Лучшие практики обезличивания персональных данных
Вчера совместно с Ксенией Лебедевой (Шудровой) провели вебинар в новом для нас мини формате. Если предыдущие межблогерские вебинары стремились по времени к 3 часам, то этот удалось уместить в 1 час.
Сделали обзор
законодательства и судебной практики РФ по обезличиванию ПДн. В большинстве
случаев обезличивание ПДн остается добровольным мероприятием оператора ПДн. Но
постепенно появляется все больше случаев, когда обезличивание является
обязанностью:
152-ФЗ
•
Альтернатива удалению при достижении целей
обработки ПДн
•
При обработке в статистических или иных
исследовательских целях
•
В целях повышения эффективности гос. и
муниципального управления
•
В целях эксперимента по ИИ в Москве
123-ФЗ
•
В целях эксперимента по ИИ в Москве
44-ФЗ
•
Решения врачебной комиссии при закупке
лекарственных препаратов
192-ФЗ
•
Обезличивание фискальных данных
78-ФЗ
•
Обезличивание результатов жалоб
Уполномоченному при опубликовании их в сети Интернет
168-ФЗ
•
Обезличивание ПДн в федеральном регистре
сведений о населении
Приказ
Минпромторга России от 27.06.2019 N 2296
•
Обезличивание при обработке в ГИС Честный Знак
Приказ
Минздрава России от 14.06.2018 N 341н
•
Обезличивание при обработке в ЕГИСЗ
ГОСТ
57580.1
•
Запрет обработки защищаемой информации в сегментах
разработки и тестирования
Далее
рассмотрели лучшие практики обезличивания (там это называется Pseudonymisation) из Евросоюза:
•
Pseudonymisation
techniques and best practices от ENISA
•
Data
Pseudonymisation: Advanced Techniques and Use Cases от ENISA
Основными выводами
которых являются:
•
Pseudonymization
должен
заниматься каждый оператор
•
Нет одного лучшего способа
•
Нужно исходить из оценки рисков и целей
•
Для сложных масштабных задач есть продвинутые
техники, посредники обезличивания и т.п.
•
По проектам национального уровня – собирать
рабочие группы, проводить исследования
Предлагаю
вам самостоятельно ознакомится с записью вебинара, а если будет интересным то и
с самими лучшими практиками https://www.youtube.com/watch?v=tGXqefi1iNI
Комментарии
Чем отличается обращение от запроса субъекта ПДН (часть 3 статьи 14 152-ФЗ)?
Если нет возможности оператору удостовериться (по телефону) что к нему обращается именно субъект персональных данных, то как выполнять требования статьи 14?
С уважением,
Мартынов Константин