Минцифры России доработало проект постановления, определяющего правила и методы обезличивания персональных данных, а также соответствующие требования к операторам ПДн, которые должны вступить в силу с сентября этого года.
Документ «Об установлении требований к обезличиванию персональных данных, методов и правил обезличивания персональных данных» опубликован на Федеральном портале проектов нормативных правовых актов.
Проект постановления правительства подготовлен в рамках реализации закона об обезличенных данных (N 233-ФЗ), принятого прошлым летом. Закон предусматривает формирование наборов обезличенных ПДн и создание защищенной системы для хранения и обработки такой информации (ФГИС).
По замыслу, бизнес и госструктуры будут передавать персональные данные в ГИС в обезличенном виде по запросу Минцифры. После формирования датасетов с ними можно будет работать в пределах контура ГИС с целью решения задач государственной важности либо проблем, представляющих научный интерес.
Порядок обезличивания персональных данных, согласно проекту постановления правительства в текущей редакции:
- Формирование требования о предоставлении данных осуществляет Минцифры на основании материалов исследований.
- Материалы исследования должны содержать обоснование запроса.
- Материалы исследований направляются на рассмотрение в федеральный орган, уполномоченный в области обеспечения безопасности.
- Запрос на предоставление данных направляется на согласование уполномоченным по безопасности, защите прав субъектов персданных, Банку России (рассмотрение до 15 календарных дней). В особых случаях Минцифры может направить оператору запрос без согласования.
- Оператор при получении запроса осуществляет обезличивание с использованием специализированного софта Минцифры (бесплатного).
- Процедура обезличивания персональных данных должна обеспечивать возможность внесения изменений и дополнений, а также повторного обезличивания без отката к исходному виду.
- По завершении обезличивания оператор подписывает данные усиленной квалифицированной электронной подписью и передает в ГИС Минцифры.
Что касается методов обезличивания персональных данных, регулятор предлагает утвердить их следующим образом:
- введение идентификаторов — замена части сведений идентификаторами с созданием таблицы соответствия исходным данным;
- изменение состава или семантики данных, в том числе путем замены или удаления части сведений;
- декомпозиция — разбиение массива персональных данных на части с раздельным хранением;
- перемешивание — перестановка записей и групп записей в массиве;
- преобразование — агрегация данных через обобщение, например, по качественным и количественным значениям (атрибутам).
Операторы персональных данных должны будут соблюдать эти правила и методы, принять меры по защите ПДн и очистке от закрытой информации, обеспечить раздельное хранение ПДн и обезличенных данных, а при загрузке их в ГИС применять алгоритмы и софт, гарантирующие сохранность и целостность.
