SEO-корпус

Обезличивание персональных данных · требования и когда применять

·6 мин152-ФЗ · обезличивание · персональные данные · Роскомнадзор · обработка данных

Компания собрала миллион анкет клиентов, отдел маркетинга хочет считать на этих данных аналитику, а служба безопасности боится отдавать сырую базу подрядчику. Знакомая развилка. Выход, который называет сам закон, это обезличивание. Если из набора убрать всё, что связывает запись с конкретным человеком, аналитику можно гонять почти свободно, а риск утечки персональных данных резко падает. Звучит просто, но на практике операторы путают обезличивание с псевдонимизацией, считают замену фамилии на номер достаточной мерой и потом получают претензию Роскомнадзора. Разберём, что именно закон считает обезличиванием и где у этого инструмента границы.

Что закон называет обезличиванием

Определение дано прямо. Обезличивание персональных данных это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3 152-ФЗ). Ключевое здесь словосочетание «без использования дополнительной информации». Закон не требует, чтобы восстановить связь было невозможно в принципе. Он требует, чтобы по самому обезличенному массиву, взятому отдельно, нельзя было понять, кто этот человек.

Из этой формулировки вытекает практический вывод. Если вы заменили имя клиента на код, а таблицу соответствия «код · имя» храните в том же месте и тем же сотрудникам открыли доступ, обезличивания не произошло. Дополнительная информация лежит рядом, связь восстанавливается одним джойном. Настоящее обезличивание это разделение. Идентифицирующая часть отделяется, хранится отдельно, под отдельным доступом, а в работу уходит только обезличенный массив.

Важно видеть, что обезличивание это одна из операций обработки. В том же п. 3 ст. 3 законодатель перечисляет действия с данными и прямо называет среди них обезличивание наряду со сбором, хранением, передачей, блокированием, удалением и уничтожением. Значит, обезличивание это не выход за пределы закона о персональных данных, а действие внутри него. Пока существует та самая дополнительная информация, способная вернуть идентификацию, оператор остаётся оператором со всеми обязанностями.

Когда обезличивание обязательно, а когда выгодно

Есть случай, где обезличивание прямо предписано законом. Обработка персональных данных в статистических или иных исследовательских целях допускается при условии обязательного обезличивания персональных данных (п. 9 ч. 1 ст. 6 152-ФЗ). Иначе говоря, нельзя гонять статистику и исследования на сырых идентифицируемых данных под предлогом «у нас же согласие». Для исследовательской цели закон требует именно обезличенный массив, и это императив, а не рекомендация.

Отдельно закон описывает работу с данными, которые уже прошли обезличивание. Их обработка допускается в целях повышения эффективности государственного или муниципального управления и в иных целях, предусмотренных названными в норме федеральными законами об экспериментах с искусственным интеллектом и об экспериментальных правовых режимах (п. 9.1 ч. 1 ст. 6 152-ФЗ). Это режим для крупных датасетов, на которых обучают модели и считают управленческую аналитику. Для частного бизнеса важна логика. Обезличенные данные открывают цели, которые на сырых данных были бы спорными.

Коммерческой компании обезличивание выгодно даже там, где формально оно не обязательно. Обезличенный массив проще отдать подрядчику по аналитике, на нём дешевле строить витрины, его утечка не образует состав по «утечечным» частям ст. 13.11 КоАП, потому что без дополнительной информации это уже не сведения о конкретных людях. Это управление риском, а не только соблюдение буквы.

На что смотрит проверяющий

При проверке оценивают не намерение, а результат. Проверяющий берёт обезличенный массив и пытается понять, можно ли из него восстановить личность только тем, что в массиве есть. Слабые места повторяются из дела в дело.

Первое, доступ к таблице соответствия. Если ключ к деобезличиванию лежит у тех же людей, что работают с обезличенным массивом, защита считается фиктивной. Второе, квазиидентификаторы. Уберите фамилию, но оставьте точную дату рождения, индекс и редкую профессию, и человек вычисляется пересечением полей. Третье, малые группы. В выборке по узкому региону единственная запись с конкретным набором признаков идентифицирует субъекта сама собой. Сильное обезличивание устраняет именно эти каналы, а не только прямые идентификаторы.

Частые ошибки

Подмена обезличивания псевдонимизацией. Замена имени на токен при сохранённой и доступной таблице соответствия это псевдонимизация. Связь восстанавливается, дополнительная информация под рукой, обязанности оператора сохраняются в полном объёме.

Хранение ключа рядом с массивом. Разделение должно быть и логическим, и по доступу. Один администратор с правами на обе таблицы обнуляет всю конструкцию.

Игнорирование комбинаций полей. Оператор гордо удаляет ФИО и считает задачу решённой, забыв, что геолокация плюс модель устройства плюс время визита нередко указывают на человека точнее, чем имя.

Частые вопросы

Обезличенные данные это всё ещё персональные данные. Зависит от того, существует ли дополнительная информация для восстановления связи и кто ею владеет. Пока такая информация есть у оператора, он остаётся в периметре закона. Если способность вернуть идентификацию устранена по существу, набор перестаёт относиться к конкретному человеку, и режим персональных данных к нему не применяется.

Нужно ли согласие субъекта на само обезличивание. Обезличивание это действие внутри обработки. Если исходная обработка ведётся на законном основании, например по согласию или по договору из ст. 6, отдельного согласия именно на обезличивание закон не вводит. Более того, для статистических и исследовательских целей обезличивание прямо предписано как условие самой обработки.

Можно ли передавать обезличенный массив подрядчику свободно. Свободнее, чем сырой, но с осторожностью. Передавать стоит так, чтобы у получателя не оказалось дополнительной информации для восстановления личности и чтобы комбинации оставшихся полей не выдавали субъектов. При работе с подрядчиком оформляйте поручение обработки по правилам ст. 6 и фиксируйте ответственность.

Обезличивание это рабочий инструмент, а не магическое слово в политике. Сила в разделении идентифицирующей части и в честной проверке остаточного риска по комбинациям полей. Если планируете строить аналитику, обучать модели или отдавать данные на сторону, выстройте обезличивание заранее и проверьте его как сделал бы Роскомнадзор. Поможем спроектировать процедуру и закрыть слабые места, напишите нам.