Top.Mail.Ru

Когда и зачем нужно обезличивать персональные данные

Обезличивание персональных данных (не важно, сотрудников или клиентов) – ​это инструмент, который может быть использован для разных целей компании. Стимулирование продаж, мотивация сотрудников, тестирование систем автоматизации управления предприятием, создание позитивного образа: вот неполный перечень мероприятий, для которых оно может понадобиться. Узнаем, как организовать обезличивание и зафиксировать его в локальных нормативных актах.

Начнем с определения. Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» обезличивание персональных данных – это действия, в результате которых становится невозможным без использования дополнительной информации определить их принадлежность конкретному субъекту персональных данных.

Зачем нужно обезличивать персональные данные

Что такое обезличивание, интуитивно понятно, но не ясно, зачем это делается. Есть массив информации, которая представляет интерес для организации. Например, CRM-система позволяет находить более гибкие подходы к клиентам. Выгода от использования такой информации заключается в ее точности. Например, компания может угодить клиенту, используя данные о его предыдущей жизни и деятельности: начиная от даты рождения, географического профиля, заканчивая историей покупок. Однако как только информация обезличивается, связь с конкретным лицом теряется.

Так зачем же такая, на первый взгляд, деструктивная процедура предусмотрена в законодательстве? Действующие нормативные правовые акты ответа на этот вопрос не дают. Есть приказ Роскомнадзора 1, регламентирующий общие основы обезличивания персональных данных в деятельности государственных и муниципальных органов власти. Но это общие контуры процесса, не раскрывающие его суть. Как разобраться, зачем это необходимо? Понимание появляется, если мы обратимся к примерам из практики.

Пример 1

Представьте себе крупный банк, который обслуживает десятки миллионов транзакций частных клиентов ежедневно: поступления зарплат, выдача наличных, платежи за сотовую связь и Интернет, покупки в обычных и интернет-магазинах, бонусные программы и т.д. Обработка таких транзакций осуществляется в автоматическом режиме с минимальным участием человека.

Бизнес банка устойчив, постепенно количество клиентов растет, а количество транзакций растет еще быстрее. Ответственные лица в банке понимают, что старое оборудование и программное обеспечение имеют ограниченные возможности и вскоре наступит момент, когда существующие ресурсы системы будут исчерпаны. Заранее начинается работа по наращиванию возможностей системы. Это может быть закупка более быстро действующего оборудования или замена программного обеспечения, а может быть и то и другое вместе. Прежде чем новая система будет введена в эксплуатацию, нужно убедиться, что она работает. Ибо в случае неудачи это нанесет по репутации организации катастрофический удар.

С этой целью проводится тестирование возможностей системы. Довольно длительное и затратное мероприятие. Проверяются функциональные возможности системы, позволяет ли она выполнять необходимые операции. Но более существенна в данном случае не возможность проведения единичных конкретных транзакций, а способность системы выдерживать поток операций, сопоставимых с тем потоком, который на нее обрушится в процессе эксплуатации.

Для оценки соответствия системы новым требованиям проводится нагрузочное тестирование. С помощью специальных программных и аппаратных средств банковская система нагружается запросами, а специалисты наблюдают за ее поведением. В процессе такого тестирования выявляются специфические ошибки. Их причины могут быть самыми разными: недостаточная пропускная способность каналов связи, несовместимость с другими системами, используемыми банком, несовершенство нового программного обеспечения и т.д. Но ключевыми ошибками, выявляемыми в ходе нагрузочного тестирования, являются ошибки, связанные с базами данных.

От того, как банк хранит информацию о клиентах, зависит быстродействие обработки информации. На небольших объемах это может быть незаметно, но с ростом количества операций сложность обработки растет и несовершенства проявляются в виде неспособности системы обработать запросы пользователей. Понятно, что если дать высокую нагрузку, то любая система сломается. Мастерство нагрузочного тестирования заключается в способности предусмотреть именно ту нагрузку, с которой будет работать система в период ее эксплуатации.

И тут критичным становится вопрос: насколько используемая база данных отражает реальность, с которой система столкнется в процессе эксплуатации. Естественно, тестировать систему на реальной базе данных неприемлемо по соображениям безопасности. К тому же это репутационный риск. Многие клиенты панически боятся, что данные об их банковских операциях могут стать общедоступными.

