Приложение N 4. Правила работы с обезличенными данными в случае обезличивания персональных данных в Министерстве финансов Чувашской Республики. Приказ Министерства финансов Чувашской Республики от 12.11.2015 N 95/п "О введении в действие документов, направленных на обеспечение выполнения Министерством финансов Чувашской Республики обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами" (с изменениями и дополнениями) (документ не действует)

Приложение N 4
к приказу Министерства финансов
Чувашской Республики
от 12 ноября 2015 г. N 95/п

Правила
работы с обезличенными данными в случае обезличивания персональных данных в Министерстве финансов Чувашской Республики

1. Общие положения

1.1. Правила работы с обезличенными данными в случае обезличивания персональных данных в Министерстве финансов Чувашской Республики (далее - Правила) разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (зарегистрирован в Министерстве юстиции Российской Федерации 10 сентября 2013 г., регистрационный N 29935) и определяют условия обезличивания персональных данных, методы обезличивания персональных данных и порядок работы с обезличенными данными.

2. Условия обезличивания персональных данных

2.1. В соответствии с Федеральным законом "О персональных данных" обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретном у субъекту персональных данных.

2.2. Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.

2.3. Обезличивание персональных данных должно обеспечивать следующие свойства информации:

- полноту (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

- структурированность (сохранение структурных связей между обезличенными персональными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

- семантическую целостность (сохранение семантики (сути и смысла) персональных данных при их обезличивании);

- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);

- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

2.4. Методы обезличивания персональных данных должны обладать следующими характеристиками:

- обратимостью (возможностью преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

- вариативностью (возможностью внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

- изменяемостью (возможностью внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

- стойкостью (стойкостью метода к атакам на идентификацию субъекта персональных данных);

- возможностью косвенного деобезличивания (возможностью проведения деобезличивания с использованием информации других операторов);

- совместимостью (возможностью интеграции персональных данных, обезличенных различными методами);

- параметрическим объемом (возможностью определения объема дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);

- возможностью оценки качества данных (возможностью проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

2.5. Методы обезличивания персональных данных должны обладать следующими свойствами:

- обратимостью (возможность проведения деобезличивания);

- возможностью обеспечения заданного уровня анонимности;

- увеличением стойкости при увеличении объема обезличиваемых персональных данных.

2.6. Получаемые обезличенные данные должны обладать следующими свойствами:

- сохранением полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);

- сохранением структурированности обезличиваемых персональных данных;

- сохранением семантической целостности обезличиваемых персональных данных;

- анонимностью отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).

2.7. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

2.8. В Министерстве финансов Чувашской Республики (далее - Министерство) могут быть использованы следующие методы обезличивания:

- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

2.9. Описание методов обезличивания, обеспечиваемых ими свойств обезличенных данных, оценка свойств методов, требования к реализации методов приведены в приложении к настоящим Правилам.

2.10. Предложения о методах обезличивания вносит ответственный за обеспечение безопасности защищаемой информации, не составляющей государственную тайну, в информационных системах Министерства финансов Чувашской Республики. Решение о методах обезличивания персональных данных принимает министр финансов Чувашской Республики (лицо, исполняющее обязанности министра).

2.11. Ответственность за обезличивание персональных данных несут лица, замещающие должности, вошедшие в Перечень должностей государственных гражданских служащих Чувашской Республики в Министерстве финансов Чувашской Республики, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных.

3. Порядок работы с обезличенными данными

3.1. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.

3.2. Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.

3.3. При обработке обезличенных персональных данных сотрудники Министерства руководствуются настоящими Правилами.