Обезличивание персональных данных представляет собой комплекс действий, направленных на исключение возможности установления связи данных с конкретным субъектом без использования дополнительной информации. Данный процесс является частью обработки персональных данных. Федеральное законодательство может предписывать обязательное обезличивание в определенных ситуациях. Операторы также имеют право проводить обезличивание по собственной инициативе. В некоторых случаях для обезличивания персональных данных требуется получение согласия субъекта. Процесс обезличивания осуществляется с применением специальных методов. К обезличиванию предъявляются те же требования, что и к любой другой обработке персональных данных, однако существуют и дополнительные условия: разработка правил обезличивания, создание локальных нормативных актов, отдельное хранение обезличенных данных от исходных персональных данных и соответствующих локальных актов.

1. Сущность обезличивания персональных данных

Обезличивание является составной частью обработки персональных данных, главная цель которой – исключить возможность прямого или косвенного установления личности физического лица. Это достигается путем проведения действий, в результате которых без дополнительной информации невозможно определить принадлежность данных конкретному субъекту. Важно понимать, что обезличенные данные остаются объектом регулирования законодательства Российской Федерации в области персональных данных, поскольку процесс обезличивания обратим. При наличии соответствующих методов, правил и алгоритмов оператор или иное лицо могут восстановить исходные данные, позволяющие идентифицировать субъекта.

2. Случаи проведения обезличивания персональных данных оператором

Оператор обязан проводить обезличивание персональных данных, если такая обязанность установлена федеральными законами, в частности, Законом о персональных данных. В остальных случаях решение о проведении обезличивания принимается оператором по собственной инициативе.

2.1. Обязанность оператора по обезличиванию персональных данных

Оператор обязан обезличивать персональные данные по требованию Минцифры России о их предоставлении. Цель такого требования – формирование составов обезличенных данных, сгруппированных по определенным признакам таким образом, чтобы последующая обработка не позволяла идентифицировать конкретного субъекта. Минцифры России формирует такие составы данных в случаях, установленных Правительством Российской Федерации, по решению уполномоченных лиц или Правительственной комиссии по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности. Взаимодействие с Минцифры России может осуществляться различными способами, включая личный кабинет в соответствующей информационной системе. Также определены способы взаимодействия информационной системы оператора с Единой информационной платформой национальной системы управления данными (ЕИП НСУД), куда должны предоставляться обезличенные персональные данные. При получении требования от Минцифры России оператор обязан обезличить персональные данные и направить их в ЕИП НСУД. Если у оператора отсутствует доступ к ЕИП НСУД и он не подключен к системе межведомственного электронного взаимодействия (СМЭВ), срок предоставления обезличенных данных, указанный в требовании Минцифры России, должен составлять не менее 30 рабочих дней, а в остальных случаях – не менее пяти рабочих дней. Для исполнения требования оператору необходимо:

обезличить персональные данные в соответствии с установленными требованиями, правилами и методами обезличивания, учитывая содержание требования;

подписать обезличенные данные усиленной квалифицированной электронной подписью (УКЭП);

предоставить обезличенные данные в ЕИП НСУД через личный кабинет или СМЭВ. При отсутствии технической возможности подключения к указанным системам, данные передаются нарочным в Минцифры России на съемном носителе с соблюдением мер по защите информации.

В случае отсутствия запрошенных данных, в течение пяти рабочих дней со дня получения требования направляется мотивированный отказ. Если отсутствует только часть данных, направляется отказ в отношении этой части и предоставляются имеющиеся данные.

Существуют и другие случаи, когда оператор обязан обезличивать персональные данные. Порядок и условия их обезличивания определяются специальными законами, в частности, в рамках экспериментальных правовых режимов. Также, например, при закупке лекарственных препаратов или медицинских изделий для пациента по медицинским показаниям, оператор-заказчик обязан разместить в реестре контрактов обезличенное решение врачебной комиссии.

2.2. Право оператора на обезличивание персональных данных

Оператор вправе проводить обезличивание персональных данных по собственной инициативе, соблюдая принципы и правила, установленные Законом о персональных данных, при наличии оснований для такой обработки. Цели обезличивания должны быть закреплены в локальном акте по вопросам обработки персональных данных, с указанием категорий субъектов, чьи персональные данные подлежат обезличиванию, категорий обезличиваемых персональных данных и иной необходимой информации. Например, обезличивание может проводиться для исследовательских целей, обучения искусственного интеллекта, обеспечения конфиденциальности и защиты персональных данных.

Допускается обезличивание персональных данных вместо их уничтожения, когда цели обработки достигнуты или информация больше не требуется, если федеральным законом не предусмотрено иное. Однако, рекомендуется избегать такой практики, поскольку это может вызвать вопросы со стороны Роскомнадзора относительно правомерности хранения данных. Если дополнительная информация, позволяющая идентифицировать субъекта, не уничтожена, оператор может деобезличить данные. В таком случае отсутствие оснований для дальнейшей обработки влечет риск ответственности.

