Псевдонимизация как инструмент безопасности и способ легитимной обработки персональных данных. Часть 3: Меры безопасности

Псевдонимизация и обезличивание при всей схожести понятий всё же имеют свои нюансы в российском и европейском законодательстве. Поэтому мы уже немного разобрались в терминологии и кратко посмотрели законы, а также затронули вопрос обработки персональных данных без согласия субъекта. В этот раз мы поговорим о псевдонимизации как инструменте обеспечения безопасности персональных данных.

 

Европейский союз

При изучении европейского законодательства можно сразу увидеть, что псевдонимизация там чётко названа среди меры, обеспечивающих безопасности персональных данных. Например, об этом говориться в статьях 25 и 32 GDPR, а также других разъяснениях и актах ЕС. «Поэтому если вы хотите применять псевдонимизацию как меру безопасности персональных данных, то это можно делать без каких-то специальных требований. Единственное,это должно осуществляться на основании проведенного Data Protection Impact Assessment (DPIA), то есть это должно осуществляться на основании оценки рисков, аудита персональных данных с учётом доступных технологий, с учётом тех персональных данных, которые обрабатывает оператор, с учётом масштаба обработки персональных данных, с учётом категорий персональных данных», — пояснила главный юрист компании Double Data Екатерина Калугина в ходе своего выступления на GDPR Day Online 2020.

 

Россия

Что касается России — здесь всё совсем не так. Обезличивание персональных данных упоминается в ФЗ-152 как гарантия прав субъектов в одном из оснований обработки персональных данных и упоминается в одной статье вместе с уничтожением персональных данных (но, видимо, здесь просто речь скорее об анонимизации, а не об обезличивании персональных данных). Обезличивание персональных данных не входит в перечень организационных и технических мер безопасности, которые рекомендованы ФСТЭК. И это важно понимать при разработке мер защиты персональных данных. По словам Екатерины Калугиной, оператор определяет меры защиты с учётом актуальных угроз, и при этом он выбирает те средства защиты, которые рекомендованы ФСТЭК. «При этом, несмотря на то, что обезличивание персональных данных само по себе не входит в перечень мер безопасности, которые рекомендует ФСТЭК, компании-операторы могут использовать обезличивание для защиты конфиденциальности персональных данных. Кроме того нужно учитывать, что даже обезличенные персональные данные требуют защиты, потому что это те же самые персональные данные», — добавила она.

Продолжение следует...

6 июня, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС
02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных