С чистого лица: персональные данные хотят обезличивать по закону

Классификация действий с персональными данными

сбор – это фактическая передача персональных данных от их субъекта оператору;

запись – может происходить и ручным, и машинным способом;

систематизация – техническое действие, облегчающее обработку персональных данных для оператора;

накопление – термин не имеет самостоятельного значения и предполагает хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;

хранение – законодатель устанавливает множество требований к способам физической и технической защиты персональных данных;

уточнение – под этим термином могут подразумеваться или обновление, или изменение информации;

извлечение – здесь предполагается перенос персональных данных из памяти средств автоматизации на материальные носители;
использование;

передача – этот термин рассматривает такие способы предоставления к данным доступа третьим лицам, как распространение, предоставление. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией; для предоставления характерно совершение тех же действий, но в отношении нескольких субъектов, определенных соглашением или иным способом;

обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств;

блокирование – под ним подразумевается временное прекращение любых действий с персональными данными. Блокировка производится по заявлению субъекта персональных данных или по требованию регулятора. Если она необходима, обработка сведений возможна только в целях их уточнения;

удаление – оно отличается от уничтожения, так как производится в целях коррекции персональных данных или для решения иных технических задач;

уничтожение – это те шаги, которые не только уничтожают персональные данные, обрабатываемые ручным или автоматизированным способом, но и полностью исключают их восстановление

Важно: если данные находились на материальных носителях, вместе с ними уничтожаются и сами носители. Уничтожение происходит по требованию субъекта персональных данных или по истечении срока их обработки.

Уничтожение (обезличивание) персональных данных

Уничтожение(обезличивание) ПДн Субъекта производится в следующих случаях:

  • по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами РФ;
  • в случае выявления неправомерной обработки ПДн Обществом в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки ПДн;
  • в случае отзыва Субъектом ПДн согласия на Обработку его ПДн, если сохранение ПДн более не требуется для целей Обработки ПДн, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн либо если Общество не вправе осуществлять Обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами РФ;
  • в случае истечения срока хранения ПДн, определяемого в соответствии с законодательством РФ и организационно-распорядительными документами Общества;
  • в случае предписания уполномоченного органа по защите прав субъектов ПДн, Прокуратуры России или решения суда.

При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Что это такое?

Обезличивание персональной информации является составляющей частью обработки материалов. В статье 7 Федерального закона РФ от 27 июля 2006 года «О персональных данных» сообщается, что под обезличиванием ведомостей понимается действие, которое делает невозможным определение принадлежности информации к конкретному лицу. При этом, речь идет только об идентификации физического или юридического лица на основе сообщений, которые подвергаются обезличиванию.

Эта же информация может помочь определить, к какому россиянину относятся ведомости, если будут использованы дополнительные источники. Обезличивание проводится как при помощи автоматизированных систем (компьютеров, программ), так и без использования таких средств.

Алгоритм доступен только операторам, имеющим в своем распоряжении информацию личного характера. После обезличивания материалов с оператора снимаются требования по обеспечению максимальной конфиденциальности.

Теперь вы в общих чертах знаете, что это такое – обезличенные данные о клиентах.

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

  • с использованием средств автоматизации;
  • без них.

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники. Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение. Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России. Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников. Так же работают требования по физической защите помещений.

Цель обезличивания персональных данных

Приказ № 996 гласит, что обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Аналогично указывает и Порядок, говоря о том, что цель обезличивания – это защита сведений от несанкционированного использования с одновременным сохранением возможности их дальнейшей обработки.

При этом в рамках ФЗ № 152 и иных актов (в частности, Постановления № 1119 и Постановления № 211), обезличивание не рассматривается как мера защиты персональных данных. В тоже время Приказ № 966 и Приказ № 341н рассматривают процесс обезличивания как меру защиты ПД.

Однако не стоит игнорировать следующий факт: несмотря на то, что после процесса обезличивания сведения перестают быть персональными данными, это не означает автоматическое отсутствие необходимости защищать обезличенные сведения.

Кроме того, не совсем понятно, почему Приказ № 996 и Приказ № 341н ограничиваются только несанкционированным использованием. Ведь персональным данным угрожает не только несанкционированное использование, но и многие другие действий (например, несанкционированное изменение, распространения и пр.).

Что касается процесса обезличивания ПД в рамках Порядка, то данный процесс осуществляется автоматически подсистемой обезличивания персональных данных единой системы (п. 25 Положения). А затем обезличенные сведения автоматически сохраняются уже в составе Федеральной интегрированной электронной медицинской карты.

