Обезличивание персональных данных

Не до конца решенной на законодательном уровне проблемой, связанной с использованием личных сведений гражданах, является обезличивание персональных данных. С одной стороны, есть приказ № 996, выданный Роскомнадзором 05.03.2013 и рекомендации по его исполнению, но при этом четкого понимания, в каком порядке действовать и когда каким методом пользоваться, у операторов нет. Законопроект о детализации принятых правил, внесении уточнений и корректировок в существующие понятия уже несколько лет находится в разработке. При этом стремительно развиваются информационные технологии и появляются новые варианты хранения, уничтожения, блокировки и совершения других операций с ПДн.

Сложности возникают еще на этапе определения, что значит обезличивание персональных данных, также отсутствуют советы по их дальнейшей обработке. Организациям и предпринимателям приходится иногда действовать наугад, чтобы и цели своей деятельности достичь, и закон не нарушить (соответственно, не получить штраф) и идти в ногу с техническим прогрессом. Задачу можно упростить, если привлечь специалистов, но понимать общую картину того, что нужно будет сделать для выполнения актуальных требований, должен каждый руководитель. Наш обзор поможет сформировать общее представление о процедуре, способах её выполнения и дальнейших действиях со сведениями в ИСПДн.

Что такое обезличивание персональных данных?

Процедура определяется как совокупность действий, направленных на лишение ПДн свойств, которые дают возможность связать их с конкретным физическим лицом без дополнительных уточнений. Пример обезличенных персональных данных — А.А.А. (Аксенов Андрей Анатольевич). Такие сведения сохраняются в ИСПДн для того, чтобы:

• защитить их от несанкционированного доступа, потери или изменения в том случае, если организовать хранение сложно технически или с экономической точки зрения;
• вести статистический учет, который нужен для грамотного стратегического планирования бизнеса;
• снизить класс ИС, соответственно, уменьшить количество требований к принимаемым мерам безопасности ПДн;
• упростить процессы обработки с или без автоматизированных средств.

Тот факт, что данные обезличены, не говорит о том, что их можно разглашать кому угодно, — в отношении них действуют аналогичные рекомендации, что и касательно остальных личных сведений.

После обезличивания ПДн сохраняют большинство свойств:

• содержат в полном объеме информацию о конкретном человеке;
• позволяют осуществлять обработку по запросу на совершение действий с личными сведениями без изменения исходной семантики;
• структурно связаны с ПДн других физических лиц либо групп;
• имеют те же семантические отличия, что и до процедуры;
• не позволяют четко определить субъекта;
• позволяют решить установленные политикой компании и другими внутренними документами цели создания ИСПДн и обработки личной информации.

Анонимизированные и обезличенные персональные данные: в чем разница

У многих возникает путаница с тем, какие ПДн считать лишенными элементов персонализации, а какие — анонимизированными. Вследствие чего появляются трудности с определением прав и обязанностей в отношении таких сведений. Полностью анонимизированные данные — это, по сути, «сухие цифры», не дающие представления о социально-демографических отличиях субъектов. Они менее ценные, поскольку после обезличивания личных данных сохраняется шанс определить специфику малых и больших групп, выявить тренды у людей разного возраста, оценить отношение к каким-то событиях и занятиям и т.д. К тому же их нет в общем доступе, а посмотреть статистику может каждый.

Особенно важно разделять эти виды ПДн тем, кто ведет деятельность в экспериментальных правовых режимах, которые предусматривают послабления на этапе апробации новых методик нивелирования идентифицирующих свойств сведений о гражданах.

