При использовании Оператором процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
Обезличивание персональных данных субъектов должно производиться Оператором перед внесением их в информационную систему.
Оператор вправе обрабатывать в информационной системе обезличенные данные, полученные от третьих лиц.
В процессе обработки обезличенных данных Оператором, при необходимости, может проводиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания, уничтожаются.
Обработка персональных данных до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.
Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения данных.
Обработка персональных данных организаций, не обладающих квалифицированным персоналом либо достаточными материально-техническими средствами, возможна с привлечением сторонних организаций - Операторов на основании договора. При использовании технологий "облачной" обработки персональных данных возможна обработка одним Оператором обезличенных данных нескольких подобных организаций.
При обработке обезличенных данных необходимо выделять зоны ответственности Операторов, субъектов и/или организаций, поручивших обработку Оператору.
Алгоритмы для реализации процедур обезличивания и программное обеспечение должны обеспечивать переносимость на различные аппаратные платформы.
Действия, связанные с внесением изменений и дополнений в массив обезличенных данных, следует проводить в режиме транзакций и отражать в соответствующем журнале.
Следует вести архив запросов на обработку данных.
Субъект персональных данных должен иметь возможность получить сведения о составе его персональных данных, имеющихся у Оператора.
Хранение и защиту дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания, следует обеспечить в соответствии с внутренними процедурами обеспечения конфиденциальности, установленными у Оператора. При этом должно обеспечиваться исполнение установленных правил доступа пользователей к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.
Процедуры обезличивания/деобезличивания должны встраиваться в процессы обработки персональных данных как их неотъемлемый элемент, а также максимально эффективно использовать имеющуюся у Оператора инфраструктуру, обеспечивающую обработку персональных данных.
Оператору рекомендуется разработать и применять при осуществлении своей деятельности документацию, включающую:
описание применяемых процедур и их программного обеспечения;
инструкции по проведению процедур обезличивания/деобезличивания;
инструкции по обработке обезличенных данных;
инструкции проведения контроля качества обезличенных данных и процедур обезличивания;
порядок взаимодействия с другими Операторами;
инструкции по обеспечению безопасности дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания;
техническую и эксплуатационную документацию, поставляемую с программными средствами, обезличивания/деобезличивания.