понедельник, 3 сентября 2018 г.

ПДн. Обезличивать не надо защищать



До недавнего времени, интерес к обезличиванию ПДн был не большой, как со стороны законодателей, так и со стороны операторов.


НПА РФ касающиеся обезличивания ПДн:
·         Федеральный закон 152-ФЗ “О персональных данных”
требования по обезличиванию в редких случаях
·         Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных"
описаны возможные методы, но требования фактически отсутствуют
·         КОАП РФ
есть штраф за нарушение требований и методов обезличивания, но мизерный и только для должностных лиц гос. органов

Появилось несколько свежих отраслевых НПА, устанавливающих требования обезличивать ПДн:
·         Приказ Министерства здравоохранения РФ от 14 июня 2018 г. N 341н "Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования"
касается всех Мед. организаций, но обезличивание происходит автоматически через специальный модуль ЕГИСЗ
·         Поправки федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд”
при закупке лекарственных препаратов требование публиковать обезличенные решения врачебных комиссий
·         Приказ Росстата от 17.04.2018 N 179 "Об утверждении порядка сбора сведений о населении в электронной форме, определяющего требования к программному обеспечению, техническим средствам, включая носители информации, каналам связи, средствам защиты и форматам представления данных в электронной форме"
требования обезличивать данные переписи населения

Минкомсвязи выдвинул 2 законопроекта:
1.       Изменения в 152-ФЗ: 
a.       добавить обязанность проводить обезличивание в случаях, когда это требуется законодательством РФ (ну это и так вроде очевидно)
b.       всем операторам добавили обязанность разрабатывать правила работы с обезличенными данными, в случае применения обезличивания
раньше такие правила требовались только для гос. органов
2.       Изменения в КОАП РФ
Теперь штрафы для всех операторов и распространяются на физ лиц, должностных лиц и юр. лиц. До 30 тыс.
Заключение:
Начало появляться больше НПА, обязывающие операторов проводить обезличивание ПДн в определенных случаях. Сейчас эти случаи:
·         обезличивать или уничтожать по достижению целей обработки ПДн
·         обработка ПДн в статистических или исследовательских целях
·         обработка ПДн при оказании мед. услуг
·         публикация решений врачебный комиссий при проведении закупок лекарственных препаратов
·         при переписи населения
Скорее всего число таких случаев, где обезличивание требуется в явном виде, будет только увеличиваться. Поэтому очевидно, что за невыполнение требований должно быть предусмотрено хоть какое-то наказание. Так кто ожидаемы поправки в КоАП
Для всех случаев обработки ПДн, операторам нужно будет определять, будет ли в них применяться обезличивание или нет. Если будет то определить способ обезличивания, реализовать автоматизированные механизмы или назначить ответственных лиц, при обезличивании в ручную и действительно внедрить выбранные способы на практике.  
Вероятно, во многих массовых ИС/ГИС (также как в ЕГИСЗ) должны появляться встроенные возможности по обезличиванию данных.

PS: Также рекомендую обзор законопроектов по обезличиванию ПДн от Михаила Емельянникова – рассмотрел проблему с другой стороны

PPS:Нажмите чтобы посмотреть цитаты из НПА и планируемые изменения

1 комментарий:

Артём Малаян комментирует...

https://mandarin.solutions/ru