ПДн. Обезличивать не надо защищать
До недавнего времени, интерес к обезличиванию ПДн был не большой, как со стороны законодателей, так и со стороны операторов.
НПА РФ касающиеся обезличивания ПДн:
· Федеральный закон 152-ФЗ “О персональных данных”
требования по обезличиванию в редких случаях
· Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных"
описаны возможные методы, но требования фактически отсутствуют
· КОАП РФ
есть штраф за нарушение требований и методов обезличивания, но мизерный и только для должностных лиц гос. органов
Появилось несколько свежих отраслевых НПА, устанавливающих требования обезличивать ПДн:
· Приказ Министерства здравоохранения РФ от 14 июня 2018 г. N 341н "Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования"
касается всех Мед. организаций, но обезличивание происходит автоматически через специальный модуль ЕГИСЗ
· Поправки федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд”
при закупке лекарственных препаратов требование публиковать обезличенные решения врачебных комиссий
· Приказ Росстата от 17.04.2018 N 179 "Об утверждении порядка сбора сведений о населении в электронной форме, определяющего требования к программному обеспечению, техническим средствам, включая носители информации, каналам связи, средствам защиты и форматам представления данных в электронной форме"
требования обезличивать данные переписи населения
Минкомсвязи выдвинул 2 законопроекта:
1. Изменения в 152-ФЗ:
a. добавить обязанность проводить обезличивание в случаях, когда это требуется законодательством РФ (ну это и так вроде очевидно)
b. всем операторам добавили обязанность разрабатывать правила работы с обезличенными данными, в случае применения обезличивания
раньше такие правила требовались только для гос. органов
2. Изменения в КОАП РФ
Теперь штрафы для всех операторов и распространяются на физ лиц, должностных лиц и юр. лиц. До 30 тыс.
Заключение:
Начало появляться больше НПА, обязывающие операторов проводить обезличивание ПДн в определенных случаях. Сейчас эти случаи:
· обезличивать или уничтожать по достижению целей обработки ПДн
· обработка ПДн в статистических или исследовательских целях
· обработка ПДн при оказании мед. услуг
· публикация решений врачебный комиссий при проведении закупок лекарственных препаратов
· при переписи населения
Скорее всего число таких случаев, где обезличивание требуется в явном виде, будет только увеличиваться. Поэтому очевидно, что за невыполнение требований должно быть предусмотрено хоть какое-то наказание. Так кто ожидаемы поправки в КоАП
Для всех случаев обработки ПДн, операторам нужно будет определять, будет ли в них применяться обезличивание или нет. Если будет то определить способ обезличивания, реализовать автоматизированные механизмы или назначить ответственных лиц, при обезличивании в ручную и действительно внедрить выбранные способы на практике.
Вероятно, во многих массовых ИС/ГИС (также как в ЕГИСЗ) должны появляться встроенные возможности по обезличиванию данных.
PS: Также рекомендую обзор законопроектов по обезличиванию ПДн от Михаила Емельянникова – рассмотрел проблему с другой стороны
Комментарии