четверг, 9 октября 2014 г.

Уточнены условия обезличивания персональных данных государственными и муниципальными органами


6 сентября 2014 года издано постановление Правительства Российской Федерации № 911, которым внесены изменения в постановление Правительства Российской Федерации от 21.03.2012 № 211. Документом, который вступил в силу 18 сентября 2014 года, отменяется обязанность операторов персональных данных – государственных и муниципальных органов осуществлять обезличивание персональных данных, обрабатываемых в их информационных системах.
Для справки: В «Перечне мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» утвержденном постановлением Правительства Российской Федерации от 21 марта 2012 № 211, об обезличивании говорится следующее:

«Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры:
  • Утверждают актом руководителя правила работы с обезличенными данными;

  • Утверждают актом руководителя перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

  • Согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ».
Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, были утверждены приказом Роскомнадзора от 5 сентября 2013 года № 996.
В пояснительной записке к проекту постановления Правительства РФ, размещенной на едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения ( http://regulation.gov.ru/get.php?view_id=12&doc_id=39870 ) отмечалось, что;
«…практика применения норм ФЗ о персональных данных и постановления № 211 показывает, что обработка персональных данных в информационных системах не всегда требует обезличивания персональных данных.

Так осуществление процедуры обезличивания персональных данных может рассматриваться как один из методов обеспечения безопасности персональных данных при их обработке. В связи с чем, при рассмотрении вопроса о необходимости применения процедуры обезличивания персональных данных следует принимать во внимание весь комплекс мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ о персональных данных, в том числе, нормы статьи 19 ФЗ о персональных данных, устанавливающей требования по обеспечению безопасности персональных данных при их обработке, и нормативных правовых актов Российской Федерации, утвержденных в целях реализации указанной статьи.»
Одновременно в пояснительной записке подчеркивалось, что «применение государственными и муниципальными органами обязательной процедуры обезличивания влечёт значительные финансовые, организационные, временные затраты, особенно при реализации такой процедуры в информационных системах персональных данных, созданных до вступления в силу постановления № 211».

Теперь правила работы с обезличенными данными и перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных необходимо будет разрабатывать, только «в случае обезличивания персональных данных».

Обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ будет осуществляться «в случаях, установленных нормативными правовыми актами Российской Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных» (подпункт з).
Пояснительная записка к проекту постановления Правительства РФ «О внесении изменений в Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденный постановлением Правительства Российской Федерации от 21 марта 2012 года № 211»

… применение процедуры обезличивания персональных данных в информационных системах целесообразно применять в отдельных случаях, а именно:
  •  установленных нормативными правовыми актами Российской Федерации (например, размещение органами государственной власти и местного самоуправления в открытом доступе документов, содержащих персональные данные, при условии невозможности определить принадлежность персональных данных, указанных в документах, конкретному субъекту персональных данных);

  • сложившихся в ходе практического применения норм ФЗ о персональных данных и постановления № 211 – перечень таких случаев необходимо установить на уровне акта уполномоченного органа по защите прав субъектов персональных данных.
Источник: Консультант Плюс / Единый портал для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=168403
http://regulation.gov.ru/get.php?view_id=12&doc_id=39870 

2 комментария:

  1. А если данные обезличены - как понять что они персональные ?

    ОтветитьУдалить
  2. Если Вы знаете, что имеете дело с обезличенными данными - то они персональные по определению! :)

    Обезличивание не делает данные "не персональными" и не выводит их из-под действия закона - хотя бы потому, что обезличенные данные часто можно снова связать с физическими лицами (согласно закону, обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных).

    Ну а если Вы про конкретные данные ничего не знаете, то будьте уверены в одном - они почти наверняка каким-то боком связаны хотя бы с одним человеком, т.е. по опеделению, данному в законе (любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу), являются его персональными данными :)

    ОтветитьУдалить