Защита прав субъекта персональных данных. Надо ли защищать конфиденциальность обезличенных ПДн? Надо
Согласно определения, данного в ФЗ «О персональных данных» от 26.07.2006 г. №152, обезличивание – это способ обработки ПД, в результате которого в обработанных ПД нельзя идентифицировать физическое лицо, которому эти данные принадлежат. Но есть еще одно важное требование, не упомянутое в законе, - такая обработка ПД должна быть обратимой, иначе это будет просто потеря информации.
Студентам в первую очередь предлагается связаться с Юрисконсультом Анной Йоханссон, Службой обучения. Сначала оцените, действительно ли вам действительно нужно обрабатывать личные данные в своих исследованиях. Например, с опросами часто стоит рассмотреть вопрос о том, нужна ли какая-либо идентифицирующая информация для включения в вопросники вообще. Однако имейте в виду, что даже использование имени и адреса лица для рассылки анкеты является формой обработки персональных данных.
Если для ваших исследований необходима обработка персональных данных, укажите в своем исследовательском плане, какие личные данные необходимы и как это необходимо для исследования. Запланируйте также заранее, кто будет служить контроллером файла личных данных, как будут собираться личные данные, как они хранятся и что происходит с ним, когда оно больше не требуется для выполнения исследования или для проверки точности результаты.
А зачем нужно обезличивать ПД? Чтобы сэкономить деньги на их защите – ведь согласно классификации (Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г., № 55/86/20) обезличенные ПД – это 4-й класс защищенности, не требующий защиты конфиденциальности.
Поэтому давайте разберемся, что значит идентифицировать. Идентификация любого объекта – это отождествление, т.е. доказательство однозначного соответствия имеющейся информации об объекте самому этому объекту. Это теоретически возможно если:
1. Все объекты уникальны в рамках имеющейся информации
(все люди разные - задача имеет не более одного решения);
2. Есть хотя бы один человек, обладающий каждым набором имеющихся реквизитов
(вся информация подлинная - задача имеет не менее одного решения).
Также заранее определите, сможете ли вы получить персональные данные из официальных документов и регистров. Составьте план исследования, прежде чем подать заявку на получение разрешения на использование уже зарегистрированных данных, поскольку данные должны быть раскрыты из файла личных данных только для целей, описанных в плане исследований.
Использование исследовательской информации в соответствии с открытыми научными и исследовательскими принципами является растущей тенденцией и все чаще требуется организациями, финансирующими исследования. Аналогичным образом, научные издатели могут потребовать публикации исследовательских материалов в связи с публикацией статей. Обратите внимание, что для бесплатного использования научного сообщества могут быть опубликованы только полностью анонимные данные исследований.
А что значит можно и нельзя идентифицировать? К сожалению, здесь без количественной оценки вероятности никак не обойтись, а это вопрос строго нормативный, и к сожалению никак не решен. Поэтому для понимания мы примем, что если данному набору ПД соответствует малое количество лиц, которые легко локализуются для дальнейшего уточнения, то это значит - можно идентифицировать. И наоборот, если локализовать этих людей нельзя, то и идентифицировать человека по этим ПД нельзя. Понятно, что многое будет зависеть от того, кто занимается локализацией. Поэтому будем считать, что обезличивание - это способ защиты ПД от нарушителя, а не способ сокрытия информации от официальных органов. Т.е. для повышения вероятности идентификации будут использованы лишь общедоступные источники и средства.
Обратите внимание, что настоящие руководящие принципы касаются обработки персональных данных только в научных исследованиях. Чувствительные персональные данные означают персональные данные, которые описывают или предназначены для описания: расы или этнического происхождения; социальной, политической или религиозной принадлежности; профсоюзное членство; уголовное преступление, наказание или другое уголовное наказание; состояние здоровья, болезнь или инвалидность человека или лечение или эквивалентные меры, введенные человеку; половой жизни человека или сексуальных предпочтений; или потребности в социальном благополучии лица или выгоды, поддержку или другую социальную помощь, полученную этим лицом.
