Скачать (113 Кб)
ТВЕРСКАЯ ОБЛАСТЬ
АДМИНИСТРАЦИЯ
РЖЕВСКОГО МУНИЦИПАЛЬНОГО ОКРУГА
Р А С П О Р Я Ж Е Н И Е
07.03.2023 № 46-р
Об организации работы с обезличенными данными
в случае обезличивания персональных данных
в Администрации Ржевского муниципального округа
Тверской области
На основании пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», руководствуясь Уставом Ржевского муниципального округа Тверской области:
1. Утвердить Правила работы с обезличенными персональными данными в Администрации Ржевского муниципального округа Тверской области. (Приложение).
2. Признать утратившим силу приложение 12 к Положению о работе с персональными данными в Администрации города Ржева Тверской области распоряжения Администрации города Ржева Тверской области от 10.10.2013 № 86-р «Об утверждении Положения о работе с персональными данными в Администрации города Ржева Тверской области».
3. Настоящее распоряжение вступает в силу со дня его подписания.
4. Настоящее распоряжение подлежит размещению на сайте муниципального образования Ржевский муниципальный округ Тверской области www.городржев.рф в информационно-телекоммуникационной сети «Интернет».
5. Контроль за исполнением настоящего распоряжения возложить на управляющего делами Администрации Ржевского муниципального округа Тверской области Бантееву С.В.
Глава Ржевского
муниципального округа Р.С. Крылов
Приложение
к распоряжению Администрации
Ржевского муниципального округа
от 07.03.2023 № 46-р
Правила
работы с обезличенными персональными данными
в Администрации Ржевского муниципального округа Тверской области
1. Общие положения.
1.1. Настоящие Правила работы с обезличенными персональными данными в Администрации Ржевского муниципального округа Тверской области (далее – Правила) разработаны в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687, Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденными Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (далее – Требования и методы по обезличиванию персональных данных), иными нормативными правовыми актами Российской Федерации, Уставом Ржевского муниципального округа Тверской области и иными нормативными правовыми актами муниципального образования.
1.2. Настоящие Правила регулируют отношения, связанные с обезличиванием обрабатываемых персональных данных и работой с обезличенными персональными данными в Администрации Ржевского муниципального округа Тверской области (далее – Администрация, Оператор).
2. Термины и определения.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Условия и способы обезличивания персональных данных
3.1. Обезличивание персональных данных в Операторе представляет собой действия, совершаемые лицами, замещающими должности, включенные в перечень должностей муниципальных служащих в Операторе, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждаемый правовым актом Оператора (далее – уполномоченные должностные лица), в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Перечень должностей муниципальных служащих утверждается распоряжением Администрации Ржевского муниципального округа.
3.2. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.3. Способы обезличивания при условии дальнейшей обработки персональных данных:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение – понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
Заместитель главы администрации, принимает решение о необходимости обезличивания персональных данных.
Служащие, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
Служащие, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
4. Методы обезличивания персональных данных.
4.1. Обезличивание персональных данных в Операторе осуществляется следующими методами:
1) метод введения идентификаторов – замена части сведений (значений) персональных данных идентификаторов с созданием таблицы (справочника) соответствия идентификаторов исходным данным;
2) метод изменения состава или семантики – изменение состава или семантики персональных данных путем замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;
3) метод декомпозиции – разделение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств;
4) метод перемешивания – перестановка отдельных значений или групп значений атрибутов персональных данных в массиве персональных данных;
5) иные методы, соответствующие Требованиям и методам по обезличиванию персональных данных.
4.2. Выбор метода обезличивания осуществляется, исходя из целей и задач обработки персональных данных. При выборе метода обезличивания данных также учитываются:
1) способ обработки персональных данных, подлежащих обезличиванию с использованием средств автоматизации или без использования средств автоматизации;
2) объем персональных данных, подлежащих обезличиванию;
3) форма представления персональных данных, подлежащих обезличиванию;
4) область обработки обезличенных персональных данных;
5) способы хранения обезличенных персональных данных;
6) применяемые меры по защите персональных данных.
4.3. Обезличивание персональных данных, обработка которых в Операторе осуществляется в разных целях, может осуществляться разными методами.
4.4. Сведения о выбранном методе обезличивания персональных данных является конфиденциальным. Уполномоченным должностным лицам запрещается разглашать, передавать третьим лицами распространять сведения о выбранном методе обезличивания персональных данных, которые стали ему известны в связи с выполнением должностных обязанностей.
4.5. Сведения о выбранном методе обезличивания персональных данных и обезличенные данные подлежат раздельному хранению в Операторе.
5. Порядок работы с обезличенными данными.
5.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
5.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
5.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
5.4. Обезличенные данные и персональные данные, в отношении которых было проведено обезличивание, подлежат раздельному хранению в информационной системе.
Материальные носители, содержащие обезличенные данные, и исходные материальные носители, содержащие персональные данные, в отношении которых было проведено обезличивание, подлежат раздельному хранению в Операторе.
5.5. В процессе обработки обезличенных данных уполномоченное должностное лицо при необходимости вправе произвести дообезличивание.
Обработка в Операторе персональных данных, полученных в результате дообезличивания, осуществляется в соответствии с правилами обработки персональных данных в Операторе.
5.6. После достижения цели обработки персональные данные, полученные в результате дообезличивания, подлежат уничтожению.
