Опубликован проект постановления правительства о правилах взаимодействия регулятора в сфере информационных технологий, т.е. Минцифры, с операторами персональных данных (ПД) на предмет обезличивания ПД.
О технической стороне дела, т.е. о методах обезличивания (их определяет правительство по согласованию с ФСБ), речи нет. Документ описывает только организацию процесса.
Она такова. Для получения обезличенного набора ПД Минцифры направляет запрос оператору ПД, указывая, какие именно данные («наименование каждого из атрибутов, их формат, используемый метод и параметры обезличивания, условия выборки данных») и к какому сроку должны быть предоставлены. Оператор ПД обезличивает запрошенные данные и передаёт их Минцифры. Допустимо использовать СМЭВ – в этом случае на рассмотрение (не исполнение – ред.) требования оператору ПД отводится как минимум три дня. Если у оператора доступа к СМЭВ для передачи данных Минцифры нет, срок рассмотрения требования составляет не менее 15 дней. Передаваемые вне СМЭВ данные защищаются криптографически с соблюдением национальных стандартов криптозащиты.
Собственно обезличивание ПД – забота оператора. Минцифры может предоставить оператору софт, «реализующий предписываемые …методы обезличивания» ПД.
Если оператор представит по требованию Минцифры не те или неполные или недостоверные данные, или неверно обезличенные ПД, процедуру придётся повторить по дополнительному запросу регулятора. На рассмотрение требования оператору отводится 10 дней.
Не вполне ясно, что полагается делать в случае неверного обезличивания. Если, например, ПД переданы оператором в виде, допускающем сопоставление записи ПД конкретному человеку, – где, когда и чья ответственность за сохранность этих данных наступает.
