Действующий

Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных"

3. Организация обработки обезличенных данных


При использовании Оператором процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.

Обезличивание персональных данных субъектов должно производиться Оператором перед внесением их в информационную систему.

Оператор вправе обрабатывать в информационной системе обезличенные данные, полученные от третьих лиц.

В процессе обработки обезличенных данных Оператором, при необходимости, может проводиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания, уничтожаются.

Обработка персональных данных до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.

Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения данных.

Обработка персональных данных организаций, не обладающих квалифицированным персоналом либо достаточными материально-техническими средствами, возможна с привлечением сторонних организаций - Операторов на основании договора. При использовании технологий "облачной" обработки персональных данных возможна обработка одним Оператором обезличенных данных нескольких подобных организаций.

При обработке обезличенных данных необходимо выделять зоны ответственности Операторов, субъектов и/или организаций, поручивших обработку Оператору.

Алгоритмы для реализации процедур обезличивания и программное обеспечение должны обеспечивать переносимость на различные аппаратные платформы.

Действия, связанные с внесением изменений и дополнений в массив обезличенных данных, следует проводить в режиме транзакций и отражать в соответствующем журнале.

Следует вести архив запросов на обработку данных.

Субъект персональных данных должен иметь возможность получить сведения о составе его персональных данных, имеющихся у Оператора.

Хранение и защиту дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания, следует обеспечить в соответствии с внутренними процедурами обеспечения конфиденциальности, установленными у Оператора. При этом должно обеспечиваться исполнение установленных правил доступа пользователей к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.

Процедуры обезличивания/деобезличивания должны встраиваться в процессы обработки персональных данных как их неотъемлемый элемент, а также максимально эффективно использовать имеющуюся у Оператора инфраструктуру, обеспечивающую обработку персональных данных.

Оператору рекомендуется разработать и применять при осуществлении своей деятельности документацию, включающую:

описание применяемых процедур и их программного обеспечения;

инструкции по проведению процедур обезличивания/деобезличивания;

инструкции по обработке обезличенных данных;

инструкции проведения контроля качества обезличенных данных и процедур обезличивания;

порядок взаимодействия с другими Операторами;

инструкции по обеспечению безопасности дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания;

техническую и эксплуатационную документацию, поставляемую с программными средствами, обезличивания/деобезличивания.