Попытавшись наиболее полно рассмотреть вопрос псевдонимизации и обезличивания персональных данных, мы уже рассказали про терминологию, немного затронули регулирование и существующие документы по данному вопросу, отдельно остановившись на инструментах обработки персональных данных без согласия субъекта. Также мы выяснили, что псевдонимизация прописана в европейских документах в качестве меры безопасности, в то время как в российских — нет. И отдельно остановились на методах обезличивания и псевдонимизации персональных данных.
В заключительной части серии мы акцентируем внимание на рекомендации бизнесу по использованию псевдонимизации в процессах по обработке персональных данных. Рекомендации по данному вопросу огласила главный юрист компании Double Data Екатерина Калугина в ходе своего выступления на GDPR Day Online 2020.
Прежде всего она рекомендовала провести аудит процессов и Data Protection Impact assessment (DPIA). На этом этапе необходимо сформулировать цель, для чего вам нужно использовать псевдонимизацию. При этом это должны быть правовые основания обработки и обеспечения её безопасности.
Далее нужно определить, в каких процессах вы можете использовать псевдонимизацию в качестве способа легитимной обработки персональные данные и как инструмента безопасности.
Затем необходимо определить какие методики, методологии псевдонимизации применимы именно к вашим процессам, какие методики позволят вам обрабатывать персональные данные анонимно и при этом сохранить их пользу и ценность для вашего бизнеса. И здесь важно учитывать цели, риски, уровень технологий, стоимость внедрения, масштаб и контекст обработки.
А потом можно приступить к описанию выбранной методологии псевдонимизации во внутренних документах (Data Protection Policy, DPIA, Information Security Policy, регламенты по ИБ). Потому что необходимо не только выбрать методологию, но и соблюдать принцип accountability.
И также будьте готовы продемонстрировать логику использования методик псевдонимизации в ваших процессах, если вдруг случится так, что к вам придёт надзорный орган и спросит, почему вы выбрали именно эту методику и чем вы руководствовались. То есть каждый ваш шаг, каждый выбор должны отражаться в документах.
