Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ министерства жилищно-коммунального хозяйства Белгородской области от 8 декабря 2022 г. N 456 "Об организации работы по защите персональных данных"
- Приложение N 5. Правила работы с обезличенными данными в случае обезличивания персональных данных в министерстве жилищно-коммунального хозяйства
Приложение N 5. Правила работы с обезличенными данными в случае обезличивания персональных данных в министерстве жилищно-коммунального хозяйства
Приложение N 5
Утверждено
приказом министерства
жилищно-коммунального хозяйства
Белгородской области
от "08" декабря 2022 года N 456
Правила
работы с обезличенными данными в случае обезличивания персональных данных в министерстве жилищно-коммунального хозяйства
1. Термины и определения
Атрибут персональных данных субъекта - элемент структуры персональных данных (параметр персональных данных). Атрибут имеет название и может иметь множество возможных количественных и качественных значений применительно к конкретным субъектам персональных данных.
Атрибут обезличенных данных субъекта - элемент структуры обезличенных данных (параметр обезличенных данных). Атрибут имеет название и может иметь множество возможных количественных и качественных значений.
Деобезличивание - действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обезличенные данные - это данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка обезличенных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, с обезличенными данными, без применения их предварительного деобезличивания.
Семантика атрибута персональных данных - смысловое значение названия атрибута, обозначения персональных данных.
Семантика атрибута обезличенных данных - смысловое значение названия атрибута, обозначения обезличенных данных.
2. Общие положения
2.1. Настоящие Правила работы с обезличенными данными в случае обезличивания персональных данных в министерстве жилищно-коммунального хозяйства области (далее - Министерство) определяют методы и процедуры обезличивания персональных данных, а также порядок работы с обезличенными данными в Министерстве и действуют постоянно.
2.2. Настоящие Правила разработаны в соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказом Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных".
2.3. Свойства обезличенных данных:
- полнота - сохранение всей информации о персональных данных конкретных субъектов или групп субъектов, которая имелась до обезличивания;
- структурированность - сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания;
- релевантность - возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме;
- семантическая целостность - соответствие семантики атрибутов обезличенных данных семантике соответствующих атрибутов персональных данных при их обезличивании;
- применимость - возможность обработки персональных данных без предварительного деобезличивания всего объема записей о субъектах;
- анонимность - невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.
3. Методы обезличивания
3.1. К методам обезличивания относятся:
- метод введения идентификаторов - замена части персональных данных,
позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия;
- метод изменения состава или семантики - изменение состава или семантики персональных данных путем замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;
- метод декомпозиции - разделение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств;
- метод перемешивания - перестановка отдельных значений или групп значений атрибутов персональных данных в массиве персональных данных.
3.2. Применение того или иного метода обезличивания позволит получить обезличенные данные, обладающие различными свойствами, что даст возможность осуществлять все виды обработки персональных данных.
3.3. В каждом конкретном случае необходимо применять метод, который гарантирует свойства, необходимые для решения конкретных задач обработки.
3.4. Результаты сопоставления свойства обезличенных данных с методами обезличивания приведены в таблице 1.
Таблица 1
Соответствие методов обезличивания свойствам обезличенных данных
|
Метод |
Введение идентификаторов |
Изменение состава и семантики |
Декомпозиция |
Перемешивание |
|
Свойства обезличенных | ||||
|
Полнота + +/- + + |
Полнота + +/- + + |
Полнота + +/- + + |
Полнота + +/- + + |
Полнота + +/- + + |
|
Структурированность |
Структурированность |
Структурированность |
Структурированность |
Структурированность |
|
+ + + + |
+ + + + |
+ + + + |
+ + + + |
+ + + + |
|
Релевантность +/- + + + |
Релевантность +/- + + + |
Релевантность +/- + + + |
Релевантность +/- + + + |
Релевантность +/- + + + |
|
Семантическая |
Семантическая |
Семантическая |
Семантическая |
Семантическая |
|
+ безусловное наличие свойства; +/- условное наличие свойства | ||||
4. Процедуры обезличивания
4.1. Процедура обезличивания обеспечивает практическую реализацию метода обезличивания и задается своим описанием.
