Является ли хеширование персональных данных способом обезличивания?
Нет, не является.
Обезличенные данные остаются персональными. Это следует из:
➡️ легального определения персональных данных – “любой информация, относящейся к <…> косвенно определенному или определяемому физическому лицу” (п. 1 ст. 3 №152-ФЗ);
➡️ свойства обратимости обезличивания – возможности приведения персональных данных к исходному виду, позволяющему определить их принадлежность конкретному субъекту (п. 5 Требований и методов по обезличиванию, утв. Приказом Роскомнадзора №996).
При этом методы обезличивания ПДн закреплены в соответствующих Требованиях, утвержденных Приказом Роскомнадзора №996, действие которых, по мнению Минцифры, распространяется и на коммерческие организации. Роскомнадзор на последнем вебинаре также сказал, что этот подзаконный акт распространяется на коммерческие компании.
Соответственно, перечень методов обезличивания закрытый и включает в себя:
- Введение идентификаторов;
- Изменение состава или семантики;
- Декомпозицию;
- Перемешивание.
В свою очередь, хеширование – это способ криптографической защиты информации, а не обезличивания, что подтверждает позиция Роскомнадзора.
