Приложение 4. Приказ Минэнерго России от 24.09.2020 N 808 "Об обработке персональных данных в Министерстве энергетики РФ" (вместе с "Правилами обработки персональных данных в Министерстве энергетики РФ", "Правилами рассмотрения запросов субъектов персональных данных или их представителей в Министерстве энергетики РФ", "Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами Министерства энергетики РФ", "Правилами работы с обезличенными данными в случае обезличивания персональных данных в Министерстве энергетики РФ", "Порядком доступа федеральных государственных гражданских служащих Министерства энергетики РФ в помещения, в которых ведется обработка персональных данных") (Зарегистрировано в Минюсте России 27.10.2020 N 60597)

1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее - постановление Правительства Российской Федерации N 211), от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - постановление Правительства Российской Федерации N 1119), приказами Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован Министерством юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608) с изменениями, внесенными приказами Федеральной службы по техническому и экспортному контролю от 15 февраля 2017 г. N 27 (зарегистрирован Министерством юстиции Российской Федерации 14 марта 2017 г., регистрационный N 45933), от 28 мая 2019 г. N 106 (зарегистрирован Министерством юстиции Российской Федерации 13 сентября 2019 г., регистрационный N 55924) (далее - приказ ФСТЭК России N 17), и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (далее - приказ Роскомнадзора N 996).

2. Обезличивание персональных данных в Министерстве энергетики Российской Федерации (далее - Министерство) проводится в статистических или иных исследовательских целях, а также с целью снижения ущерба от разглашения защищаемых персональных данных, снижения класса автоматизированных информационных систем, оператором которых является Министерство (далее - автоматизированные информационные системы), и по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей.

3. Обезличиванию подвергаются персональные данные, обработка которых осуществляется в автоматизированных информационных системах.

4. Обезличивание персональных данных, обрабатываемых в автоматизированных информационных системах, осуществляется методами, определенными приказом Роскомнадзора N 996.

5. В процессе реализации процедуры обезличивания персональных данных необходимо соблюдать требования, предъявляемые к выбранному методу обезличивания, установленные приказом Роскомнадзора N 996.

6. Перечень федеральных государственных гражданских служащих Министерства (далее - гражданские служащие Министерства), ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается приказом Министерства в соответствии с подпунктом "б" пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации N 211. Обязанности по обезличиванию персональных данных подлежат закреплению в должностных регламентах гражданских служащих Министерства.

7. В случае необходимости обезличивания персональных данных, обрабатываемых в автоматизированных информационных системах, структурные подразделения Министерства, непосредственно осуществляющие обработку персональных данных, осуществляют подготовку предложений по обезличиванию персональных данных с обоснованием необходимости и выбранного метода обезличивания персональных данных и направляют указанную информацию в Департамент информационного обеспечения и цифровой трансформации ТЭК Министерства (далее - Департамент информационного обеспечения) в форме служебной записки, подписанной руководителем структурного подразделения Министерства (уполномоченным им лицом).

8. Обезличивание персональных данных, обрабатываемых в автоматизированных информационных системах, обеспечивает Департамент информационного обеспечения.

9. В случае принятия Департаментом информационного обеспечения решения о необходимости обезличивания персональных данных, обрабатываемых в автоматизированных информационных системах, в соответствии с пунктом 2 настоящих Правил, обезличивание персональных данных обеспечивается Департаментом информационного обеспечения по согласованию со структурным подразделением Министерства, непосредственно осуществляющим обработку соответствующих персональных данных.

10. Обработка обезличенных персональных данных может осуществляться на бумажных носителях без использования средств автоматизации, а также в автоматизированных информационных системах.

11. Обработка обезличенных данных с использованием средств автоматизации осуществляется с соблюдением (использованием):

парольной и антивирусной защиты;

требований к резервному копированию;

требований к работе со съемными носителями (при их использовании);

порядка доступа в помещения, в которых осуществляется хранение и (или) ведется обработка обезличенных данных.

12. При хранении обезличенных персональных данных следует:

организовать раздельное хранение обезличенных персональных данных и дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных;

обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.

13. При обработке обезличенных персональных данных в автоматизированных информационных системах обеспечивается соблюдение требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации N 1119, а также организационно-технических мер по обеспечению безопасности персональных данных, определенных приказом ФСТЭК России N 17, с учетом уровней защищенности персональных данных, определенных для автоматизированных информационных систем, в которых осуществляется обработка персональных данных.