При использовании Оператором процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
Обезличивание персональных данных субъектов должно производиться Оператором перед внесением их в информационную систему.
В процессе обработки обезличенных данных Оператором, при необходимости, может проводиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания уничтожаются.
Обработка персональных данных до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.
Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения данных.
При обработке обезличенных данных необходимо выделять зоны ответственности Операторов, субъектов и/или организаций, поручивших обработку Оператору.
Алгоритмы для реализации процедур обезличивания и программное обеспечение должны обеспечивать переносимость на различные аппаратные платформы.
Действия, связанные с внесением изменений и дополнений в массив обезличенных данных следует проводить в режиме транзакций и отражать в соответствующем журнале.
Следует вести архив запросов на обработку данных.
Субъект персональных данных должен иметь возможность получить сведения о составе его персональных данных, имеющихся у Оператора.
Хранение и защиту дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания, следует обеспечить в соответствии с внутренними процедурами обеспечения конфиденциальности, установленными у Оператора. При этом должно обеспечиваться исполнение установленных правил доступа пользователей к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.
Процедуры обезличивания/деобезличивания должны встраиваться в процессы обработки персональных данных как их неотъемлемый элемент, а также максимально эффективно использовать имеющуюся у Оператора инфраструктуру, обеспечивающую обработку персональных данных.
Оператору рекомендуется разработать и применять при осуществлении своей деятельности документацию, включающую:
- описание применяемых процедур и их программного обеспечения;
- инструкции по проведению процедур обезличивания/деобезличивания;
- инструкции по обработке обезличенных данных;
- инструкции проведения контроля качества обезличенных данных и процедур обезличивания;
- порядок взаимодействия с другими Операторами;
- инструкции по обеспечению безопасности дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания;
- техническую и эксплуатационную документацию, поставляемую с программными средствами, обезличивания/деобезличивания.