Допустим, не удалось доказать, что данный набор ПД принадлежит (принадлежал ранее) только одному лицу. А какие еще возможны варианты? Их два – либо данный набор может принадлежать более, чем одному лицу, либо – менее, чем одному, т.е. никому.
К первому случаю относится любой недостаточный набор ПД (ПД могут принадлежать многим людям одновременно, например, имя или дата рождения) или избыточный набор ПД (например, специально указаны два имени), и здесь очень важно, сколько именно потенциальных субъектов, и чем ограничена эта группа людей (например, человека легче найти по имени, если известно, что это работник предприятия – не надо забывать, что свойства самого набора ПД – это тоже информация!).
Обработка персональных данных означает сбор, запись, организацию, использование, передачу, раскрытие, хранение, манипуляцию, комбинацию, защиту, удаление и стирание персональных данных, а также другие меры, направленные на личные данные. Передача персональных данных означает все ситуации, в которых внешняя сторона или подразделение организации, находящейся в третьей стране, получает персональные данные через контроллер. Передача персональных данных с помощью карты памяти, открытие прямого просмотра через электронное соединение и сохранение данных в облачном сервисе рассматриваются как передача.
Ко второму случаю относятся искаженные ПД (кодировка, маскировка, криптография и т.п.), и здесь возможность идентификации зависит только от степени искажения.
Таким образом, если мы найдем и технически реализуем способ обработки, который приведет ПД к описанным случаям, то значит – мы обезличили ПД. Найти такие способы несложно – можно например их взять из стандарта США NIST SP 800-122 (название можно перевести как «Способы защиты конфиденциальности ПД»). Но официально он у нас не принят, поэтому перейдем сразу к рассмотрению технической реализации.
Раскрытие персональных данных означает ситуации, когда диспетчер выпускает персональные данные другому контроллеру в своих целях. Файл персональных данных означает набор персональных данных, связанных общим использованием и обрабатываемых полностью или частично автоматически или отсортированных в карточный индекс, каталог или какую-либо другую сравнимую доступную форму, так что данные, относящиеся к данному человеку, могут быть легко получены и в разумная стоимость. Обратите внимание, что личные данные, собранные из разных источников, хранящиеся в разных местах и обработанные разными лицами, могут логически принадлежать одному и тому же файлу данных, если цель, для которой используются данные, одинакова.
Начнем со второго случая, как наиболее очевидного. Использование любого вида искажения, основанного на секрете алгоритма (перестановка букв, их замена, добавление помех и т.п.) полезно лишь для кратковременной обработки (передача информации), но не для постоянного хранения. Алгоритм часто известен третьим лицам (реализуется сторонним производителем ПО), что повышает вероятность компрометации. Что касается криптографии – тут все зависит от секретности ключа, т.е. достаточно надежно, но применение этого способа порождает много организационных проблем (обязательность использования сертифицированных средств защиты, получения лицензии ФСБ и т.д.).
Контроллер означает одно или несколько лиц, корпорации, учреждения или фонды, для которых настроен файл личных данных, и кто имеет право определять использование файла или которому был назначен контроль над файлом по законодательству. Субъект данных означает лицо, которому принадлежат персональные данные.
Условия, применимые к обработке персональных данных в исследовательских целях, такие же, как и для других целей, то есть прежде всего данные должны обрабатываться только с добровольного, детального и сознательного согласия человека. Исключительно в исследованиях, когда информация собирается из уже существующих файлов личных данных, личные данные могут обрабатываться без согласия пользователя. Исследование научных регистров не требует согласия субъекта, если оно одновременно удовлетворяет всем следующим условиям.
Первый случай гораздо интересней из-за своей неочевидности. Неочевидность состоит как раз в реализации обратимости. Очень легко можно сделать набор ПД и недостаточным и избыточным – убрать часть данных или добавить лишние, но убранное нельзя выбросить – придется его поместить в другое место, которое не будет доступно одновременно (ни на каком рабочем месте) с оставшимся набором ПД. Если же ПД добавлены, то в недоступное место должна быть спрятана информация об этой разнице.
