Что значит обезличивание и блокирование персональных данных
Обезличивание данных: сохранение баланса между правами граждан и развитием инноваций
 |
| waider.list.ru / Depositphotos.com |
Повсеместное использование информационных технологий поднимает вопросы, возникающие в связи с обработкой персональных прав граждан. Особенно остро встает проблема защиты персональных данных при их обработке государством или частными компаниями, в том числе с помощью технологий искусственного интеллекта. Напомним, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ч. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Одним из методов решения проблемы защиты данных является процедура их обезличивания. В соответствии с законом обезличивание персональных данных представляют собой действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (ч. 9 ст. 3 Закона № 152-ФЗ). Как на практике выполняется процедура обезличивания, действительно ли она может обеспечить защиту персональных данных и как соблюдается баланс между интересами граждан, государства и компаний – в нашем материале.
В ходе пленарного заседания, организованного в рамках Петербургского Международного Юридического Форума 9 3/4, информационным партнером которого является компания «Гарант», президент Ассоциации участников рынка больших данных Анна Серебряникова обратила внимание на то, что сейчас тема обезличивания данных в первую очередь должна рассматриваться как механизм защиты прав граждан, а уже после этого – как стимулирование развития бизнес-сектора. Важность темы понимается и на федеральном уровне – государство демонстрирует разнообразие обсуждаемых и принимаемых инициатив по вопросу оборота данных при использовании информационных технологий, например, для развития технологии искусственного интеллекта. В настоящее время процедура обезличивания данных активно применяется, при этом эксперт считает, что ее нужно отрегулировать таким образом, чтобы, с одной стороны, не остановить технический прогресс, с другой – защитить граждан от деобезличивания.
В ходе обсуждения Татьяна Матвеева, начальник управления президента РФ по применению информационных технологий и развития электронной демократии, отметила, что на сегодняшний день метода, который мог бы полностью обезличить данные с сохранением ценности таких данных, не существует. Связано это с тем, что текущий уровень развития информационных технологий при сборе нескольких наборов данных (в том числе, обезличенных) и при последующей математической обработке могут быть опять персонализированы. Таким образом, обезличивание персональных данных выступает методом снижения рисков нарушения прав граждан при обработке персональных данных, например, при их утечке. Но гарантии полной защиты прав граждан не происходит, подчеркивает эксперт.
Напомним, что в РФ процедура по обезличиванию персональных данных регламентирована Приказом Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных». Так, в соответствии с Приказом, к наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
Также запущен Федеральный проект «Искусственный интеллект», разработанный Минэкономразвития России в целях реализации Национальной стратегии развития искусственного интеллекта на период до 2030 года (утв.Указом Президента Российской Федерации от 10 октября 2019 г. № 490), который уточняет условия использования данных в рамках экспериментальных правовых режимов (ЭПР), так называемых регуляторных песочниц. Подробнее об ЭПР читайте в нашем материале: «Проблемы защиты персональных данных в рамках экспериментальных правовых режимов». Заместитель руководителя Роскомнадзора Милош Вагнер отметил, что введение таких режимов является результатом ответа на запрос бизнеса о желании воспользоваться данными – такие режимы позволяют с учетом послаблений апробировать методики обезличивания.
Важно обратить внимание, что есть различие между обезличенными и анонимизированными данными. Как объясняет Анна Серебряникова, полностью анонимизированные данные представляют собой статистику, которая доступна в свободном доступе и относится к открытым данным. Аналогичной позиции придерживается Татьяна Матвеева, приводя в пример таких данных статистику Росстата и соцопросы – такие данные являются «загрубленными» с точки зрения социально-демографического портрета опрашиваемой аудитории. По мнению Анны Серебряниковой, такие данные не несут той же ценности, как обезличенные, на основании которых можно определить некоторые особенности разных видов социальных групп. Эксперт приводит в пример анализ поведенческих особенностей малых социальных групп, прогнозирование возрастных трендов, измерение настроения людей и определение их отношения к тем или иным явлениям – все эти функции на основании анонимизированных данных невозможны. Другими словами, полностью анонимизированные данные не представляют ценности для бизнеса, а для некоторых областей искусственного интеллекта даже обезличенные данные не представляют ценности – для его обучения требуется опыт, а если такой опыт с пробелами, его обучение будет соответственным, объяснила Анна Серебряникова.
Руслан Ибрагимов, вице-президент по взаимодействию с органами государственной власти и связям с общественностью ПАО «МТС» считает, что основная проблема, связанная с обезличиванием персональных данных, – расхождение в определении того, что представляют собой такие данные. Государственные органы не видят разницы между персональными и обезличенными данными, что создает ряд юридических проблем. На практике такой подход может ужесточать оборот обезличенных персональных данных. При подходе, согласно которому такие данные являются отдельной частью персональных данных, такие данные могут быть свободно пущены в оборот. Эксперт считает, что следует достичь консенсуса при решении вопроса о том, какой из этих подходов должен быть использован в отношении обезличивания персональных данных.
