Деперсонализация данных на Битрикс - Статьи

Все слышали о 152 ФЗ и о санкциях за его несоблюдение, однако подавляющее большинство российских организаций его не соблюдают. Как минимум в предписанном объеме работ, которые должны быть осуществлены любым оператором персональных данных. И это касается не только зарегистрированных операторов персональных данных, но и других лиц, которые непосредственно работают с данными пользователей.

Пока не было прецендентов наказания за неисполнение 152 ФЗ для средних и мелких организаций и большинство из них нарушает закон надеясь, что Роскомнадзор на них не обратит внимания. Но ситуация может изменится в любой момент, а это значит, что те процедуры которые так долго избегают операторы персональных данных все равно придется исполнять и лучше начать работы уже сейчас т.к. кроме большого штрафа можно надолго парализовать собственную работу.

Что касается 152 ФЗ, то есть и хорошая новость: степень инфраструктурных издержек прямо пропорциональна того типа данных с которыми вы работаете. Всего типов 4 (специальные, биометрические, иные, общедоступные). И возможно тот тип, с которым вы работаете, требует меньший уровень защищенности. Самую серьёзную защиту по обработке и хранению требует данные входящие в первую группу и соответствуют уровню защищенности УЗ-1. К этой группе относятся данные содержащие информацию о пользователе относящуюся к расе, национальности и религии, политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.

Например интернет-магазин чаще всего хранит и обрабатывает персональную информацию относящуюся к УЗ-3, а именно: ФИО, номер телефона, электронная почта. А медицинская компания оперирует данными УЗ-1 относящуюся к здоровью пользователя.

Коммерческие компании решают этот вопросы по разному: кто-то выстраивает инфраструктуру в соответствии со 152 ФЗ, кто-то  отдает обработку персональных данных в специализированные сервисы обработки и хранения персональных данных. Например некоторые частные медицинские компании выносят обработку медицинских данных своих пациентов в специализированное Saas-решение  Инфоклиника.RU, тем самым сведя все издержки только на оплату данного сервиса. Другие используют проверку личности своих клиентов  в Sumsub, полностью избавляясь как от обработки персональных данных, так и ее хранения. Точнее в данном случае следует уменьшение с УЗ-2 – биометрические данные (фотография паспорта) на УЗ-3 - иные данные т.к. паспорт обрабатывался на стороннем сервисе и с этого сервиса пришел ответ «соответствует» и хранится это значение.

Что делать, если для вашей работы требуется хранить и обрабатывать данные относящиеся к специальным и/или биометрическим, а выстраивать инфраструктуру под это (юридическую, техническую, организационную) у вас не хватает ресурсов? Можно пойти на временное решение и воспользоваться юридической лазейкой – деперсонализировать данные. Т.е. обрабатывать информацию таким образом, чтобы никто из персонала не мог идентифицировать пользователя, а сами данные о пользователе и его данных относящихся к УЗ-2 или УЗ-1 хранить обезличено в другом месте. Например пользователь при регистрации вводит свое ФИО полностью, но сотрудники вашей организации обрабатывая данные пользователя и коммуницируя с ним видят только имя, отчество и первую букву фамилии данного пользователя – Иван Иванович И. вместо Ивана Ивановича Иванова. Диагноз Ивана Ивановича И., который видит вам сотрудник нельзя отнести к специальным медицинским данным  т.к. указанный диагноз не  связан с конкретным человеком при обработке данных сотрудником. Что касается хранения пользовательской информации, то здесь нужно разнести две базы данных: с общей информацией о пользователе (тип Иная) хранить отдельно от медицинской информации (тип Специальная) и связывать их только по id пользователя в системе. И конечно медицинскую информацию нужно зашифровать и защитить дополнительно сертифицированным программным СКЗИ.

ВНИМАНИЕ: данное решение будет действовать до тех пор пока есть юридическая лазейка в законе.