Рынок финансовых и потребительских услуг стремительно цифровизируется: сегодня через интернет можно оформить кредит, записаться к врачу, заказать доставку товаров, подать документы в государственные органы и так далее. В результате персональные данные физических лиц постоянно обрабатываются – их собирают, хранят, анализируют, передают между организациями. Для снижения рисков утечки персональных данных существует способ их обработки – обезличивание.
Что такое обезличенные персональные данные?
Для понимания обезличенных данных оттолкнемся от самого термина «персональные данные».
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть персональные данные – это информация, позволяющая идентифицировать человека и определить, кто это конкретно. Такими данными могут быть ФИО, паспортные данные, телефон, отпечатки пальцев, дата и место рождения и т.д.
Обезличенные персональные данные – это сведения, которые нельзя отнести к конкретному человеку без использования дополнительной информации (например, специального ключа или алгоритма).
Примеры обезличенных данных
- Номер медицинской карты вместо ФИО пациента
- Статистические данные о возрасте и доходе без привязки к конкретному лицу
- IP-адрес без возможности установить, кому он принадлежит
Обратите внимание!
ИНН, СНИЛС, полис ОМС будут являться персональными данными, даже если вместе с ними не указаны ФИО.
Нарушаются ли права физических лиц при обезличивании?
Если обезличивание осуществлено по всем правилам и по таким данным невозможно идентифицировать конкретное лицо, то права физических лиц не нарушаются.
Лица, которые работают с персональными данным, являются операторами персональных данных. Они могут осуществлять такой способ обработки, как обезличивание. Наиболее часто встречающиеся примеры обезличивания – статистические данные, информация об уровне здоровья населения.
Операторы персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Права физического лица не нарушаются, если:
- Исходные данные собираются и обрабатываются легально (с согласия человека или на другом законном основании). По достижению цели обработки данные уничтожаются или обезличиваются
- После обезличивания информацию невозможно связать с конкретным человеком, а значит, его приватность не страдает
- Такие данные можно свободно использовать для аналитики, маркетинга или статистики
Что изменилось с 1 сентября 2025 года?
С 1 сентября 2025 года вступили в силу поправки в Закон о персональных данных.
Уточнены правила обезличивания:
- Появится механизм формирования обезличенных данных. Эти методы будут утверждены Правительством РФ по согласованию с ФСБ и станут обязательны для применения всеми операторами
- Процесс работы с персональными данными будет отражен в локальных документах оператора: что обезличивается, с какой целью и так далее
- Ответственность за «псевдообезличивание» ужесточится
Организации и учреждения перестанут подходить к процессу защиты персональных данных формально, процедура обезличивания персональных данных будет проводиться по установленному регламенту.
Фактически, в связи с окончанием срока обработки данных, организация может их либо уничтожить, либо обезличить. Физическому лицу в данном случае какого-либо уведомления направляться не будет. Узнать, как обрабатываются персональные данные, включая обезличивание, можно путем направления запроса оператору персональных данных.