Возможные способы обезличивания персональных данных

В распоряжении операторов, как указано в Приказе № 996, есть четыре варианта, как действовать, чтобы полученные сведения о гражданах перестали быть персонализированными. Изучим подробнее, какие существуют методы обезличивания персональных данных и что они собой представляют:

1. Замена состава либо семантических особенностей ПДн — в таком случае производится удаление части информации, не имеющей пользы, либо её замена на анонимизированные данные, также может применяться обобщение.
2. Использование идентификаторов вместо конкретной информации. В результате создается особая таблица, где обозначены коды и их расшифровка, то есть при необходимости можно восстановить изначальный объем и содержание ПДн, но только при наличии соответствующего доступа.
3. Декомпозиция — разделение общего массива на то или иное количество блоков. Имея доступ к части информации, невозможно понять, какому субъекту она принадлежит.
4. Перемешивание до того момента, когда становится нереальным определить, о чьих ПДн идет речь.

При достижении целей обработки объем имеющейся информации о физическом лице необходимо сократить, чтобы не пришлось получить обвинение в чрезмерности. За это, как и за другие нарушения придется заплатить немалый штраф.

Представленные выше способы являются, по мнению контролирующего органа, наиболее результативными и удобными, при этом вы можете сами решать:

• каким из методов пользоваться;
• как обезличивать персональные данные сотрудников, клиентов и других категорий субъектов;
• в каком порядке выполнять процедуру;
• применять только одну методику либо остановиться на комбинированном варианте;
• какое программное обеспечение и технические средства использовать;
• сколько денежных средств вкладывать;
• кому поручить процесс — собственным сотрудникам или аутсорсерам, располагающим квалифицированными кадрами и инновационным софтом.

Свойства методов обезличивания персональных данных и требования к ним

Определяясь, как именно работать с ПДн на этапе обезличивания, необходимо учитывать, что методы, позволяющие добиться указанных ранее в статье свойств обезличенных данных, должны иметь следующие характеристики:

• вариативность;
• обратимость;
• изменяемость;
• совместимость;
• защищенность от внешних атак;
• возможность дезобезличивания;
• наличие дополнительных сведений, позволяющих реализовать процесс лишения и восстановления идентификационных свойств ПДн;
• адаптация к применяемым на предприятии методам оценки качества информации в электронной системе.

Список требований к способам проведения процедуры достаточно обширный, в частности, они должны гарантировать:

• успешное достижение изначально поставленных целей, прописанных в соглашении на обработку ПДн;
• обретение нужных свойств обезличенных сведений;
• беспроблемное применение в разных программных средах;
• достижение требуемых характеристик способов обезличивания.

Если речь идет о процедуре в автоматизированном режиме, то придется соблюдать парольную и антивирусную политики, правила создания резервных копий и работы со съемными носителями. Дополнительно следует ограничить доступ в те помещения, где планируется хранить, уничтожать, изменять, дополнять и обезличивать ПДн. Когда средства автоматизации не задействованы, предстоит уделить внимание защите физических носителей, поддержанию оптимального режима хранения документов и предупреждения риска получения их неуполномоченными лицами.

Порядок обезличивания персональных данных

В зависимости от выбранного способа, процессуальные особенности будут разными, но в любом случае нужно, чтобы результат был успешным, а все выполненные действия — соответствующими описанию процедуры. При этом нет жестких рамок относительно того, какими методами или их комбинациями пользоваться, главное — чтобы цель была достигнута, а трактование совершенных действий было однозначным и не вызывающим сомнений. При составлении описания следует включить информацию о таких особенностях:

• в каком порядке выполняются действия;
• на какие параметры вы будете ориентироваться;
• каким будет объем дополнительных данных (служебная информация, на основании которой можно получить ПДн в исходном виде);
• какие значения параметров выбраны для оценки эффективности процесса;
• каких правил вы будете придерживаться;
• кто будет отвечать за реализацию и проверку качества.