Чувствительные данные и личные идентификационные номера могут обрабатываться в исследовательских целях. Однако существует требование, чтобы такая информация была важной для научных или статистических целей для однозначного определения темы данных. На практике возникает необходимость записи личных идентификационных номеров, когда личные данные из разных файлов личных данных должны быть объединены для исследования. Обратите внимание, что в плане исследований должны быть указаны надлежащие основания для использования персональных идентификационных номеров.
В стандарте NIST SP 800-122 этот способ указан, как «разделение баз данных с использованием перекрестных ссылок». Такое разделение используется повсеместно при работе с любыми базами данных, но там не стоит задача обезличивания, поэтому базы хоть и разделены в разные хранилища, но имеют логическую связь и потому обрабатываются одновременно.
Чувствительные данные должны быть удалены из файла сразу после того, как основания для его обработки больше не существуют. Основания и необходимость обработки следует переоценивать с интервалом не более пяти лет. При отправке уведомления используйте форму «Описание файла данных научных исследований». Включите сопроводительную записку, указывающую, что представление является обязанностью уведомления в соответствии с разделом 12 Закона о персональных данных, подраздел. Уведомление должно быть подписано ответственным руководителем проекта.
Посмотрим, что нам даст для обезличивания метод перекрестных ссылок. Для этого разделим ПД радикально – в одну базу выделим все идентифицирующие реквизиты (ФИО, дату и место рождения, адрес и телефон, паспорт и т.п.) – пусть это будет справочник физических лиц (по классификации – 3-й класс), в другой базе будет все остальное (обезличенные ПД - 4-й класс). При этом обезличенная база будет общедоступной (в т.ч. через Интернет), а база-справочник должна быть защищена от несанкционированного доступа. Утечка информации произойдет, только если злоумышленник получит базу-справочник и сможет состыковать ее с обезличенной базой. Мы должны эту возможность исключить. Но такая же стыковка нужна оператору ИСПДн для обработки ПД. Как он ее обеспечит?
Обратите внимание, что сбор или обработка персональных данных не допускается - даже с согласия субъекта данных - если данные не нужны для исследования. Примечание. В случае, если вы будете собирать данные для своих исследований непосредственно у самих лиц, вы должны запросить их согласие на использование данных. Содержание формы согласия является значительным, поскольку оно определяет и ограничивает цель, для которой данные могут использоваться. Согласие должно быть подробным и сознательным выражением добровольной воли человека.
Согласие должно также поддаваться проверке позднее, другими словами, в случае более позднего конфликта диспетчер несет ответственность за доказательство того, что согласие было фактически получено. Вы можете запросить согласие, составив документ, включая приведенную ниже информацию. Предоставление субъекту данных копии их письменного согласия является хорошей практикой в отношении обработки данных и обеспечивает юридическую защиту для обеих сторон.
Стыковка (сопоставление) этих баз для реализации обратимости должна производиться по некому коду (идентификатору) – уникальному, но абсолютно абстрактному (нельзя использовать номера документов человека – эти реквизиты будут в справочнике). Суть стыковки состоит в сравнении идентификатора из одной базы с идентификатором другой базы – когда они одинаковы, значит, информация двух баз состыкована. Если сравнение производится на рабочем месте справочной ИСПДн, то здесь обезличенная база может быть доступна (доступность будет односторонняя, и при этом класс ИСПДн будет выше 3-го), но если сравнение производится на рабочем месте обезличенной ИСПДн, то база-справочник на этом месте недоступна, и в этом случае идентификатор из справочника может попасть в обезличенную базу только через внешний носитель. При этом внешний носитель не должен иметь реальных реквизитов того человека, код которого в нем записан. Хотя может иметь абстрактные признаки (цвет, рисунок и т.п.).