Обесчеловечивание и обезличивание

Обесчеловечивание и обезличивание — это две самые отвратительные вещи, которые только можно сделать по отношению к другому человеку. Главная особенность этих двух психологических механизмов — это относиться к кому-то так, как будто он не человек. Таким образом обидчику становится проще причинить ему боль.

Обесчеловечивание — когда злые люди не считают своих жертв людьми, а потому продолжают издеваться над ними из-за твердого убеждения, что те не заслуживают уважения. Токсичные личности оправдывают свою жестокость по отношению к таким жертвам с помощью самоубеждения в том, что их поступки не только правильные, но и необходимые.

Обезличивание — когда вы полностью отстраняетесь от других людей и видите в них бесчувственных, черствых и немыслящих созданий. Они не только кажутся вам бесчеловечными, но еще и лишенными своих общественных и моральных прав. Они это объекты, с которыми можно играть и над которыми можно издеваться.

Обесчеловечивание и обезличивание это, пожалуй, два самых ужасных способа причинить боль другому человеку, поскольку в тот самый момент, когда вы перестаете воспринимать его как живую, дышащую и чувствующую личность, и используете это как оправдание своего отвратительного отношения к нему, то вас самих уже сложно назвать человеком.

Сущность обезличивания персональных данных

Очевидно, что ключевым в данном Порядке является процесс обезличивания. Сразу отметим, что не совсем понятно, почему Приказ № 341н использует словосочетание «обезличивание сведений», а не «обезличивание персональных данных» (или хотя бы «обезличивание сведений о субъекте персональных данных»).

Конечно, обезличивание персональных данных – тема совсем непростая, имеющая много противоречий и проблем. И к сожалению, в настоящее время нормативная база не приведена в должное соответствие касательно вопросов обезличивания персональных данных (далее – ПД).

Чтобы понять, что же такое «обезличивание» обратимся к Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152). Согласно п. 9 статьи 3 ФЗ № 152 обезличивание персональных данных – это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обезличивание является одним из действий, входящих в состав понятия обработка персональных данных и это следует учитывать, особенно при решении вопроса о мерах по обеспечению безопасности ПД при их обработке.

При этом отметим, что в контексте ФЗ № 152 обезличивание не названо возможной мерой по обеспечению безопасности ПД. Применение процедуры обезличивания в рамках ФЗ № 152 предусматривается как обязательная процедура при осуществлении обработки персональных данных в статистических или иных исследовательских целях.

На самом деле ФЗ № 152 мало что говорит про обезличивание. Однако есть ряд иных нормативных правовых актов, так или иначе связанных с процессом обезличивания:

  • Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (далее – Постановление № 211), которое указывает, что обезличивание сопровождается рядом мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ № 152;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 1119);
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (далее – Приказ № 996);
  • Методические рекомендации к Приказ № 996 (утв. Роскомнадзором 13.12.2013, далее — МР);
  • И так далее.

Подробно на данных актах мы останавливаться не будем, так как это не цель нашей статьи – рассмотрим лишь только некоторые моменты.

Персональные данные в подарок

Минцифры России выступило с инициативой обязать отечественный бизнес передавать властям обезличенные данные россиян, притом на полностью безвозмездной основе. Как сообщает «Коммерсант», это требование прописано во второй версии поправок к закону о персональных данных, которую ведомство подготовило ко второму чтению в Госдуме.

Согласно обновленным поправкам, накопленная обезличенная информация о россиянах будет использоваться властями «для государственного и муниципального управления». Порядок передачи этих сведений властям определит Правительство России.

Представители Минцифры рассказали CNews, что, работая над этим пакетом поправок, ведомство «предлагает усилить защиту прав граждан при обороте больших данных путем

получения оператором согласия на обезличивание его персональных данных и цели их использования». «Люди будут знать, кто и где будет использовать их обезличенные данные», – подчеркнули они.

Поправки к закону о персональных данных также предлагают, чтобы государство предоставляло отечественным ИТ-компаниям доступ к обезличенным персональным данным из госинформсистем. «Таким образом, будут созданы условия для развития ИИ-технологий», – уточнили представители Министерства. Документ предусматривает и запрет ИТ-компаниям на накопление таких данных в собственных информсистемах. «Планируется также, что органы власти будут получать обезличенные данные от операторов персональных данных исключительно для осуществления государственных функций», – рассказали CNews в Минцифры.

