Эта тема снова на слуху и, хотя мы и многие уже высказывались, все же возникает вопрос – может ли бизнес получить от такого обезличивания реальную пользу?
Новые проекты НПА по обезличиванию. Их два. Проект постановления Правительства адресован только операторам, получившим запрос Минцифры на дата-донаты в госозеро. А вот проект приказа РКН устанавливает требования и методы обезличивания для всех операторов. То есть, по сути, лечится старая болезнь, когда обезличивать строго формально могли только госорганы, т.к. приказ РКН № 996 на бизнес не распространялся.
А зачем вообще обезличивать? Данные, полученные в результате обезличивания, остаются персональными. На этом можно было бы и расходиться. Но мы останемся, ведь несколько лет ждали легализации обезличивания.
Обезличивание поможет получить дополнительное основание обработки ПД, а именно п. 9 ч. 1 ст. 6 152-ФЗ – «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, обезличенные данные используются для обучения ИИ-моделей, работы с БД и т.д. Правда, пока это основание не проходило проверку боем.
Кроме этого, обезличивание может оказаться обязательным пререквизитом и для грядущих инновационных институтов, например, работа с данными в контуре доверенного посредника или ЭПР.
Если фантазировать, то в РФ обезличивание могло бы митигировать драматичные последствия утечек. Ведь, вероятно, будет исключена прямая идентификация субъектов ПД на основании скомпрометированного «обезличенного» датасета. Значит и вреда субъектам нет. Вот и у них… например, в Европе статус данных как персональных определяется контекстом — если у получателя нет дополнительной информации, которую он мог бы использовать для деобезличивания, а также нет правомерных способов получения такой информации, то данные в его распоряжении признаются анонимными. Этот подход можно найти не только в практике CJEU и английских судов, но и разъяснениях ICO.
Что не так?
В ЕС допускается гибкий выбор методов обезличивания (псевдонимизации) под ответственность оператора. Нам предлагается обратный подход – перечень методов строго закрыт и включает введение идентификаторов, изменение состава/семантики, перемешивание, преобразование (обобщение), декомпозицию (разделение массива). Эти методы, за исключением преобразования, уже были зафиксированы в приказе РКН № 996.
Если иным образом преобразовывать ПД, то они остаются ПД или же перестают быть ПД вовсе. И все еще непонятен момент перехода из одного состояния в другое. Важно, что РКН не сформулировал четкие требования к результатам, не обозначил способы проверки эффективности обезличивания. Пока что не предусмотрена и прямая ответственность за некачественное обезличивание, т.к. ч. 7 ст. 13.11 КоАП РФ применяется только к госорганам.
Коли обезличивание – лишь одно из действий по обработке ПД, то необходимо правовое основание для обезличивания per se. То есть, если в ваших согласиях / договорах обезличивание ПД не предусмотрено, то получается, что этот десерт не для вас. Есть, конечно, обратная аргументация, что обезличивание будет покрываться правовым основанием для последующей обработки обезличенных данных, но будет ли РКН считать так же...
Если все-таки обезличивать… Придется разработать документы:
порядок обработки ПД, полученных в результате обезличивания;
порядок обезличивания;
оценка достаточности применяемых методов. Также оператор обязан:
использовать информационные системы и ПО, обеспечивающие безопасность и конфиденциальность;
обеспечить раздельное хранение исходных и обезличенных данных;
вести учет действий по обезличиванию и работе данными. Итого, чтобы обезличить данные «по-настоящему», теперь понадобятся регламенты, акты, журналы, отдельные БД, инструкции и, конечно же, бесконечная вера в то, что бумага все стерпит, а РКН – оценит. Стоит ли игра свеч, завтра ответим
Новые проекты НПА по обезличиванию. Их два. Проект постановления Правительства адресован только операторам, получившим запрос Минцифры на дата-донаты в госозеро. А вот проект приказа РКН устанавливает требования и методы обезличивания для всех операторов. То есть, по сути, лечится старая болезнь, когда обезличивать строго формально могли только госорганы, т.к. приказ РКН № 996 на бизнес не распространялся.
А зачем вообще обезличивать? Данные, полученные в результате обезличивания, остаются персональными. На этом можно было бы и расходиться. Но мы останемся, ведь несколько лет ждали легализации обезличивания.
Обезличивание поможет получить дополнительное основание обработки ПД, а именно п. 9 ч. 1 ст. 6 152-ФЗ – «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, обезличенные данные используются для обучения ИИ-моделей, работы с БД и т.д. Правда, пока это основание не проходило проверку боем.
Кроме этого, обезличивание может оказаться обязательным пререквизитом и для грядущих инновационных институтов, например, работа с данными в контуре доверенного посредника или ЭПР.
Если фантазировать, то в РФ обезличивание могло бы митигировать драматичные последствия утечек. Ведь, вероятно, будет исключена прямая идентификация субъектов ПД на основании скомпрометированного «обезличенного» датасета. Значит и вреда субъектам нет. Вот и у них… например, в Европе статус данных как персональных определяется контекстом — если у получателя нет дополнительной информации, которую он мог бы использовать для деобезличивания, а также нет правомерных способов получения такой информации, то данные в его распоряжении признаются анонимными. Этот подход можно найти не только в практике CJEU и английских судов, но и разъяснениях ICO.
Что не так?
В ЕС допускается гибкий выбор методов обезличивания (псевдонимизации) под ответственность оператора. Нам предлагается обратный подход – перечень методов строго закрыт и включает введение идентификаторов, изменение состава/семантики, перемешивание, преобразование (обобщение), декомпозицию (разделение массива). Эти методы, за исключением преобразования, уже были зафиксированы в приказе РКН № 996.
Если иным образом преобразовывать ПД, то они остаются ПД или же перестают быть ПД вовсе. И все еще непонятен момент перехода из одного состояния в другое. Важно, что РКН не сформулировал четкие требования к результатам, не обозначил способы проверки эффективности обезличивания. Пока что не предусмотрена и прямая ответственность за некачественное обезличивание, т.к. ч. 7 ст. 13.11 КоАП РФ применяется только к госорганам.
Коли обезличивание – лишь одно из действий по обработке ПД, то необходимо правовое основание для обезличивания per se. То есть, если в ваших согласиях / договорах обезличивание ПД не предусмотрено, то получается, что этот десерт не для вас. Есть, конечно, обратная аргументация, что обезличивание будет покрываться правовым основанием для последующей обработки обезличенных данных, но будет ли РКН считать так же...
Если все-таки обезличивать… Придется разработать документы:
порядок обработки ПД, полученных в результате обезличивания;
порядок обезличивания;
оценка достаточности применяемых методов. Также оператор обязан:
использовать информационные системы и ПО, обеспечивающие безопасность и конфиденциальность;
обеспечить раздельное хранение исходных и обезличенных данных;
вести учет действий по обезличиванию и работе данными. Итого, чтобы обезличить данные «по-настоящему», теперь понадобятся регламенты, акты, журналы, отдельные БД, инструкции и, конечно же, бесконечная вера в то, что бумага все стерпит, а РКН – оценит. Стоит ли игра свеч, завтра ответим