Приложение N 4
к приказу Федерального агентства по управлению
государственным имуществом
от 25.09.2023 N 198
Правила
работы с обезличенными данными в случае обезличивания персональных данных в Федеральном агентстве по управлению государственным имуществом и его территориальных органах
1. Обезличивание персональных данных в Росимуществе и его территориальных органах проводится в статистических или иных целях, а также с целью снижения ущерба от разглашения, защищаемых персональных данных, снижения класса информационных систем, оператором которых является Росимущество и его территориальные органы (далее - информационные системы), и по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей.
2. Обезличиванию подвергаются персональные данные, обработка которых осуществляется в информационных системах.
3. Обезличивание персональных данных, обрабатываемых в информационных системах, осуществляется методами, определенными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (далее - приказ Роскомнадзора N 996) 11.
4. В процессе реализации процедуры обезличивания персональных данных следует соблюдать требования, предъявляемые к выбранному методу обезличивания, установленные приказом Роскомнадзора N 996.
5. Перечень должностей федеральных государственных гражданских служащих в Росимуществе и его территориальных органах (далее - гражданские служащие), ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, установлен приложением N 6 к настоящему приказу.
6. В случае необходимости обезличивания персональных данных, обрабатываемых в информационных системах, структурные подразделения Росимущества и его территориальных органов, непосредственно осуществляющие обработку персональных данных, направляют указанную информацию гражданским служащим, ответственным за проведение мероприятий по обезличиванию обрабатываемых персональных данных, и указывают обоснование и метод обезличивания.
7. Обезличивание персональных данных, обрабатываемых в информационных системах, обеспечивает структурное подразделение Росимущества, ответственное за защиту информации, или гражданские служащие территориальных органов, ответственные за защиту информации.
8. Инициатором обезличивания персональных данных может выступать структурное подразделение Росимущества, ответственное за защиту информации, или гражданский служащий территориальных органов, ответственный за защиту информации, с согласия структурных подразделений, непосредственно осуществляющих обработку персональных данных, планируемых к обезличиванию.
9. Обработка обезличенных персональных данных может осуществляться на бумажных носителях без использования средств автоматизации, а также в информационных системах.
10. При обработке обезличенных персональных данных в автоматизированных информационных системах необходимо соблюдение:
1) парольной защиты информационных систем;
2) антивирусной политики;
3) правил работы со съемными носителями (в случае их использования);
4) правил резервного копирования;
5) правил доступа в помещения, где расположены элементы информационных систем.
11. При хранении обезличенных персональных данных следует:
1) организовать раздельное хранение обезличенных персональных данных и дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных;
2) обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.
12. При обработке обезличенных персональных данных посредством использования информационных систем должны соблюдаться Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, а также Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 12 , с учетом уровней защищенности персональных данных, определенных для автоматизированных информационных систем, в которых осуществляется обработка персональных данных.