Согласие должно содержать как минимум следующую информацию. Вы можете использовать форму для информирования субъектов о целях информирования субъектов этой цели. На практике достаточно, чтобы субъект получал необходимую информацию в той или иной форме. Если личные данные собираются и обрабатываются только для научных исследований, субъект данных не имеет правового права проверять данные, записанные в файле данных только для исследовательских целей. Практическим последствием является то, что субъект данных не имеет возможности требовать исправления любых неточных данных в файле.
Для того, чтобы человека можно было обслуживать в рамках обезличенной базы, он должен каждый раз предъявлять этот самый внешний носитель, т.е. постоянно носить его с собой. При этом внешний носитель может иметь любую природу (бумажный, пластиковый, металлический), а абстрактные признаки носителя будут понятны только хозяину и позволят легко отличить свой носитель от чужих.
Если вы сами получили данные от самих исследовательских субъектов, обычно рекомендуется соблюдать их запросы на информацию, по крайней мере, если предоставление информации не является чрезмерно трудоемким или неудобным. Описание файла является важным инструментом в обработке персональных данных. Вы можете быть контролером персональных данных в качестве отдельного исследователя, или контроллер может быть исследовательской группой, университетом, его партнером по контракту, стороной, которая заказала исследование, или и тем и другим, в зависимости от того, для кого был создан файл данных и кто имеет право принимать решение и определять его использование.
Такой способ обезличивания кажется настолько простым, что возникают сомнения в его эффективности и надежности. Насколько уменьшатся затраты на создание системы защиты с использованием обезличивания? Что будет, если человек потеряет этот носитель, или его украдут с целью получения доступа к ПД хозяина? Подобные вопросы возникают, и наверняка будут возникать, но это не может служить причиной для отказа от новых технологий, а только поводом для дальнейшего их совершенствования.
Контроллер определяется в соответствии с тем, кто обладает полномочиями в отношении исследования и собранных для него материалов данных. Другими словами, кто несет ответственность за обработку данных, необходимую для завершения исследования на практике. Решение о том, кто или какая сторона будет выполнять функции контролера, должно быть принято до утверждения плана исследования.
Вопрос о том, финансируется ли исследование как внутри, так и снаружи, также влияет на это. Например, в совместных исследовательских проектах, финансируемых извне, контроллер - это организация, в которой работает исследователь. Если исследователи других сторон проекта обрабатывают одни и те же личные данные, то контроллеры являются организациями-партнерами.
Несмотря на остроту проблемы и простоту реализации, данный способ использования внешних носителей в процессе обезличивания ПД был запатентован только в апреле 2011 года нашей организацией (
Что-то в последнее время стало модно подменять понятие "защищенные ПДн" термином "обезличенные ПДн". Типа если ПДн обезличены, то и защищать их не надо (ну, или не надо защищать их "конфиденциальность"). А точнее, что если ПДн обезличены, то можно не выполнять многие требования ФСТЭК России по безопасности ПДн, а значит существенно снизить нагрузку (в том числе и денежную) на операторов ПДн. Ох, как это не верно и даже опасно. Ведь такие мысли создают ошибочное чувство защищенности...
Контролер несет ответственность за то, что личные данные обрабатываются в соответствии с положениями Закона о персональных данных. В совместных исследованиях это должно быть решено уже на этапе согласования проектного соглашения и согласовано в рамках проектного соглашения о том, какая организация является ответственным контролером для исследования, кто будет участвовать в обработке персональных данных и как ответственность за обработку персональных данных данные будут разделены между сторонами. В разделе.
Составьте описание файла, прежде чем начинать исследование, требующее обработки персональных данных. Описание файла должно храниться там, где оно обычно доступно, например, на рабочем месте контроллера или в веб-службе. Обратите внимание, что отдельные электронные файлы данных, а также ручные списки и карточные каталоги также считаются частью одного и того же файла личных данных, если они используются для одних и тех же функций.
