Приложение N 10. Правила работы с обезличенными данными в Управлении по гражданской обороне, чрезвычайным ситуациями пожарной безопасности Республики Хакасия. Приказ Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 23.03.2020 N 60 "Об организации работы по обработке и защите персональных данных" (с изменениями и дополнениями)

Приложение N 10
к приказу Управления
по ГО, ЧС и ПБ
Республики Хакасия

Правила
работы с обезличенными данными в Управлении по гражданской обороне, чрезвычайным ситуациями пожарной безопасности Республики Хакасия

1. Настоящие Правила работы с обезличенными данными в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Правила) устанавливают порядок проведения мероприятий в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление) по обезличиванию персональных данных, порядок и условия работы с обезличенными данными.

2. Обезличивание персональных данных и работа с обезличенными данными в Управлении осуществляются в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.

3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

4. Целью обезличивания персональных данных в Управлении является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5. Обезличивание персональных данных может быть проведено для решения следующих задач:

1) получения статистических данных;

2) снижения ущерба от разглашения защищаемых персональных данных;

3) снижения класса используемых информационных систем персональных данных.

Кроме того, обезличивание персональных данных может быть проведено по достижении сроков обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено законодательством Российской Федерации.

5.1. В случае достижения целей обработки персональных данных или в случае утраты необходимости в их достижении, работник Управления, обрабатывающий персональные данные, обязан:

1) незамедлительно прекратить обработку персональных данных;

2) обезличить соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных или утраты необходимости достижения этих целей.

5.2. Персональные данные не обезличиваются в случаях, если:

1) договором (соглашением), стороной которого или поручителем, по которому является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;

2) законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;

3) в иных случаях, прямо предусмотренных законодательством.

5.3. В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными, работник Управления, обрабатывающий персональные данные, обязан осуществить незамедлительное блокирование указанных персональных данных и в срок, не превышающий трех рабочих дней с даты такого выявления, устранить допущенные нарушения.

В случае подтверждения факта недостоверности персональных данных работник Управления, обрабатывающий персональные данные, уточняет персональные данные и снимает с них блокирование на основании документов, представленных:

1) субъектом персональных данных (его законным представителем);

2) уполномоченным органом по защите прав субъектов персональных данных;

3) иными лицами.

5.4. В случае невозможности устранения допущенных нарушений работник Управления, обрабатывающий персональные данные, в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с персональными данными, обезличивает персональные данные.

Об устранении допущенных нарушений или об обезличивании персональных данных работник Управления, обрабатывающий персональные данные, уведомляет субъекта персональных данных (его законного представителя) по формам уведомления об устранении допущенных нарушений или уведомления об уничтожении (приложения N 1 и 2 к настоящим Правилам) и (или) уполномоченный орган по защите прав субъектов персональных данных по формам уведомления об устранении допущенных нарушений или уведомления об уничтожении (приложения N 3 и 4 к настоящим Правилам).

5.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных работник Управления, обрабатывающий персональные данные, обязан прекратить обработку персональных данных и обезличить их в срок, не превышающий 30 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством, договором или соглашением между Управлением и субъектом персональных данных. Об обезличивании персональных данных работник Управления, обрабатывающий персональные данные, уведомляет субъекта персональных данных (его законного представителя).

6. Способы обезличивания:

6.1. К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:

1) уменьшение перечня обрабатываемых сведений, замена части сведений условными обозначениями, обобщение (понижение) точности некоторых сведений;

2) деление сведений на части и обработка их в разных информационных системах;

3) другие способы.

6.2. К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей относятся:

1) сокращение перечня персональных данных;

2) уничтожение персональных данных.

6.3. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (закрашиванием, вырезанием и другое).

7. Правила работы с обезличенными данными:

7.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

7.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

7.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:

1) использование паролей;

2) использование антивирусных программ;

3) соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.

7.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

1) хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;

2) соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.