Не лишним будет посмотреть несколько образцов инструкции по обезличиванию персональных данных, причем лучше всего, если это будут документы организаций с похожим направлением деятельности и принципом построения бизнес-процессов. Распоряжение о проведении процедуры является ключевым локальным регулирующим документов, но до его составления и подписания необходимо:

1. Выделить время, кадровые и денежные ресурсы на составление политики обработки ПДн на предприятии, которая в будущем станет основой для других внутренних нормативно-правовых актов в этой сфере.
2. Решить, кто из работников будет нести ответственность за то, как будут обезличивать личные сведения. Выбор нужно будет закрепить в приказе с подписью и печатью руководителя с указанием даты, реквизитов предприятия, должности и Ф.И.О. ответственного сотрудника.
3. Организовать детальный инструктаж и дать на подпись документ, который обязывает уполномоченного работника соблюдать конфиденциальность при работе с ПДн.

После этого можно заняться разработкой распоряжения, взяв за основу чужой пример, — так удастся сэкономить массу времени, но все пункты следует детально изучить и там, где нужно, подкорректировать. Когда процедура завершена, предстоит зафиксировать это документально при помощи соответствующего акта. Тем, кто нацелен на понижение класса ИСПДн, придется получить соответствующее разрешение и подготовиться к проверке Роскомнадзора.

Как происходит обработка обезличенных персональных данных: основные нюансы

Важно не только лишить ПДн идентификационных свойств, но и в дальнейшем с ними правильно работать. Рассмотрим наиболее существенные аспекты использования обезличенных персональных данных:

1. Запрещено хранить в одной базе данных персонализированные и лишенные личностных свойств сведения.
2. Закон дает разрешение пользоваться не персонализированной информацией, которая попала к оператору от третьих лиц.
3. В случае проведения деобезличивания, полученные ПДн должны быть удалены.
4. В отношении обезличенных сведений действуют требования, применяемые к обычным персональным данным, то есть нужно обеспечить их безопасность в соответствии с правилами, прописанными в ФЗ-152 и действующими подзаконными актами в данной сфере.
5. Применяемое ПО и технические средства должны соответствовать установленной форме хранения и представления данных.
6. Если вам поручают обезличить личные сведения, полученные другими компаниями или предпринимателями, то необходимо разграничить зону ответственности за совершаемые действия с теми субъектами и фирмами, которые являются основными хранителями.
7. Проводить процедуру необходимо до того момента, как ПДн вносятся в ИСПДн.
8. При выборе алгоритмов реализации процесса нивелирования ПДн нужно останавливаться на тех, которые дают возможность осуществлять перенос на разные типы аппаратных платформ.
9. Если собственных ресурсов (технических, кадровых, организационных) не хватает для эффективного и безопасного обезличивания, то следует обратиться к другому оператору, который выполнит нужные действия на основании предварительно подписанного соглашения.
10. В обязанности оператора входит предоставление субъекту сведений о том, какой объем и тип обезличенных ПДн есть у него в наличии. Параллельно необходимо создать и вести архив, где прописывать каждый факт получения запросов на обработку.
11. Если возникает потребность дополнить либо изменить сведения, не имеющие четкой личностной привязки, то операция должна быть зафиксирована в журнале транзакций.
12. Используемые средства и проводимые процедуры не должны вступать в противоречие не только с общими законодательными требованиями, но и с внутренними документами организации.

В идеале процедура обезличивания персональных данных и их деобезличивания должна быть органичной частью выполнения операций с ПДн и эффективно задействовать имеющиеся в наличии инфраструктурные возможности. Отдельного внимания заслуживают разработка и внедрение локальных документов, в которых должны присутствовать:

• технические паспорта и эксплуатационная документация на антивирусы и прочее программное обеспечение, предназначенное для процесса лишения ПДн отличительных особенностей;
• инструкции по совершению операций с лишенными личностных характеристик сведениями сотрудников, клиентов, поставщиков;
• порядок обмена информацией с другими операторами, включая государственные органы;
• описание используемого софта;
• порядок действий при оценке эффективности применяемых процедур;
• инструкция по обеспечению защиты служебной информации, в которой прописываются средства, методы и правила обезличивания персональных данных.