Мысль номер раз. Про возможность отказа от мер защиты
Сейчас про обезличивание ПДн написано не много. Начнем со 152-ФЗ. Главное, что в нем определен термин:
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Вы можете использовать шаблон «Описание файла данных научных исследований», подготовленный Омбудсменом по защите данных. Псевдонимизация или удаление прямых идентификаторов могут использоваться для защиты данных, которые не нужны для проведения исследования или для правильной проверки результатов. Когда это возможно, научные исследования всегда должны быть направлены на обработку данных таким образом, чтобы объекты данных были неидентифицированы из данных.
Если нет конкретных положений о секретности, применяются положения секретных обязательств Закона о персональных данных. Защитите личные данные, которые вы собираете, с помощью необходимых мер, таких как обеспечение того, чтобы ни один аутсайдер не имел к нему доступа. Защищать данные от повреждений или быть незаконно уничтоженными, измененными или переданными или подверженными другой незаконной обработке. Необходимо обеспечить защиту данных на всех этапах обработки, начиная с первоначальной коллекции данных и заканчивая ее окончательным уничтожением.
В ст.5 п.7 говорится:
"Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом."
Еще есть небольшое упоминание в ст.6 "Условия обработки ПДн"
"1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;"
Все, больше в 152-ФЗ нет ничего про обезличивание. Кстати, ничего не сказано про обезличивание и в Постановлении Правительства №1119 . А в Приказе ФСТЭК России №21 обезличивание упоминается только один раз в мере ЗНИ.8 " Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания " (базовая мера для УЗ 1-3).
Это я к тому, что на данный момент наличие обезличивания ПДн не является обоснованием того, что можно не выполнять какие-либо меры защиты . Но это скоро поправят. Напомню, что в проекте изменений 152-ФЗ, про который я уже упоминал , есть интересное положение. А именно, хотят дополнить ст.7 152-ФЗ (которая про конфиденциальность ПДн) следующим положением:
2. Обеспечение конфиденциальности персональных данных не требуется в отношении персональных данных , сделанных общедоступными субъектом персональных данных, в отношении данных, полученных оператором в результате обезличивания персональных данных , а также в отношении персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Вот тогда-то мы и сможем "официально" отказываться от мер по защите "конфиденциальности" ПДн. Правда меры по защите "целостности" и "доступности" ни кто не отменял, но это другая история.
Мысль номер два. Про защиту конфиденциальности
Еще у нас есть замечательные
документы РКН:
- Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") (Зарегистрировано в Минюсте России 10.09.2013 N 29935)
- "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013)
Посмотрим их поподробнее. Начнем с Приказа №996, он короткий (всего 5 страниц).
Сразу видим "Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. " (т.е. защита "конфиденциальности" уже вроде как подразумевается).
Ну, ок. Читаем дальше: "К характеристикам (свойствам) методов обезличивания персональных данных относится... стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных) . Можем ли мы считать этот параметр "ответственным" за обеспечение конфиденциальности обезличенных ПДн? Скорее да... При этом все представленные методы обезличивания обладают "стойкостью" (с некоторыми мелкими допущениями).
А "Рекомендации" уже интереснее... В них на 17 страницах описаны конкретные процедуры и рекомендации по использованию методов обезличивания, а также приведены примеры обезличенных данных. Кстати, в документе вместо параметра "стойкость" стали использовать термин "анонимность" (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации). Ну, это уже мелочи, хотя и про защиту "конфиденциальности".
В документе говорится, что "При хранении обезличенных данных Оператору следует: ...обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания. ". Про то, что следует обеспечивать "конфиденциальность" обезличенных данных нет ни слова. Вроде как предполагается, что это делать не надо. И это главная методологическая ошибка!!!
Чтобы это понять, достаточно просто взять примеры из приложения к документу. Напомню, что там представлена первоначальная таблица с ПДн и итоговые таблицы с обезличенными ПДн после преобразования.
Возможно, будет полезно почитать:
- Аббатство - это католический монастырь ;
- Самые распространенные расклады ;
- Быт и обычаи Обычаи и нравы 19 века ;
- К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
- Основные характеристики марса ;
- Должностная инструкция транспортного экспедитора ;
- Татаро-монгольское иго или история о том, как ложь стала правдой ;
- Журавль толкование сонника ;