речь о документе. Вы не видите пункт З? Вот он: з) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
Где здесь фраза может обезличивать? Тут по моему все ясно-оператор осуществляет обезличивание. Что тут не понятного и как еще можно это тактовать?

Алексей Лукацкий комментирует...

Именно так. Гос или МУП обязаны осуществлять обезличивание. Так это трактует РКН и прокуратура. Поэтому заметка и родилась. Чтобы каждый сам взвешивал свои риски

Игорь А. Михеев комментирует...
Этот комментарий был удален автором.
Игорь А. Михеев комментирует...
Этот комментарий был удален автором.
Игорь А. Михеев комментирует...

Действиетльно, пунк з) звучит довольно "агрессивно", поэтому я связался с региональным представительством РКН и получил следующую неофициальную информацию:
1. Единых разъяснений по линии РКН об обязательном обезличивании нет.
2. Пунк з) относится к Операторам, которые используют обезличивание, и регламентирует использование методики, разработанной РКН. Т.е. никаких иных методик обезличивания применять нельзя.
3. Сам пункт з) был включен в ПП-211 как "поручение" РКН на разработку методики обезличивания.

В итоге ситуация проста - раз есть несколько неофициальных мнений, то либо оператор пишет официальное письмо с просьбой разъяснить, либо выбирает одну из позиций и ждет проверки.

Михаил Новокрещенов комментирует...

Ну и предлагаю не забывать ещё 1 чисто русский способ - на каждую хитрую гайку, найдется хитрый болт. Регламент применения методик обезличивания жестко не определен (только на уровне Методических рекомендаций РКН), нет никаких указаний в какой момент в технологическом процессе обработки информации её следует реализовывать (опять же только на уровне Методических рекомендаций РКН, но не Приказа). А значит есть возможность реализовать неадекватное требование формально. Как они к нам, так и мы к ним.