Интернет-ресурсы скроют персональные данные
Негосударственных операторов теперь тоже будут штрафовать за нарушение правил по обезличиванию сведений
Минкомсвязь России готовит сразу два законопроекта, которые устраняют пробел в части обезличивания персональных данных. Уведомление о разработке поправок ведомство опубликовало на официальном портале нормативно-правовых актов 30 августа. Насколько безопаснее станет работа операторов с информацией о пользователях?
Зачем обезличивают персональные данные
Действующий закон гласит, что обработка персональных данных ограничивается «достижением конкретных, заранее определённых целей оператора». После этого сведения должны быть уничтожены или обезличены. Обезличить — значит сделать невозможным определение принадлежности информации конкретному лицу без дополнительных сведений. Для этого применяются несколько методов, например, замена части сведений неким идентификатором или декомпозиция, то есть разделение массива данных на несколько частей и их раздельное хранение.
Как правило, обезличивание производится для того, чтобы защитить информацию от несанкционированного использования и при этом сохранить возможность обработки сведений. Таких ситуаций не так много. Закон, например, прямо предусматривает один вариант: работу с персональными данными в статистических или других исследовательских целях. Хотя на практике обезличивание применяется и в других сферах. В частности, при публикации судебных решений персональные данные обычно изымаются из текстов.
В целом обезличивание — хороший способ для оператора работать с нужной информацией и при этом не волноваться, что в случае утечки данных мошенники смогут нанести вред гражданам: они просто не смогут идентифицировать, кому и какие данные принадлежат.
Важно отметить, что операторы могут передавать обезличенные данные для обработки третьим лицам. Например, маркетинговым агентствам. Но эти лица не должны иметь инструментов для идентификации данных с их владельцами: только факты, которые помогут им разработать рекламное предложение для клиентов.
Проблемы безличности
В то же время требования и методы обезличивания пока определены только для операторов, которые являются государственными или муниципальными органами. Это суды, больницы, школы и другие учреждения. Правила для них содержатся в приказе Роскомнадзора от 5 сентября 2013 года.
Но обрабатывать личную информацию россиян могут и негосударственные операторы — онлайн-магазины, интернет-платформы для поиска работы и другие. И для них никаких правил по обезличиванию не установлено. Минкомсвязи отмечает, что это «является существенным правовым пробелом, создающим существенную угрозу по защите персональных данных при их обезличивании такими операторами».
Подготовленный ведомством проект поправок в Закон «О защите персональных данных» предлагает распространить обязанности по обезличиванию при работе с персональными данными для всех операторов: они должны будут обезличивать личную информацию россиян в соответствии с требованиями и методами, которые разработает Роскомнадзор. При этом операторы-юрлица должны будут самостоятельно создать правила работы с обезличенной информацией (по закону её также можно обрабатывать).
Если законопроект вступит в силу, у Роскомнадзора будет два месяца на то, чтобы разработать поправки в свой приказ о правилах обезличивания персональных данных, которые распространят их на всех операторов вне зависимости от их принадлежности к государственным структурам.
Оштрафуют всех
Пока что ответственность за невыполнение обязанностей или несоблюдение правил по обезличиванию персональных данных существует только для операторов, которые работают от лица государства. Санкции предусматривают предупреждение либо штраф от трёх до шести тысяч рублей.
Проектируемые изменения предполагают, что, кроме правил, для негосударственных операторов необходимо также предусмотреть наказание за нарушения. Для этого Минкомсвязь параллельно готовит поправки в Кодекс об административных правонарушениях. Взыскание для должностных лиц предлагается оставить без изменений, а также ввести штраф для граждан в размере от 700 до 1500 рублей, для индивидуальных предпринимателей — от пяти до 10 тысяч рублей, для юридических лиц — от 15 до 30 тысяч рублей.