Тема псевдонимизации и обезличивания сейчас весьма актуальна, особенно на фоне развития новых технологий. Мы уже писали о разнице в терминологии, а также кратко рассмотрели имеющиеся по данному вопросу законы.
Однако надо понимать, что псевдонимизация и обезличивание не являются самостоятельными основаниями для обработки данных, то есть нельзя взять обезличить данные и говорить о том, что вы обрабатываете их легитимно — в любом случае нежно искать основание.
Тем не менее псевдонимизация может выступать гарантией и способом для легитимной обработки персональных данных. Достаточно много оснований обработки персональных данных и в ФЗ-152, и в GDPR, которые позволяют обрабатывать персональные данные без получения согласия субъекта.
Secondary Processing
Во-первых, есть такой способ как Secondary Processing — это так называемая повторная обработка или дальнейшая обработка персональных данных. По общему правилу, чтобы обрабатывать персональные данные у любого оператора и в России, и в ЕС должна быть цель обработки, причём эта цель должна сохраняться в течение всего процесса обработки персональных данных. При этом возможна дальнейшая обработка для какой-то другой цели, но только если она совместима с первоначальной целью.
Когда оценивается совместимость повторной обработки с первоначальной целью, GDPR устанавливает требования, что повторная обработка должна предполагать определённые гарантии для защиты прав субъектов, и в том числе к этим гарантиям относится псевдонимизация. «Например, если вы собираете персональные данные на основании согласия субъекта, вы указываете какую-то конкретную цель, скажем, для соблюдения договора, заключенного между субъектом и оператором. Но в дальнейшем вам требуется обрабатывать эти данные не только для цели исполнения договора, но для целей, скажем, проведения каких-то статистических исследований, для целей агрегации данных. И в этом случае вам обязательно необходимо принимать меры по защите прав субъектов, то есть необходимо не просто обрабатывать персональные данные для вторичной цели, но и думать об определённых гарантиях, которые бы отвечали интересам субъекта», — пояснила главный юрист компании Double Data Екатерина Калугин в ходе своего выступления на конференции GDPR Day Online 2020.
При этом в GDPR в статье 5 говорится, что если происходит дальнейшая обработка персональных данных для статистических, исследовательских или архивных целей, то они признаются изначально совместимыми с первоначальной целью. Однако в любом случае необходимо создание каких-то гарантий, защищающих права субъектов.
Исследовательские цели
Второй инструмент для обработки персональный данных без согласия субъекта — исследовательские цели. GDPR чётко предусматривает, что обработка персональных данных для архивных целей, в интересах общества, для целей научного и исторического исследования подлежит гарантиям в отношении прав и свобод субъектов. И ФЗ-152 также предусматривает в статье 6 основания обработки персональных данных без согласия субъекта, если она осуществляется в статистических и исследовательских целях при условии обязательного обезличивания персональных данных.
Однако тут встаёт вопрос — что же такое исследовательские цели? GDPR в преамбулах трактует исследовательские цели достаточно широко, и под ними понимаются не только научные исследования, но и прикладные исследования, которые потенциально могут быть в последствии коммерциализированы. «Здесь, как и для других оснований обработки персональных данных, важна демонстрация цели, важна демонстрация соблюдения таких гарантий прав субъектов, как псевдонимизация и обезличивание для того, чтобы показать, что ваши исследовательские цели действительно находятся в балансе с теми гарантиями, которые вы предоставляете как оператор субъекту для того, чтобы легитимно обрабатывать персональные данные», — прокомментировала Екатерина Калугина.
Законный интерес
В GDPR есть отдельное основание для обработки персональных данных без согласия субъектов — это законный интерес оператора или третьих лиц. Но опять же здесь должны приниматься надлежащие меры защиты и учитываться интересы субъектов (интересы оператора не должны превосходить интересы субъекта).
Также существует отдельный документ, Мнение рабочей группы по законному интересу в ЕС (Opinion 06/2014 on the notion of legitimate interests of the data controller), в котором очень подробно описывается, что такое законный интерес, прописываются требования, которые должен выполнять оператор для того, чтобы это основание использовать для обработки персональных данных. И в документе предусмотрен один важный момент — если вы планируете обрабатывать персональные данные на основании законного интереса, то вам необходимо пройти так называемый балансирующий тест.
«Этот тест необходим для того, чтобы оценить баланс законного интереса контроллера, влияние на субъект данных, а также оценить дополнительные меры безопасности, которые применяются контроллером. Что интересно? Если у вас есть законный интерес для обработки персональных данных, если вы оценили баланс этого интереса, то эти дополнительные меры безопасности (псевдонимизация) могут сместить баланс и повысить ваши шансы как оператора на легитимную обработку персональных данных на основании законного интереса. Даже если ваш интерес немного не дотягивает до баланса между гарантиями субъекта и вашим интересом, то применяя дополнительные меры безопасности вы можете как раз привести в баланс ваши интересы и интересы субъекта», — пояснила Екатерина Калугина.
Продолжение следует...
.jpg)
.png)