Законопроект, согласно которому все компании без исключений должны будут обезличивать персональные данные в соответствии с требованиями и методами Роскомнадзора, размещен на портале regulation.gov.ru. Сейчас такие требования и методы установлены только для государственных и муниципальных органов. Нарушителей будут наказывать рублем, об этом свидетельствует еще один законопроект, предполагающий корреспондирующие поправки в КоАП РФ.
Законопроект Минкомсвязи, предполагающий введение требования ко всем компаниям, работающим с персональными данными, обезличивать или уничтожать их по мере использования, размещен на федеральном портале проектов нормативных актов под ID 02/04/08-18/00083533.
Причины, вызвавшие необходимость законодательной инициативы, Минкомсвязь объяснило в пояснительной записке. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) устанавливает, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных целей, по достижении которых они подлежат обезличиванию или уничтожению. Однако требования и методы по обезличиванию персональных данных, утвержденные приказом Роскомнадзора от 5 сентября 2013 г. № 996 (далее — Приказ № 996), распространяются главным образом на операторов, являющихся государственными или муниципальными органами. В отсутствие четких инструкций, как именно поступать с уже не нужными персональными данными, добросовестные операторы, в том числе операторы связи и различные интернет-сервисы, накапливют огромный массив информации.
Для справки
В соответствии со ст. 3 Закона о персональных данных под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. При этом обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.
Посчитав, что отсутствие утвержденных для широкого круга операторов требований и методов по обработке персональных данных создает существенную угрозу по их защите, регулятор предложил распространить действие Приказа № 996 на всех операторов персональных данных и обязать их установить в своих локальных актах правила работы с обезличенными персональными данными.
Неисполнение данной обязанности — об этом говорит второй законопроект (ID 02/04/08-18/00083535) — аукнется оператору предупреждением или штрафом:
-
для должностных лиц — в размере от 3 000 до 6 000 руб.;
-
для компаний — от 15 000 до 30 000 руб.
Какие требования устанавливает Роскомнадзор к регламенту обезличивания данных?
Согласно Приказу № 996, обезличивание должно обеспечивать не только защиту персональных данных от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных:
-
сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания;
-
сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания;
-
возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме;
-
семантическая целостность, то есть сохранение семантики персональных данных при их обезличивании;
-
применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных);
-
анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
Как наиболее перспективные и удобные для практического применения Роскомнадзор рекомендует четыре метода обезличивания.
Это метод введения идентификаторов (замена части сведений идентификаторами с созданием таблицы соответствия идентификаторов исходным данным); метод изменения состава или семантики (замена части данных результатами статистической обработки, обобщения или удаления части сведений); метод декомпозиции (разбивка массива персональных данных на несколько частей с последующим раздельным их хранением); метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных). Все эти методы позволяют обезличивать персональные данные, сохраняя при этом их основные свойства.