4.2. Процедура реализации метода введения идентификаторов.
4.2.1. Каждому значению идентификатора должно соответствовать одно значение атрибута и каждому значению атрибута должно соответствовать одно значение идентификатора.
4.2.2. Таблицы соответствия (дополнительные данные) создаются для каждого атрибута персональных данных, значения которых заменяются идентификаторами.
4.2.3. При обезличивании персональные данные в исходном множестве заменяются идентификаторами согласно таблице соответствия. Деобезличивание достигается обратной заменой идентификаторов на значения персональных данных по таблице соответствия.
4.2.4. На этапе реализации процедуры обезличивания определяются следующие параметры:
- перечень таблиц соответствия (перечень атрибутов, для которых происходит замена значений идентификаторами);
- правила вычисления идентификаторов - наборов символов, однозначно соответствующих значениям атрибутов персональных данных субъекта;
- объемы таблицы соответствия - количество строк таблицы соответствия, содержащих идентификатор и соответствующее ему значение.
4.2.5. В качестве атрибутов, значения которых заменяются идентификаторами, как правило, выбираются атрибуты, однозначно идентифицирующие субъекта персональных данных.
4.2.6. Количество идентификаторов и объем таблиц соответствия, как правило, равны исходному количеству субъектов персональных данных. Возможны случаи, когда идентификатор вычисляется в зависимости от значения соответствующего атрибута.
4.2.7. Таблицы соответствия должны быть доступны ограниченному числу сотрудников.
4.2.8. Программное обеспечение, реализующее процедуру, должно обеспечивать внесение изменений и поддержку актуальности таблиц соответствия.
4.3. Процедура реализации метода изменения состава или семантики.
4.3.1. Процедура реализации метода должна содержать правила удаления либо замены значений персональных данных субъектов на новые значения, вычисляемые по заданным правилам.
4.3.2. При замене значений атрибутов на новые требуется устанавливать правила обратной замены, если это необходимо для деобезличивания.
4.3.3. На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
- перечень атрибутов персональных данных, подлежащих удалению;
- перечень атрибутов персональных данных, подлежащих замене на новые значения;
- правила вычисления значений для замены (обратной замены) персональных данных субъектов.
4.3.4. Программная реализация процедуры должна обеспечить возможность внесения изменений и дополнений в состав обезличенных данных, динамическое вычисление значений для замены при занесении новых субъектов, проверку и поддержку актуальности данных.
4.4. Процедура реализации метода декомпозиции.
4.4.1. Процедура реализации метода по заданному правилу (алгоритму) производит разделение исходного массива персональных данных на несколько частей, каждая из которых содержит заданный набор атрибутов всех субъектов.
Сведения, содержащиеся в каждой части, не позволяют идентифицировать субъектов персональных данных.
4.4.2. Деобезличивание осуществляется по заданному набору связей (используются таблицы связей, являющиеся дополнительными данными) между раздельно хранимыми частями.
4.4.3. На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
- перечень атрибутов, составляющих подмножества персональных данных;
- таблицы связей между подмножествами персональных данных;
- адреса хранения подмножеств персональных данных.
4.4.4. Правила разделения исходного массива данных определяются таким образом, чтобы каждая из раздельно хранимых частей не содержала сведений, позволяющих однозначно идентифицировать субъекта персональных данных.
4.4.5. Программная реализация процедуры должна обеспечивать согласованное внесение изменений и дополнений во все подмножества и таблицы связей, поиск данных о субъекте во всех подмножествах, поддержку актуальности таблиц связей, проверку полноты данных (согласование подмножеств).
4.5. Процедура реализации метода перемешивания.
4.5.1. Метод перемешивания реализуется путем перемешивания отдельных значений или групп значений атрибутов субъектов персональных данных между собой.
4.5.2. Перемешивание проводится по установленному правилу.
4.5.3. Деобезличивание достигается с использованием процедуры, обратной процедуре перемешивания.
4.5.4. Для реализации процедуры необходимо определить алгоритм перемешивания и его параметры.
4.5.5. На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
- набор параметров алгоритма перемешивания (дополнительные данные для обезличивания/деобезличивания);
- значения параметров алгоритма перемешивания (дополнительные данные для обезличивания/деобезличивания).