Обезличивание данных должно осуществляться в соответствии с требованиями и методами, установленными соответствующим приказом Роскомнадзора.

3. Необходимость получения согласия субъекта на обезличивание персональных данных

Необходимость получения согласия субъекта на обезличивание его персональных данных зависит от правового основания для такой обработки. Согласие не требуется, если обработка данных осуществляется в статистических (исследовательских) целях, в интересах государства, в том числе в рамках экспериментальных правовых режимов. Важно отметить, что данные, обезличенные без согласия субъекта для статистических или исследовательских целей, не могут использоваться для продвижения товаров (работ, услуг) на рынке и политической агитации. По мнению экспертов, к обезличиванию применимы общие основания обработки персональных данных без согласия субъекта. Если обезличивание не подпадает под такие основания, то согласие субъекта получить необходимо. При получении согласия следует учитывать требования законодательства, в частности, согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если федеральными законами не предусмотрена обязательная письменная форма. В последнем случае необходимо соблюсти требования к содержанию такого согласия.

4. Методы обезличивания персональных данных, применяемые оператором

Оператор может применять следующие методы обезличивания данных:

метод введения идентификаторов: персональные данные субъекта заменяются постоянным или временным идентификатором (кодом, номером) или иным обозначением. Для сопоставления идентификатора с исходными данными и их деобезличивания требуется ключ, который должен храниться отдельно от обезличенных данных и передача которого третьим лицам запрещена.

метод изменения состава или семантики: количественные или качественные значения (атрибуты персональных данных) удаляются, искажаются или изменяются. Например, из совокупности персональных данных субъектов удаляются сведения, относящиеся к их возрасту, или заменяются данные средними значениями. Для использования этого метода необходимо выделить атрибуты персональных данных и определить правила их удаления, искажения или замены, с целью сохранения аналитической значимости данных при исключении конкретики.

метод перемешивания: отдельные значения данных или их группы переставляются между собой. Необходимо разработать правила перемешивания и их алгоритмы.

метод декомпозиции: массив персональных данных разбивается на части, которые хранятся раздельно. Для реализации этого метода необходимо разработать правила разбивки записей персональных данных, установить соответствие между записями, которые должны храниться в разных местах, и определить места раздельного хранения.

метод преобразования: заключается в обобщении (агрегации) атрибутов персональных данных путем введения диапазонов данных, сводных категорий или группировок, которые не позволяют без знания правил преобразования определить субъекта. Этот метод является дополнительным к иным.

Выбор методов обезличивания осуществляется с учетом полученного от Минцифры России требования. При обезличивании по собственной инициативе оператор может выбрать методы по своему усмотрению.

5. Меры, принимаемые оператором для начала обезличивания персональных данных

Для обеспечения соответствия обезличивания требованиям законодательства в области персональных данных, оператор должен принять те же меры, что и для любой другой обработки персональных данных. Дополнительные требования для обезличивания по собственной инициативе установлены соответствующим приказом Роскомнадзора. Для их соблюдения необходимо:

определить субъектов, чьи персональные данные будут обезличиваться, и состав таких данных, а также выбрать подходящие методы обезличивания;

принять локальные нормативные акты, определяющие порядок обезличивания персональных данных и обработки обезличенных данных, а также правила применения методов обезличивания с учетом специфики каждого из них;

провести оценку достаточности выбранных методов обезличивания для достижения его целей, учитывая правовые основания для обработки данных, категории субъектов и категории обезличиваемых данных;

установить места раздельного хранения исходных персональных данных, обезличенных данных и локальных актов, регламентирующих правила и алгоритмы обезличивания;

определить работников, ответственных за обезличивание, и работников, имеющих доступ к обезличенным персональным данным и локальным актам по вопросам обезличивания;

исключить доступ неуполномоченных работников и третьих лиц к локальным актам и информации о методах и программном обеспечении, используемом для обезличивания;

организовать учет мероприятий по обезличиванию, обеспечивающий подтверждение действий по обезличиванию и операций с обезличенными данными;

использовать средства автоматизации, обеспечивающие безопасность и конфиденциальность как исходных персональных данных, так и данных, полученных в результате их обезличивания.

Эти требования в отдельных случаях обезличивания могут не применяться. Важно учесть, что, несмотря на отсутствие прямого требования о принятии локальных актов в некоторых нормативных актах, их издание рекомендуется для обеспечения безопасности обезличенных данных. Если оператор включен в реестр операторов и планирует обезличивать персональные данные, необходимо уведомить об этом Роскомнадзор. Если обезличивание уже осуществляется, следует проверить наличие сведений о такой обработке в реестре операторов.