Государству потребовались обезличенные персональные данные россиян

К операторам обезличенных данных, по информации «Коммерсанта», могут относиться юридические и физические лица – операторы связи, банки, соцсети и т. д., а также сами органы власти. Они будут определять, какие данные будут обрабатывать, и для каких целей.

Категории ПДн и Субъектов ПДн

В Обществе осуществляется обработка ПДн следующих категорий Субъектов:

  • Работников Общества;
  • Кандидатов на вакантные должности;
  • Лиц, принятых для прохождения практики;
  • Уволенных Работников;
  • Родственников Работников;
  • Пользователей;
  • Абонентов и лиц, желающих заключить договор на услуги связи с Обществом (потенциальных абонентов);
  • Участников Общества и членов Совета директоров;
  • Лиц, с которыми заключены договоры гражданско-правового характера;
  • Посетителей Общества;
  • Представителей контрагентов Общества, включая контактных лиц контрагентов;
  • Представителей субъектов персональных данных, уполномоченных на представление их интересов.

Категории обрабатываемых Обществом персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; данные документа, удостоверяющего личность, СНИЛС, ИНН, номер телефона, адрес электронной почты. Содержание и объем обрабатываемых персональных данных в отношении определенной категории Субъектов ПДн должны соответствовать заявленным целям обработки.

Общество не обрабатывает специальные и биометрические персональные данные.

Раньше было лучше

Оригинальная версия законопроекта, внесенного на рассмотрение в Госдуму в июле 2020 г. и принятого в первом чтении 16 февраля 2021 г., преследовала несколько иные цели по сравнению со второй. Изначально предполагалось, что его принятие позволит упростить порядок сбора компаниями согласий россиян на обработку их персональных данных – граждане смогли бы давать согласие на обработку этих данных для нескольких целей и несколькими лицами одновременно. Право устанавливать требования и методы обезличивания данных, согласно тексту документа, должен был получить Роскомнадзор.

После доработки в законопроекте появилось условие, согласно которому компании больше не будут иметь права обезличивать персональные данные россиян, если те не предоставили им на это свое отдельное согласие.

Права Субъектов ПДн

Субъекты, ПДн которых обрабатываются в Обществе, имеют право получить информацию относительно ПДн, обрабатываемых Обществом, в объеме, предусмотренном ФЗ РФ «О персональных данных», а так же:

  • Получать полную информацию о своих ПДн
  • Иметь свободный бесплатный доступ к своим ПДн, включая право на безвозмездное получение копий любой записи, содержащей ПДн Субъекта. Сведения о наличии ПДн должны быть предоставлены Субъекту ПДн в доступной форме, и они не должны содержать ПДн, относящиеся к другим Субъектам ПДн. Доступ к своим ПДн предоставляется Субъекту ПДн или его представителю Обществом при личном обращении, либо при получении запроса.
  • Получать сведения об Обществе, о месте его нахождения, о наличии у Общества сведений о ПДн, относящихся к соответствующему Субъекту ПДн.
  • Требовать от Общества уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
  • Обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его ПДн.

По приказу

В Минкомсвязи, однако, с позицией бизнеса о том, чтобы все методы обезличивания были указаны именно в законе, не согласны. Замглавы ведомства Людмила Бокова сказала «Известиям», что приказ гораздо проще корректировать. В нем можно прописать новые нормы обезличивания — более безопасные и прогрессивные, идущие в ногу с развитием технологий обработки персональных данных.

Сегодня методы и требования к «очистке» распространяются только на госорганы, они есть в приказе Роскомнадзора N 996 от 5 сентября 2013 года. Документ на бизнес напрямую не распространяется, компании используют его положения на свой страх и риск, пояснила Людмила Бокова.

По ее словам, Минкомсвязь предлагает распространить действие этого приказа и на бизнес. Такой подход — установить требования к обезличиванию на уровне подзаконных актов — она считает более гибким.

— В законе прописано, что такое обезличивание персональных данных, и никто не мешает развивать технологии, используя методы деперсонификации, прописанные в приказе Роскомнадзора, — прокомментировала она.

Данные_3

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

По мнению президента Ассоциации больших данных Анны Серебряниковой, в законодательстве требуется четче прописать: обезличенные данные могут обрабатываться более свободно при условии, что обратный процесс невозможен.

— Без включения изменений в закон о персональных данных не удастся решить вопросы использования больших объемов информации для развития российских технологий, продуктов и сервисов на основе их обработки, а также достигнуть целей, поставленных президентом РФ в национальной стратегии развития искусственного интеллекта и послании Федеральному Собранию, — пояснила она.