Анна Серебряникова считает, что для обучения искусственного интеллекта нужны более широкие дата-сеты, включающие такие данные, которые будут соблюдать баланс – с одной стороны, не нарушать права субъектов персональных данных, с другой – предоставлять для бизнеса максимально полные данные для развития технологий. Обработка персональных данных в любом случае сопряжена с потенциальными рисками для субъектов, при этом такие риски могут возникать не только рамках исполнения бизнес-задач, но и при других неправомерных действиях, резюмировала Татьяна Матвеева. В связи с этим решения по условиям обработки и обезличиванию данных следует принимать и оценивать через призму защиты прав граждан. Помимо нормативного государственного регулирования разработка отраслевых стандартов и кодексов по работе с обезличенными данными позволит повысить внутреннюю цифровую культуру компаний, работающих с данными, а также увеличить уровень доверия граждан, заключила эксперт. С коллегой согласился Милош Вагнер – регулирование должно осуществляться как со стороны надзорного органа (в соответствии со ст. 23 Закона № 152-ФЗ), так и со стороны операторов (в соответствии со ст. 18.1 Закона № 152-ФЗ), то есть должен присутствовать также внутренний контроль за соблюдением положений законодательства, считает эксперт.
1 С текстом законопроекта № 992331-7 О внесении изменений в Федеральный закон «О персональных данных» (в части уточнения порядка обработки персональных данных) и материалами к нему можно ознакомиться на официальном сайте Госдумы.
Обезличенные данные: как защитить граждан и стимулировать бизнес
Методов, которые полностью обезличивают данные и при этом сохраняют их ценность, на сегодняшний день не существует, отметила Татьяна Матвеева, начальник управления президента по применению информационных технологий и развитию электронной демократии. Все обезличенные данные, по словам спикера, могут быть вновь персонализированы.
Обезличивание – это метод снижения риска, но не полная гарантия защиты прав граждан.
Татьяна Матвеева, начальник управления президента по применению информационных технологий и развитию электронной демократии
С другой стороны, данные – это топливо для искусственного интеллекта и катализатор для развития экономики. Государство все это понимает и делает шаги навстречу бизнесу, заверила Матвеева. Сейчас активно обсуждается законопроект по регулированию обезличенных данных, запущен федеральный проект по искусственному интеллекту, который предусматривает введение экспериментальных правовых режимов.
«Но так или иначе все решения нужно принимать и оценивать через призму прав граждан», – подчеркнула спикер. С ней согласился замглавы Роскомнадзора Милош Вагнер: «При введении любого регулирования должны не ухудшаться, а улучшаться права граждан».
«Обезличенные» равно «персональные»?
Персональные данные, полученные в результате обезличивания, – это все равно персональные данные. К ним должно применяться соответствующее законодательство, пояснил Вагнер позицию Роскомнадзора.
С такой интерпретацией поспорил бизнес. «По закону персональные данные – это данные, которые позволяют определить конкретную личность. Обезличивание – это отрыв данных от личности», – заявил Руслан Ибрагимов, вице-президент по взаимодействию с органами госвласти и связям с общественностью ПАО «МТС».
По его словам, обезличенные данные – отдельный вид информации, которую можно пустить в оборот. Если кто-то решил «де-обезличить» такие сведения, они становятся персональными и на них распространяется соответствующее регулирование.
Нам нужно определиться с понятиями. Как только мы достигнем консенсуса в этом, все остальные вопросы будут решаться автоматически.
Руслан Ибрагимов, вице-президент ПАО «МТС»
Обезличенность и свободный оборот
Степень обезличивания данных может быть разная. Ирина Левова из АНО «Институт исследований интернета» представила схему, на которой показала, как в зарубежных странах свобода обращения зависит от уровня обезличивания.
Существуют специальные коэффициенты: 0 – это персональные данные, 1 – полностью анонимизированные. Компания сама оценивает степень обезличивания в каждом конкретном случае, исходя из используемых методов. Чем больше мер она использует, тем меньше вероятность повторной идентификации и тем выше коэффициент обезличивания, пояснила Левова.
Если он равен 0,7 – 0,8, зарубежные регуляторы не признают данные персональными и разрешают более свободное обращение. По словам спикера, они уже несколько месяцев работают над математическим обоснованием рисков применения тех или иных методов. «Надеюсь, мы сможем апробировать полученные результаты в рамках экспериментальных режимов, а потом уже вернуться к разработке законодательных поправок», – поделилась Левова.
Хорошо, конечно, апробировать методики в различных «песочницах», ждать реализации пилотов. Но не займет ли это годы? А ведь все это время бизнес по-прежнему будет трать свои ресурсы на преодоление непрозрачных и непонятных правил работы с обезличенными данными.
Анна Попова, вице-президент ПАО «Сбербанк»
В завершении своего выступления Попова перечислила основные запросы, которые сейчас есть у бизнеса:
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Как ужесточились требования к работе с персональными данными в 2021 году
С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных «по умолчанию». А с 27 марта в два раза увеличиваются штрафы.
Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.
Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.
В этой статье рассмотрим следующие вопросы:
Что изменилось в обработке персональных данных с 1 марта
Как прекратить передачу данных, разрешенных для распространения
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Требования к обработке персональных данных
На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
За что и на какие суммы штрафуют в 2021 году
27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.
Обратите внимание на следующие нововведения:
1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.
2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.
При повторном нарушении
При повторном нарушении
При повторном нарушении
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.
В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Конфиденциальность персональных данных: когда ее не нужно обеспечивать
В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
Что такое портал персональных данных
Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.
Как еще планируют ужесточить обработку персональных данных
Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.
Министерство предлагает запретить операторам:
Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.