Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства цифровых технологий и связи Калининградской области от 7 июля 2021 г. N 265 "Об утверждении методических рекомендаций по организации обработки и обеспечению безопасности персональных данных" (с изменениями и дополнениями)
- Приложение. Методические рекомендации по организации обработки и обеспечению безопасности персональных данных
- Приложение N 6. Правила работы с обезличенными данными
Приложение N 6. Правила работы с обезличенными данными
Приложение N 6
к Методическим рекомендациям
Правила
работы с обезличенными данными в (Наименование Организации)
В случае, если обезличивание персональных данных в Организации не осуществляется, документ не является необходимым.
1. Общие положения
1.1. Настоящие Правила работы с обезличенными данными в (Наименование Организации) (далее - Правила) определяют порядок обезличивания персональных данных, обрабатываемых в информационных системах персональных данных в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных.
1.2. Настоящие Правила разработаны в соответствии с законодательством Российской Федерации в области обработки и защиты персональных данных.
1.3. В настоящих Правилах используются следующие термины и определения:
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- деобезличивание данных - действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных;
- обезличенные данные - данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации;
- обработка обезличенных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, с обезличенными данными без применения их предварительного деобезличивания.
2. Условия обезличивания
2.1. Обезличивание персональных данных может быть проведено с целью статистических или иных исследований, минимизации рисков причинения вреда конкретным гражданам в случае утечки их персональных данных из информационных систем персональных данных, по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
3. Порядок обезличивания персональных данных
3.1. Обезличивание персональных данных в (Наименование Организации) осуществляется в случаях:
- передачи персональных данных третьему лицу, когда получателю персональных данных не требуется идентифицировать субъекта и для целей обработки достаточно обезличенных данных;
- интеграции информационной системы персональных данных (Наименование Организации) с другой информационной системой, когда в другой системе не требуется идентифицировать субъекта персональных данных и для целей интеграции достаточно передавать обезличенные данные;
- прекращения обработки персональных данных по достижении целей обработки персональных данных (при необходимости);
- обработки персональных данных в статистических или иных исследовательских целях.
3.2. В (Наименование Организации) могут применяться следующие методы обезличивания:
- метод введения идентификаторов - замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным;
- метод изменения состава или семантики - изменение состава или семантики персональных данных путем замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;
- метод декомпозиции - разделение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств;
- метод перемешивания - перестановка отдельных значений или групп значений атрибутов персональных данных в массиве персональных данных.
Набор методов обезличивания персональных данных может корректироваться (как в сторону добавления новых методов, так и в обратную) исходя из специфики процессов обработки персональных данных в Организации.
3.3. Процедура обезличивания персональных данных включает:
- выявление необходимости обезличивания персональных данных;
- назначение ответственного (ответственных) за проведение обезличивания персональных данных;
- определение метода обезличивания персональных данных;
- определение условий хранения и, при необходимости, передачи обезличенных данных.
3.4. Процедуру обезличивания персональных данных для каждого случая обезличивания устанавливают ответственные за проведение обезличивания персональных данных.
3.5. При выборе методов и процедур обезличивания персональных данных (Наименование Организации) необходимо руководствоваться целями и задачами обработки персональных данных.
3.6. Обезличивание персональных данных, обработка которых осуществляется с разными целями, может осуществляться разными методами.
3.7. При выборе метода и процедуры обезличивания необходимо учитывать:
- объем персональных данных, подлежащих обезличиванию (некоторые методы неэффективны на малых объемах);
- форму представления данных (отдельные записи, файлы, таблицы баз данных и т.д.);
- область обработки обезличенных данных (необходим ли другим операторам доступ к обезличиваемым данным);
- способы хранения обезличенных данных (локальное хранение, распределенное хранение и т.д.);
- применяемые в информационной системе (Наименование Организации) меры по обеспечению безопасности данных.
4. Организация обработки обезличенных данных
4.1. При использовании (Наименование Организации) процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
4.2. В процессе обработки обезличенных данных (Наименование Организации), при необходимости, может проводиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания, должны быть уничтожены.
4.3. Должна быть обеспечена безопасность дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания.
4.4. При реализации процедур обезличивания/деобезличивания, а также при последующей обработке обезличенных данных не должны нарушаться права субъекта персональных данных.
4.5. При хранении обезличенных данных необходимо:
- организовать раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания;
- обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.
4.6. Передача по каналам передачи данных обезличенных данных совместно с информацией о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания (Наименование Организации) не допускается.