Директор по управлению и анализу данных QIWI Юлия Богачева согласна, что отсутствие конкретики грозит сокращением создаваемых решений на базе аналитики данных и снижением инвестиционного интереса к таким технологиям.

В департаменте информационных технологий Москвы и Роскомнадзоре на момент публикации не ответили на запросы «Известий».

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1.обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2.в отсутствие согласия обработка допускается в строго определенных законом случаях. Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3.она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека. Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы. Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Искажение последствий

Искажение последствий — это психологический механизм, с помощью которого токсичный человек пытается скрыть или минимизировать последствия его поступков. Он будет делать все возможное, чтобы вы начали верить, что все его действия были логичными и обоснованными, и что проблема заключается именно в вас, а не в нем.

Это один из любимых психологических приемов всех нарциссов и социопатов, поскольку они всегда ищут способ манипулировать другими людьми ради удовлетворения своих сомнительных и токсичных мотивов. Они будут манипулировать последствиями своих поступков так, чтобы вы почувствовали себя сломленными, после чего сделают вид, что вы слишком бурно на все реагируете и делаете из мухи слона.

Категории персональных данных

Теперь подробней в примитиве. Существует всего 4 категории персональных данных:

  1.  Категория 1 – обезличенные персональные данные. Обработка этой категории не требует согласия субъекта персональных данных на их обработку и публикацию в открытых источниках. Примеры таких данных (сводные отчеты по классам, параллелям, школе). На основе этих данных нельзя определить владельца персональных данных.
    Попробуйте определить чьи отметки на изображении?
  2. Категория 2 – по данным этой категории можно однозначно идентифицировать субъекта. К примеру ФИО, дата рождения, школа, класс. На обработку и публикацию этих данных уже потребуется согласие родителей, однако если изменить ФИО на вымышленные, убрать еще несколько атрибутов, выдающих  субъекта, то категория 2 становится первой. Таким приемом часто пользуются СМИ, когда освящают какие-либо события, чтобы не запрашивать согласия на обработку данных.
  3. Категория 3 – расширенный перечень персональных данных, например паспортные данные, фото и т.д. Но с ними педагог сталкивается крайне редко. И уж тем более он не будет пытаться их  опубликовать. Кстати фотография какого-либо мероприятия, тем более открытого, не попадает под эту категорию. Так как, во-первых вы ведете открытую съемку, во-вторых субъект не является прямым и единственным объектом съемки, что не скажешь о портретной фотографии.
  4. Категория 4 – сюда входят такие данные как, данные о рассовой принадлежности, религиозных и политических взглядах и т.д. Эта информация охраняется тщательней всего. Вряд ли какому-либо учителю придет в голову собирать и тем более публиковать такие данные.

Правила работы

Такие правила устанавливаются региональными муниципалитетами Российской Федерации на основе уже упомянутого Федерального закона «О персональных данных».

  • На обезличенные ПД распространяется требования о сохранении информации и обеспечении защиты ведомостей личного свойства от третьих лиц.
  • Обрабатывать их при помощи средств автоматизации или без из участия средств автоматизации
  • Придерживаться антивирусной, парольной политики.
  • Хранить физические носители в отдельном помещении с ограниченным правом доступа.

Теперь вы знаете, каковы правила работы с обезличенными данными о клиенте.

Срок обработки персональных данных

Срок обработки ПДн, обрабатываемых в Обществе, определяется организационно-распорядительными документами Общества в соответствии с положениями ФЗ РФ «О персональных данных». Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Минкультуры РФ от 25.08.2010 N 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и организационно-распорядительными документами Общества.

Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.

Доступ к обезличенным сведениям

Напоследок рассмотрим вопрос доступа к обезличенным сведениям. Пункт 6 Приказа № 341н гласит, что лица, имеющие доступ к обезличенным сведениям, а также порядок их доступа к таким сведениям, определяются в соответствии с Федеральным законом, Положением, принимаемыми в соответствии с ними нормативными актами Минздрава России*.

*Отдельных нормативных правовых актов, определяющих лиц, имеющих доступ к обезличенным сведениям, обрабатываемым в ФИЭМК, а также порядок их доступа к таким сведениям, Минздравом не принято.

ФЗ № 323 и Постановление № 555 обозначают, что доступ к информации, содержащейся в единой системе, предоставляется:

  • Поставщикам информации в единую систему (поставщики информации определены в приложении № 1 к Постановлению № 555);
  • Органам и организациям, являющимся зарегистрированными пользователями единой системы, в соответствии с их компетенцией (пользователи и состав предоставляемой им информации обозначены в приложении № 2 к Постановлению № 555).

Медицинские организации государственной, муниципальной и частной систем здравоохранения, а также организации, являющиеся операторами иных информационных систем, указанных в части 5 статьи 91 ФЗ № 323 (в части представления сведений о пациентах медицинских организаций, с которыми у них заключен договор) являются поставщиками информации (а именно сведений из ст. 94 № 323) в ФИЭМК согласно приложении № 1 к Постановлению № 555.

При этом если обратиться к приложению № 2 Постановления № 555, которое определяет состав информации, предоставляемой пользователям, мы обнаружим, что упоминания про информацию из Федеральной интегрированной электронной медицинской карты там нет. Исходя из этого можно предположить, что пользователи единой системы не имеют доступа к обезличенным сведениям, обрабатываемым в подсистеме ФИЭМК. Соответственно, единственным, кто имеет доступ к уже обезличенным сведениям является оператор — Минздрав России.

В завершение отметим, что Приказ Минздрава России № 341н вступил в силу 20 августа 2018 года.

***

При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных

Например, сейчас на рассмотрении в Госдуме находится законопроект, разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса

Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн

_____________________________

 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Что такое обезличивание персональных данных

Существуют различные категории персональных данных. Это могут быть сведения, которые относятся к человеку напрямую, например, его паспортные данные, или косвенно, например, адрес проживания. Несмотря на это любые сведения о человеке не могут быть использованы без его ведома. Обезличивание персональных данных позволяет обеспечить дополнительную защиту подобной информации.

Согласно действующему законодательству, под обезличиванием персональных данных понимается ряд действий, которые приводят к невозможности определить принадлежность конкретных данных к какому-либо лицу или компании.

Пример: на сайтах судебных организаций часто размещаются вынесенные решения. По сути, они являются открытыми источниками, доступ к которым может получить любой человек. Однако в них нет ни имен, ни фамилий истцов, ответчиков или иных действующих лиц. Таким образом, даже после детального изучения решения человек не сможет идентифицировать лица, к которым данное дело относится.

Одним из методов обезличивания является декомпозиция. В этом случае имеющаяся о человеке или компании информация разбивается на несколько частей, которые хранятся отдельно друг от друга. Очень часто к такому способу прибегают интерне-магазины.

Перенос ответственности

Злые люди могут сделать что угодно, чтобы снять с себя вину за свои поступки, какими бы ужасными они ни были. Если их призывают к ответу за содеянное, они тут же перекладывают ответственность на кого-то другого, говоря следующее: «Я сделал то, что мне было велено!» или «Я этого не хотел, но таков был приказ». Поняли суть?

Перекладывая ответственность, они быстро минимизируют свое участие и промывают мозг окружающим, выгораживая себя. Они совершили нечто гнусное и замарали руки, их поймали на горячем, но им все равно удается переложить ответственность на кого-то другого, изображая из себя несчастную жертву, которую просто «вынудили» так поступить.

Законопроект Минкомсвязи

В России будут законодательно закреплены понятия «обезличенные персональные данные» и «обезличенные данные», а также будет скорректирован порядок обработки персональных данных. Соответствующий законопроект Минкомсвязи опубликован на федеральном портале проектов нормативных правовых актов. Законопроект вносит необходимые изменения в федеральный закон «О персональных данных», принятый в 2006 г. Документ проходит независимую антикоррупционную экспертизу, которая завершится 24 сентября 2019 г.

Согласно законопроекту, «обезличенными персональными данными» и «обезличенными данными» будут считаться соответственно персональные данные и просто сведения, которые не позволяют без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Законопроект закрепляет за операторами право осуществлять обработку персональных данных, полученных ими на законных основаниях, в целях получения обезличенных данных.

Обезличивание персональных данных можно проводить только с согласия субъекта. Это правило не распространяется на случаи, когда оно проводится в статистических, аналитических и исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также целей политической агитации. Также правило не распространяется на некоторые другие случаи, оговоренные российским законодательством.

Требования и методы обезличивания персональных данных установит Роскомнадзор. Обработка обезличенных персональных данных должна проходить согласно российскому законодательству в области персональных данных.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Похожие записи:

Нти и технологическое развитие Перечень документов, удостоверяющих личность на территории рф Бархатные секс-боты Качества лидера. какими качествами обладает лидер? Default ThumbnailИнструкция по подаче заявлений в реестр Сделка купли-продажи бизнеса