4.5.6. Выбор параметров перемешивания зависит от алгоритма перемешивания, требуемой стойкости к атакам и объема обезличиваемых персональных данных.
4.5.7. Программная реализация процедуры должна обеспечивать возможность внесения изменений и дополнений в состав обезличенных данных, добавление новых пользователей, поддержку актуальности данных и возможность повторного перемешивания с новыми параметрами без предварительного деобезличивания.
5. Организация обработки обезличенных данных
5.1. При использовании процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
5.2. Обезличивание персональных данных должно производиться перед внесением их в информационную систему.
5.3. Министерство вправе обрабатывать обезличенные данные, полученные от третьих лиц.
5.4. В процессе обработки обезличенных данных, при необходимости, может проводиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания, уничтожаются.
5.5. Обработка персональных данных до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.
5.6. Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения данных.
5.7. Хранение и защиту дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания, следует обеспечить в соответствии с внутренними процедурами защиты конфиденциальной информации. При этом должно обеспечиваться исполнение установленных правил доступа пользователей к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.
5.8. Процедуры обезличивания/деобезличивания должны встраиваться в процессы обработки персональных данных как их неотъемлемый элемент, а также максимально эффективно использовать имеющуюся инфраструктуру, обеспечивающую обработку персональных данных.
6. Правила работы с обезличенными данными
6.1. При обработке обезличенных данных следует:
- обеспечить соответствие процедур обезличивания/деобезличивания персональных данных требованиям к обезличенным данным и методам обезличивания;
- обеспечить соответствие процедур обезличивания/деобезличивания условиям и целям обработки персональных данных;
- убедиться, что при реализации процедур обезличивания/деобезличивания, а также при последующей обработке обезличенных данных не нарушаются права субъекта персональных данных.
6.2. В случае, если обработка обезличенных данных была поручена третьим лицом, следует соблюдать все требования, предъявляемые этим лицом.
6.3. При хранении обезличенных данных следует:
- организовать раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания;
- обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.
6.4. При передаче вместе с обезличенными данными информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания следует обеспечить конфиденциальность канала (способа) передачи данных.
6.5. В ходе реализации процедуры деобезличивания следует:
- реализовать все требования по обеспечению безопасности получаемых персональных данных при автоматизированной обработке на средствах вычислительной техники, участвующих в реализации процедуры деобезличивания и обработке деобезличенных данных;
- обеспечить обработку и защиту деобезличенных данных в соответствии с требованиями Закон N 152-ФЗ.
7. Рекомендации по выбору методов обезличивания
7.1. При выборе методов и процедур обезличивания следует руководствоваться целями и задачами обработки персональных данных.
7.2. Обезличивание персональных данных, обработка которых осуществляется с разными целями, может осуществляться разными методами.
7.3. Возможно объединение различных методов обезличивания в одну процедуру.
7.4. При выборе метода и процедуры обезличивания следует учитывать:
- объем персональных данных, подлежащих обезличиванию;
- форму представления данных;
- область обработки обезличенных данных;
- способы хранения обезличенных данных;
- применяемые меры по обеспечению безопасности данных.
7.5. В таблице 2 приведены рекомендации по выбору метода обезличивания в зависимости от класса решаемых задач.
Таблица 2
Сопоставление задач обработки методам обезличивания
|
Класс задач Задачи обработки Метод обезличивания |
Класс задач Задачи обработки Метод обезличивания |
Класс задач Задачи обработки Метод обезличивания |
|
Статистическая |
Статистическая |
Статистическая |
|
обработка |
обработка |
обработка |
|
и статистические |
и статистические |
и статистические |
|
исследования |
исследования |
исследования |
|
персональных |
персональных |
персональных |
|
- осуществление обработки |
- осуществление обработки |
- осуществление обработки |
|
по заявленным параметрам; |
по заявленным параметрам; |
по заявленным параметрам; |
|
- проведение исследований |
- проведение исследований |
- проведение исследований |
|
по заданным параметрам субъектов |
по заданным параметрам субъектов |
по заданным параметрам субъектов |