Алексей Ветров
Эксперт по защите данных IC-TECH
Нет, обезличенные данные не считаются персональными, если в результате обработки невозможно определить конкретное лицо без использования дополнительной информации. В этом случае такие данные утрачивают статус персональных и могут использоваться свободно — для аналитики, статистики, исследований, разработки моделей.
Однако важно учитывать: если обезличивание выполнено формально и остаётся возможность определить личность человека (например, в маленьком коллективе или при сохранении уникальных комбинаций признаков), то такие данные продолжают считаться персональными.
Однако важно учитывать: если обезличивание выполнено формально и остаётся возможность определить личность человека (например, в маленьком коллективе или при сохранении уникальных комбинаций признаков), то такие данные продолжают считаться персональными.
Обоснование по законодательству
- Ст. 3 ФЗ-152, п. 6 — обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность данных конкретному субъекту.
- Ст. 6 ФЗ-152, ч. 1, п. 11 — допускает обработку обезличенных данных без согласия субъекта для статистических и исследовательских целей.
- Ст. 5 ФЗ-152 — принцип минимизации: рекомендуется использовать обезличенные данные, если нет необходимости идентифицировать личность.
Практика проверок Роскомнадзора
- В образовательной организации опубликовали списки студентов с зачетными номерами вместо ФИО. Проверка подтвердила, что данные в такой форме являются обезличенными и не подпадают под ФЗ-152.
- В другой компании вместо ФИО указали инициалы и должности работников. Роскомнадзор признал, что этого недостаточно: в маленьком отделе по этим данным легко установить личность, значит — это всё ещё персональные данные.
Важный нюанс
Обезличенные данные перестают быть персональными только при условии, что невозможно восстановить личность. Если оператор хранит таблицу соответствия (например, ФИО и ID-код) и имеет доступ к ней, сами коды остаются персональными, пока связь не уничтожена или не защищена надлежащим образом.
Рекомендации и выводы
Обезличенные данные перестают быть персональными и могут обрабатываться без согласия субъекта. Чтобы данные действительно считались обезличенными:
- Исключите возможность идентификации личности без использования дополнительных сведений.
- Уничтожайте или надёжно защищайте таблицы соответствия «ФИО — код».
- Используйте обезличенные данные только для целей анализа, статистики, исследований.
- Зафиксируйте порядок обезличивания и использования данных в комплекте документов по 152-ФЗ.
Компания ICTech поможет вашей организации правильно выстроить процесс обезличивания данных и закрепить его в локальных документах. Это позволит безопасно использовать данные и снизить нагрузку при соблюдении ФЗ-152.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
