Псевдонимизация и обезличивание при всей схожести понятий всё же имеют свои нюансы в российском и европейском законодательстве. Поэтому мы уже немного разобрались в терминологии и кратко посмотрели законы, а также затронули вопрос обработки персональных данных без согласия субъекта. В этот раз мы поговорим о псевдонимизации как инструменте обеспечения безопасности персональных данных.
Европейский союз
При изучении европейского законодательства можно сразу увидеть, что псевдонимизация там чётко названа среди меры, обеспечивающих безопасности персональных данных. Например, об этом говориться в статьях 25 и 32 GDPR, а также других разъяснениях и актах ЕС. «Поэтому если вы хотите применять псевдонимизацию как меру безопасности персональных данных, то это можно делать без каких-то специальных требований. Единственное,это должно осуществляться на основании проведенного Data Protection Impact Assessment (DPIA), то есть это должно осуществляться на основании оценки рисков, аудита персональных данных с учётом доступных технологий, с учётом тех персональных данных, которые обрабатывает оператор, с учётом масштаба обработки персональных данных, с учётом категорий персональных данных», — пояснила главный юрист компании Double Data Екатерина Калугина в ходе своего выступления на GDPR Day Online 2020.
Россия
Что касается России — здесь всё совсем не так. Обезличивание персональных данных упоминается в ФЗ-152 как гарантия прав субъектов в одном из оснований обработки персональных данных и упоминается в одной статье вместе с уничтожением персональных данных (но, видимо, здесь просто речь скорее об анонимизации, а не об обезличивании персональных данных). Обезличивание персональных данных не входит в перечень организационных и технических мер безопасности, которые рекомендованы ФСТЭК. И это важно понимать при разработке мер защиты персональных данных. По словам Екатерины Калугиной, оператор определяет меры защиты с учётом актуальных угроз, и при этом он выбирает те средства защиты, которые рекомендованы ФСТЭК. «При этом, несмотря на то, что обезличивание персональных данных само по себе не входит в перечень мер безопасности, которые рекомендует ФСТЭК, компании-операторы могут использовать обезличивание для защиты конфиденциальности персональных данных. Кроме того нужно учитывать, что даже обезличенные персональные данные требуют защиты, потому что это те же самые персональные данные», — добавила она.
Продолжение следует...
