Роскомнадзор предложил утвердить методы обезличивания данных

Роскомнадзор предложил утвердить конкретизированный перечень методов и требований к обезличиванию персональных данных. В частности, ведомство подробно описало каждый применяемый метод, соответствующий проект приказа размещен на портале проектов нормативных правовых актов.

В приказе обновляются требования и методы обезличивания персональных данных. Операторы теперь обязаны гарантировать, что после обезличивания данные не могут быть восстановлены без дополнительной информации, а также использовать системы, обеспечивающие безопасность таких данных. Устанавливается запрет на совместное хранение исходных и обезличенных данных.

Все действия по обезличиванию должны фиксироваться и быть подтверждаемы. Среди основных методов ведомство выделяет введение идентификаторов с переменным значением, семантическое изменение состава данных, их искажение или перемешивание. В частности, теперь требуется более детально регламентировать, как изменяются и обрабатываются данные, чтобы исключить возможность восстановления исходных сведений.

11 сентября 2024 г. «Коммерсантъ» писал, что Ассоциация больших данных (АБД; объединяет «Сбер», «Яндекс», VK и др.) предложила ФСТЭК России регулировать работу с обезличенными персональными данными, чтобы исключить риски их деобезличивания. АБД посчитала нужным закрепить технологии обработки и обмена данными, а также описание каждого класса технологий и подходы к оценке рисков. В ассоциации также перечислили риски деобезличивания, среди которых сопоставление данных, определение лица за счет его уникальных характеристик и др.

Во ФСТЭК предложение АБД не комментировали. Но в АНО «Цифровая экономика» объяснили, что обсуждаемые вопросы важны с учетом того, что нормативные правовые акты по методам обезличивания данных должны быть приняты в рамках закона о таких данных, подписанного 8 августа.

Он вносит изменения в закон «О персональных данных». Изменения касаются порядка обезличивания персональных данных, их обработки и оборота. В частности, операторы данных должны будут по требованию Минцифры обезличивать информацию. Минцифры же обязано обеспечить конфиденциальность этих данных. В Минцифры газете заявили, что такое обезличивание данных полностью исключает возможность установления личности.