В ноябре 2012 года британское Управление уполномоченного по информации (Information Commissioner's Office, ICO), в чьи обязанности входит надзор за исполнением законодательства о защите персональных данных, опубликовало документ, описывающий хорошую практику анонимизации персональных данных.
Документ под названием «Анонимизация: Управление рисками при защите персональных данных – Свод хорошей практики» (Anonymisation: Managing data protection risk - Code of practice) объёмом 108 страниц доступен по адресу http://www.ico.org.uk/~/media/documents/library/Data_Protection/Practical_application/anonymisation_code.ashx .
В предисловии к документу отмечается:
Данный свод практики был написан для широкой аудитории, и в нем вопрос анонимизации рассматривается исключительно в контексте закона о защите персональных данных (Data Protection Act 1998, DPA) и закона о свободе доступа к государственной информации (Freedom of Information Act 2000, FOIA).Источник:
В документе обсуждаются вопросы, связанные с анонимизацией персональных данных, а также с раскрытием данных после анонимизации. Рассказывается о соответствующих правовых концепциях и требованиях, содержащихся в законодательстве о персональных данных. Свод содержит основанные на хорошей практике советы, которые будут полезны для всех организаций, которым нужно преобразовать персональные данные в форму, исключающую возможность идентификации физических лиц. В документе под «анонимизированными данными» понимаются данные, которые сами по себе не позволяют идентифицировать личность их субъекта, и при этом маловероятна идентификация кого-либо из субъектов данных при использовании этих данных в сочетании с другими данными.
Закон о защите персональных данных не требует, чтобы анонимизация полностью исключала риск - риск идентификации следует снижать до тех пор, пока он не станет маловероятным. Если же риск идентификации в разумной степени велик, то информацию следует рассматривать как персональные данные – такой подход был подтвержден имеющей силу прецедента судебной практикой Верховного суда (High Court). Само собой, 100% надёжная анонимизация является наиболее желательным решением, и в некоторых случаях это возможно, однако закон этого не требует.
Приложения к своду практики содержат примеры различных методов анонимизации и повторной идентификации.
Свод показывает, что эффективная анонимизация персональных данных возможна, желательна и может помочь обществу сделать доступными ценные информационные ресурсы, одновременно обеспечивая неприкосновенность частной жизни людей. Сейчас вопрос анонимизации особенно актуален в связи с тем, что всё больше информации раскрывается в рамках инициатив «открытых данных», а также самими физическими лицами, размещающими свои персональные данные в Интернете.
Мы надеемся, что свод показывает, что в определенных обстоятельствах анонимизация не обязательно должна быть обременительным процессом. Порой довольно простые методы могут оказаться очень эффективными.
Определенная информация, - особенно наборы данных, содержащие конфиденциальные персональные данные, - определенно будут требовать большей осторожности. Связанные с анонимизацией проблемы могут оказаться сложными для больших баз данных, содержащих широкий спектр персональных данных. Особенно в таких сложных ситуациях организациям следует подумать о привлечении опытных специалистов.
http://www.ico.org.uk/~/media/documents/library/Data_Protection/Practical_application/anonymisation_code.ashx
Комментариев нет:
Отправить комментарий