В таком случае можно создать тестовую базу данных. Пишутся программы, которые создают случайных вымышленных пользователей в отдельной базе данных, по структуре аналогичной базе данных клиентов, используемой банком. Этим вымышленным клиентам заводятся счета, делается история операций – почти все как у реальных клиентов. Но практика показывает, что реальная жизнь гораздо более насыщена случайностями и сложностями, чем может представить фантазия одного или даже команды программистов, создающих тестовую базу данных. Например:

  • у одного клиента может быть один счет, а другого – сотни;
  • к одному счету может быть привязано более одной банковской карты;
  • счета могут быть арестованы;
  • может быть разная интенсивность операций;
  • могут быть многочисленные переводы между картами внутри банка, которые должны быть синхронизированы.

Попытки сделать тестовые базы данных максимально близкими к реальным связаны с резко увеличивающейся сложностью работ по мере приближения к оригиналу. Это связано с затратами времени и труда высокооплачиваемых специалистов. Но самое главное ограничение по срокам обусловлено планами банка, что, в свою очередь, диктуется конкурентной борьбой на рынке банковских услуг.

В условиях, когда нужно быстро создать нечто подобное базе данных, используемой конкретным банком, с десятками миллионов уникальных пользователей, на помощь приходит обезличивание. Чем пытаться создавать новую тестовую базу данных, похожую на оригинал, проще и гораздо дешевле взять оригинал и изменить его до неузнаваемости владельцев конкретных счетов. Обезличенную базу данных можно использовать в тестировании.

При этом всегда существует минимальный риск, что, если база данных станет известна злоумышленникам, из нее будет возможно извлечь необходимую информацию, поэтому только обезличиванием меры по защите информации, как правило, не ограничиваются. Тем не менее наиболее важное в данном случае – сложность. Разбираться в миллиардах транзакций, не имея удобного инструмента поиска по базе данных, запредельно долго.

Ключевое в обезличивании – это усложнение работы злоумышленникам. Их затраты на восстановление исходной базы данных становятся несопоставимы с возможной выгодой.

Безопасность превыше всего

У небольших компаний может возникнуть вопрос: может ли нам быть полезно обезличивание? Позволит ли этот инструмент работы с персональными данными помочь решению повседневных задач компании? Сразу возникает сомнение. Если объемы информации, которыми вы оперируете, не так значительны, то даже в обезличенной базе данных недобросовестные лица могут разобраться довольно быстро. Однако не спешите отказываться от использования обезличенных персональных данных. Даже в маленьких компаниях этот инструмент может оказаться полезен.

Мотивы применения обезличивания при этом остаются теми же самыми – обеспечение безопасности информации посредством затруднения доступа к представляющим интерес данным и использования их против компании.

При этом угрозы безопасности не ограничиваются утечкой данных о клиентах. Угрозу компании могут представлять бывшие работники, недовольные клиенты.

Пример 2

У организации есть корпоративный портал. Она издает корпоративную газету или журнал. В целях мотивации сотрудников и на сайте, и в печатном издании публикуются истории успеха талантливых и инициативных работников организации. Со временем отношения работник-работодатель могут поменяться. Пока сотрудник трудится в организации, работодатель имеет широкие возможности для воздействия на него. Однако если он уволился, а тем более уволился со скандалом, использование персональных данных сотрудника в корпоративных изданиях организации может вызвать дополнительные сложности. Если к газетам и журналам организации, изданным во время действия трудовых отношений, бывшим работникам будет сложно придраться, то аналогичная информация, вовремя не измененная на корпоративном сайте организации, может доставить работодателю немало неприятностей. В таком случае могло бы помочь обезличивание персональных данных при его заблаговременном применении.

Есть и другие ситуации, когда обезличивание оказывается полезным. Крупные технологические компании активно используют большие объемы обезличенных данных для обучения искусственного интеллекта. Сбор и обработка статистической информации также сопровождается обезличиванием исходных данных. Возьмем пример из работы с кадрами. Для аналитиков и консультантов, занимающихся оптимизацией работы организаций, могут быть важны некоторые персональные данные работников оптимизируемой организации без привязки к конкретным персоналиям. Разработка и оценка...

