Роскомнадзор выпустил разъяснение по исполнению приказа РКН от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных". На мой взгляд - это тот нечастый случай, когда регулятор сработал скорее во благо операторов ПДн и предложил методику снижения обременений, которая позволяет не применять в отношении обезличенных данных организационные и технические меры защиты, разработанные в свою очередь ФСТЭК и ФСБ. Это не значит, что обезличенные данные не надо защищать; просто уровень и способы этой защиты выбираются уже самим оператором ПДн, а не регулятором. Правда, на мой взгляд, нынешние документы ФСТЭК и так позволяют достаточно гибко выбирать защитные мероприятия (не все коллеги со мной согласны в этом) и, по сути, методичка РКН направлена против жестких и параноидальных требований 8-го Центра ФСБ, которые я уже описывал .
Вторым несомненным достоинством документа является его методологическая составляющая. Он не просто говорит, делайте так и так. Он предлагает для разных сценариев обработки ПДн альтернативы, описывает их преимущества и недостатки, дает примеры применения. Это то, чего так не хватает российской регуляторике, ориентированной только на требования без описания особенностей их применения и реализация. Когда ФСТЭК выпустит свои методические рекомендации по реализации 17-го приказа, у нас останется только один регулятор (понятно какой), который игнорирует здравый смысл и, на мой взгляд, вполне осознанно и целенаправленно выпускает требования либо невыполнимые, либо допускающие двойственные и тройственные толкования.
В методических рекомендациях Роскомнадзора приведена таблица соответствия методов обезличивания свойствам обезличенных данных, рассмотрены вопросы организации обработки обезличенных данных, правила и рекомендации по работе с обезличенными данными.
В пресс-релизе Роскомнадзора указано, что предложенная методология обезличивания прошла процедуру согласования в Минкомсвязи России, а также обсуждение с экспертным сообществом в рамках консультативного совета при Роскомнадзоре, но я лично этого не помню и документ нам не рассылался. Но к счастью это не так уже и важно - документ получился достаточно неплохой, хотя с первого раза его будет непросто понять тем, кто ни разу не сталкивался с обезличиванием.
Документ является приложением к обязательному приказу №996 для государственных и муниципальных предприятий. Контроль исполнения рекомендаций планируется осуществлять со второго квартала 2014 года. Для коммерческих операторов ПДн документ носит рекомендательный характер, но я не думаю, что регуляторы будут иметь претензии, если коммерческий оператор ПДн реализует его и будет ссылаться на него в своих внутренних документах.
Вторым несомненным достоинством документа является его методологическая составляющая. Он не просто говорит, делайте так и так. Он предлагает для разных сценариев обработки ПДн альтернативы, описывает их преимущества и недостатки, дает примеры применения. Это то, чего так не хватает российской регуляторике, ориентированной только на требования без описания особенностей их применения и реализация. Когда ФСТЭК выпустит свои методические рекомендации по реализации 17-го приказа, у нас останется только один регулятор (понятно какой), который игнорирует здравый смысл и, на мой взгляд, вполне осознанно и целенаправленно выпускает требования либо невыполнимые, либо допускающие двойственные и тройственные толкования.
В методических рекомендациях Роскомнадзора приведена таблица соответствия методов обезличивания свойствам обезличенных данных, рассмотрены вопросы организации обработки обезличенных данных, правила и рекомендации по работе с обезличенными данными.
В пресс-релизе Роскомнадзора указано, что предложенная методология обезличивания прошла процедуру согласования в Минкомсвязи России, а также обсуждение с экспертным сообществом в рамках консультативного совета при Роскомнадзоре, но я лично этого не помню и документ нам не рассылался. Но к счастью это не так уже и важно - документ получился достаточно неплохой, хотя с первого раза его будет непросто понять тем, кто ни разу не сталкивался с обезличиванием.
Документ является приложением к обязательному приказу №996 для государственных и муниципальных предприятий. Контроль исполнения рекомендаций планируется осуществлять со второго квартала 2014 года. Для коммерческих операторов ПДн документ носит рекомендательный характер, но я не думаю, что регуляторы будут иметь претензии, если коммерческий оператор ПДн реализует его и будет ссылаться на него в своих внутренних документах.