Приложение N 1. Правила работы с обезличенными персональными данными в Министерстве здравоохранения Республики Карелия. Приказ Министерства здравоохранения Республики Карелия от 08.09.2020 N 1363 "Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (с изменениями и дополнениями)

Приложение N 1
к приказу Министерства
здравоохранения Республики Карелия
от 8 сентября 2020 года N 1363

Правила
работы с обезличенными персональными данными в Министерстве здравоохранения Республики Карелия

1. Настоящие правила работы с обезличенными персональными данными в Министерстве здравоохранения Республики Карелия (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", приказом Роскомнадзора от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных" и определяют порядок работы с обезличенными персональными данными в Министерстве здравоохранения Республики Карелия (далее - Министерство).

2. В Министерстве могут применяться следующие методы обезличивания персональных данных:

- метод введения идентификаторов;

- метод изменения состава или семантики;

- метод декомпозиции;

- метод перемешивания.

2.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами с созданием таблицы соответствия идентификаторов исходным данным.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- семантическая целостность;

- применимость.

Оценка свойств метода:

обратимость:

- метод позволяет провести процедуру деобезличивания;

- вариативность: метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания;

- изменяемость: метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания;

- стойкость: метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных;

- возможность косвенного деобезличивания: метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод позволяет интегрировать записи, соответствующие отдельным атрибутам;

- параметрический объем: объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию;

- возможность оценки качества данных: метод позволяет проводить анализ качества обезличенных данных.

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

2.2. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных:

- структурированность;

- релевантность;

- применимость;

- анонимность.

Оценка свойств метода:

- обратимость: метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных;

- вариативность: метод не позволяет изменять параметры метода без проведения предварительного деобезличивания;

- изменяемость: метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания;

- стойкость: стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных;

- возможность косвенного деобезличивания: метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод не обеспечивает интеграции с данными, обезличенными другими методами;

- параметрический объем: параметры метода определяются набором правил изменения состава или семантики персональных данных;

- возможность оценки качества данных: метод не позволяет проводить анализ, использующий конкретные значения персональных данных.

Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможны использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (например - средние значения).

2.3. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость.

Оценка свойств метода:

- обратимость: метод позволяет провести процедуру деобезличивания;

- вариативность: метод позволяет изменить параметры декомпозиции без предварительного деобезличивания;

- изменяемость: метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания;

- стойкость: метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений;

- возможность косвенного деобезличивания: метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод обеспечивает интеграцию с данными, обезличенными другими методами;

- параметрический объем: определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами раздел