Вы видите 20% этой статьи. Выберите свой вариант доступа

Купить эту статью
за 300 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Внимание!
20% скидки на 2 полугодие 2021 г. на электронную версию журнала только в мае + специальный промокод от 10% на любой тип подписки (бумажная, электронная, комплект с доступом к базе знаний) = скидка от 30%

Рекомендовано для вас

Считаем сроки исковой давности по трудовым спорам

Судебных споров с работниками, особенно в нынешних реалиях, не избежать. Сроки для обращения в суд по трудовым спорам значительно отличаются от иных споров. Рассматриваем споры об увольнении, возмещении работником ущерба, невыплате или не полной выплате зарплаты, денежной компенсации при задержке оплаты труда и др. Рассказываем про последствия пропуска срока для обращения в суд и даем образец заявления о применении срока исковой давности. Ведь при расчете срока значение приобретает каждый день.

Дистанционная работа по-новому

С 2021 г. нормы о дистанционной работе в ТК РФ претерпели значительные изменения. Наконец-то узаконили комбинированную дистанционную работу, когда сотрудник трудится то дома, то в офисе. Для большинства документов отменили использование усиленной квалифицированной электронной подписи. В исключительных случаях разрешили переводить на «удаленку» без согласия работников. Мы проанализировали наиболее важные изменения, сравнили с ранее действовавшими нормами; подсказали, в какие документы нужно внести правки и предложили формулировки. А также попросили экспертов рассказать о выгодных для работодателя нововведениях и оставшихся проблемах.

Можно ли не индексировать зарплату?

Коммерческие организации индексацию зарплаты не очень жалуют. Оплата труда в большинстве случаев у них явно выше МРОТ, поэтому сотрудники чаще всего с пониманием относятся к отсутствию индексации. К тому же механизм индексации в ТК РФ четко не прописан, поэтому если дело и доходит до суда, то суды в этих вопросах нередко встают на сторону работодателей. А вот Роструд считает, что индексация обязательна. Давайте разбираться, кто должен ее проводить по мнению проверяющих, в каком размере и как, а также какая ответственность грозит компании, если она не индексирует зарплату.

Топ-7 злоупотреблений работником правом

Работодатели знают, что далеко не все работники – ​«невинные овечки». Нередко встречаются те, кто «все знает» и «всегда прав». Такие ждут трудового конфликта, надеясь использовать свое «слабое положение» и заставить работодателя заплатить (в прямом и переносном смысле). Они обвиняют работодателей в дискриминации, сознательно уклоняются от подписания трудового договора, самовольно уходят в отгулы и отпуск, злоупотребляют беременностью или скрывают факты нетрудоспособности. Проанализируем самые часто встречающиеся случаи злоупотребления правом работником и дадим советы, как свести их к минимуму.

Топ-10 нарушений трудового законодательства

Сколько найдется в России работодателей, которые ни разу не нарушали нормы Трудового кодекса РФ? Ответ очевиден: немного. А все потому, что нарушения подстерегают их практически на каждом шагу. И чтобы бороться с ними, надо знать «врага в лицо». В статье мы рассмотрим самые распространенные промахи, которые компании допускают в отношениях с работниками.

Семь способов уволить нерадивого сотрудника

Многим известно, что уволить работника при отсутствии его желания не так просто, как может показаться на первый взгляд. Свидетельством тому являются, например, многочисленные споры, победу в которых чаще всего празднуют именно работники. Однако это вовсе не означает, что работника нельзя уволить вообще. Рассмотрим наиболее популярные и, что не менее важно, эффективные способы расстаться с работником, несмотря на отсутствие у него такого желания, и при этом избежать риска «получить» уволенного обратно.

Компенсация морального вреда в трудовых отношениях

Подавая в суд на работодателя, сотрудник наряду с основным требованием обычно просит взыскать еще и компенсацию морального вреда. Причем заявляемые суммы могут достигать сотен тысяч рублей. Расскажем, что такое моральный вред, как необходимо обосновывать его сумму и какими способами компания может снизить размер компенсации, а то и вовсе добиться отказа в удовлетворении требования ­работника.

Девять ответов на вопросы о предложении вакантных должностей

Законодательство предусматривает несколько случаев, когда работодатель обязан предложить сотруднику имеющиеся у него вакантные должности. Такое происходит, в частности, при сокращении штата, восстановлении на работе предыдущего сотрудника, дисквалификации. При предложении вакантных должностей у компаний возникает немало вопросов. Ответим на наиболее распространенные из них.