Проект Приказа МВД России "Об утверждении Правил работы с обезличенными данными в случае обезличивания персональных данных в Министерстве внутренних дел Российской Федерации" (подготовлен МВД России 12.08.2016)

Проект Приказа МВД России "Об утверждении Правил работы с обезличенными данными в случае обезличивания персональных данных в Министерстве внутренних дел Российской Федерации"
(подготовлен МВД России 12.08.2016 г.)

Досье на проект

Пояснительная записка

Во исполнение пятого абзаца подпункта "б" пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211*(1), - приказываю:

1. Утвердить прилагаемые Правила работы с обезличенными данными в случае обезличивания персональных данных в Министерстве внутренних дел Российской Федерации*(2).

2. Руководителям (начальникам) подразделений центрального аппарата МВД России, территориальных органов МВД России, научных, образовательных, медико-санитарных и санаторно-курортных организаций системы МВД России, окружных управлений материально-технического снабжения системы МВД России, а также иных организаций и подразделений, созданных для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации, организовать изучение личным составом органов внутренних дел Российской Федерации требований настоящего приказа и утверждаемых им Правил и обеспечить реализацию их положений.

3. Контроль за выполнением настоящего приказа возложить на заместителей Министра внутренних дел Российской Федерации, ответственных за деятельность соответствующих подразделений.

Министр генерал полиции Российской Федерации

В. Колокольцев

Приложение
к приказу МВД России
от ___.___.2016 N ____

Правила
работы с обезличенными данными в случае обезличивания персональных данных в Министерстве внутренних дел Российской Федерации

I. Общие положения

1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных"*(3) и постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"*(4) и определяют порядок работы с обезличенными данными в Министерстве внутренних дел Российской Федерации.

2. В соответствии с пунктом 9 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" под обезличиванием персональных данных понимается действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

II. Условия обезличивания персональных данных

3. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных"*(5).

4. Обезличивание персональных данных может быть осуществлено в статистических или иных исследовательских целях, а также в целях снижения класса защищенности информационной системы персональных данных и степени возможного ущерба от нарушения конфиденциальности, целостности или доступности информации.

5. Обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, осуществляется согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных*(6).

6. К методам обезличивания относятся:

6.1. Метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

6.2. Метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

6.3. Метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

6.4. Метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

7. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

III. Порядок работы с обезличенными данными

8. Обезличенные данные конфиденциальны и не подлежат распространению.

9. Обработка обезличенных данных может осуществляться с использованием средств автоматизации или без использования таких средств.

10. Должностные лица, ответственные за организацию обработки персональных данных, обязаны:

10.1. Обеспечить соответствие процедур обезличивания персональных данных требованиям к обезличенным данным и методам обезличивания;

10.2. Обеспечить соответствие процедур обезличивания условиям и целям обработки персональных данных;

10.3. Убедиться, что при реализации процедур обезличивания, а также при последующей обработке обезличенных данных не нарушаются права субъектов персональных данных.

11. При обработке обезличенных данных с использованием средств автоматизации необходимо соблюдение мер по обеспечению безопасности данных, установленных в эксплуатируемой ИСПДн.

12. При обработке обезличенных данных без использования средств автоматизации необходимо соблюдение условий и мер по обеспечению сохранности материальных носителей и порядка доступа в помещения, в которых ведется обработка персональных данных.

13. При хранении обезличенных данных следует:

13.1. Организовать раздельное хранение обезличенных данных и дополнительной информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания;

13.2. Обеспечивать конфиденциальность дополнительной информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.

-------------------------------------------

*(1) Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2013, N 30, ст. 4116; 2014, N 37, ст. 4967.

*(2) Далее - "Правила".

*(3) Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243.

*(4) Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2013, N 30, ст. 4116; 2014, N 37, ст. 4967.

*(5) Часть 7 статьи 5 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

*(6) Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (зарегистрирован в Минюсте России 10 сентября 2013 года, регистрационный N 29935), Российская газета, 2013, N 208.