Приложение N 6. Правила работы с обезличенными данными комитета здравоохранения Волгоградской области. Приказ комитета здравоохранения Волгоградской области от 19.05.2015 N 1603 "О введении в действие документов, регламентирующих мероприятия по защите информации ограниченного доступа, обрабатываемой в комитете здравоохранения Волгоградской области" (с изменениями и дополнениями)

Приложение N 6

к приказу комитета здравоохранения

Волгоградской области

от 19.05.2015 года N 1603

Правила
работы с обезличенными данными комитета здравоохранения Волгоградской области

1. Общие положения

1.1. Настоящие правила работы с обезличенными данными комитета здравоохранения Волгоградской области (далее - Правила) разработаны с учетом Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Настоящие Правила определяют порядок работы с обезличенными данными комитета здравоохранения Волгоградской области.

1.3. Настоящие Правила утверждаются приказом председателя комитета здравоохранения Волгоградской области и действуют постоянно.

2. Термины и определения

2.1. В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных":

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Условия обезличивания

3.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Способы обезличивания при условии дальнейшей обработки персональных данных:

уменьшение перечня обрабатываемых сведений;

замена части сведений идентификаторами;

обобщение некоторых сведений;

понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город)

деление сведений на части и обработка в разных информационных системах;

другие способы.

3.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

3.4. Для обезличивания персональных данных годятся любые способы, явно не запрещенные законодательно.

3.5. Ответственными за проведение мероприятий по обезличиванию обрабатываемых персональных данных в комитете здравоохранения являются руководители подразделений комитета.

4. Порядок работы с обезличенными персональными данными

4.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

4.2. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.

4.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

правил создания и использования паролей пользователей;

правил применения антивирусных средств;

правил работы со съемными носителями (если они используются);

правил резервного копирования;

порядка доступа в помещения, где расположены элементы информационных систем.

4.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

правил хранения бумажных носителей;

правил доступа к ним и в помещения, где они хранятся.

4.5. При необходимости обезличивания должностное лицо, ответственное за обезличивание данных, методами, указанными в п. 3.2. настоящего документа, проводит обезличивание персональных данных.

4.6. После обезличивания данные передаются исполнителям и обрабатываются специалистами в режиме, принятом для документов.

4.7. После обработки специалистами обезличенных данных результат обработки передается должностному лицу, ответственному за подготовку ответа, в виде отчета, либо аналитической записки, либо информационного письма, с обязательным приложением исходных обезличенных данных.

4.8. Должностное лицо, исходя из состава, цели запроса и наличии в его распоряжении методов кодирования (шифрования) информации, принимает решение о подготовке ответа с указанием первоначальных персональных данных, либо без указания последних.