правила работы с обезличенными персональными данными

Настоящие Правила разработаны в соответствии с Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года №996 "Об утверждении требований и методов по обезличиванию персональных данных".

Обезличивание персональных данных проводится с целью ведения статистических данных, снижения ущерба от разглашения персональных данных, снижения класса информационных систем персональных данных оператора, а также после достижения целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

Методами обезличивания персональных данных являются:

- метод введения идентификатора (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным).

Для реализации метода устанавливаются атрибуты персональных данных, записи которых подлежат замене идентификаторами, разрабатывается система идентификации, обеспечивается ведение и хранение таблиц соответствия;

- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений, позволяющих идентифицировать субъекта).

Для реализации метода выделяются атрибуты персональных данных, записи которых подвергаются изменению, определяется набор правил внесения изменений и возможность независимого внесения изменений для данных каждого субъекта;

- метод декомпозиции (разбиение множества записей персональных данных на несколько подмножеств (частей) и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам).

Для реализации метода предварительно разрабатываются правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища;

- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

Для реализации метода разрабатываются правила и алгоритмы перемешивания, правила и алгоритмы деобезличивания и внесения изменений в записи.

Предложения по обезличиванию персональных данных, обоснование такой необходимости и методы обезличивания определяют Директор Муниципального бюджетного учреждения культуры «Кадуйский районный центр народной традиционной культуры и ремесел», работники осуществляющие обработку персональных данных.

Работники, осуществляющие обработку персональных данных в информационных системах персональных данных совместно с работниками МБУК «ЦНТКиР», ответственными за организацию обработки персональных данных, осуществляют непосредственное обезличивание персональных данных.

Обезличенные персональные данные не подлежат разглашению и являются конфиденциальными.

Обезличенные персональные данные могут обрабатываться с использованием средств автоматизации или без использования таких средств.

При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

1) парольной политики;

2) антивирусной политики;

3) правил работы со съемными носителями (если они используются);

4) правил резервного копирования;

5) правил доступа в помещения, в которых расположены элементы информационных систем.

При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

1) правил хранения бумажных носителей;

2) правил доступа к ним и в помещения, в которых они хранятся.

Обезличивание персональных данных при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативных правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей.

Обезличивание персональных данных при обработке персональных данных без использования средств автоматизации допускается производить способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).