Обезличивание — не защита, а тревожный маркер для Роскомнадзора ❗️
Когда компания говорит:
«Мы ничего не нарушаем, у нас все обезличено»,
в РКН это слышат как:
«Мы не очень понимаем, что делаем с персональными данными».
📌 Обезличивание не является магической отговоркой, это сигнал риска. Разберемся, почему.
⏩ Обезличивание ≠ выход из-под 152-ФЗ
По закону, обезличенные данные — это те, которые нельзя связать с человеком без дополнительной информации. Но на практике все выглядит иначе:
— из обезличенных логов легко восстанавливают ФИО по дате визита и типу услуги;
— маркетинг анализирует поведение пользователей по IP, cookies и device ID, и это уже обработка ПДн;
— компании считают, что убрали фамилию и этого достаточно. Но нет.
❗️ Все это не освобождает компании соблюдать 152-ФЗ
⏩ Почему Роскомнадзор не верит в обезличивание
Потому что для негосударственных компаний нет утвержденных методов обезличивания, которые признаются надзором.
Если вы пишете:
«Мы все обезличиваем, поэтому не нужно согласие», РКН видит:
— в политике,
— в уведомлении,
— в согласии.
❗️ В глазах регулятора это нарушение. Особенно если данные идут в аналитику, ML, или используются для таргетинга
⏩ Обезличивание не снимает ответственности
Даже если вы все сделали грамотно, разнесли ключи и хранимые массивы, — у вас все равно остаются обязательства:
— информировать субъекта об обработке;
— защитить каналы передачи;
— оформить порядок доступа и хранения;
— вести учет и контроль.
❗️ Обезличивание не освобождение от закона. Это всего лишь один из методов обработки
Какой вывод?
Настоящее обезличивание это сложно, дорого, формализовано. А вот ссылаться на него легко, но вместе с тем и рискованно.
Хотите использовать обезличенные данные? Отлично. Но тогда с вас четкий процесс, основание, меры защиты и документальное оформление.
Мы поможем проверить, действительно ли данные обезличены, и стоит ли вообще использовать этот термин в документах. Иначе обезличивание превратится в личную встречу с проверкой 👥
😎
