Внутренний отчёт об обезличивании персональных данных — это документ, который подтверждает факт применения методов обезличивания и позволяет оператору доказать выполнение требований ФЗ-152 и Постановления Правительства РФ от 01.08.2025 № 1154.
Такой отчёт может называться «Акт обезличивания ПДн» или «Протокол обезличивания ПДн». Он составляется ответственным лицом или комиссией и утверждается руководителем.
Что включить в отчёт об обезличивании
- Реквизиты документа — номер, дата составления, место.
- Основание — ссылка на внутренний регламент обезличивания, приказ о назначении ответственных.
- Описание массива данных — какие категории ПДн обрабатывались (ФИО, паспортные данные, телефоны и т. д.).
- Метод обезличивания — ссылка на утверждённые методы (например, метод введения идентификаторов, метод декомпозиции, метод перемешивания).
- Результат процедуры — указание, что после обезличивания невозможно определить личность субъекта без дополнительной информации.
- Лица, проводившие процедуру — ФИО, должности, подписи.
- Утверждение руководителя — подпись директора или иного уполномоченного лица.
- Приложения (при необходимости) — таблицы с результатами, технические журналы, отчёты из информационных систем.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — определяет обезличивание как действия, делающие невозможным определение личности субъекта.
- Ст. 131 ФЗ-152 — закрепляет правила обезличивания и обязанность операторов их документировать.
- Постановление Правительства РФ № 1154 от 01.08.2025 — утверждает методы и правила обезличивания ПДн, вступившие в силу с 01.09.2025.
- Ст. 19 ФЗ-152 — организационные меры должны быть подтверждены локальными актами и документами.
Практика проверок Роскомнадзора
Роскомнадзор требует у операторов подтверждающие документы: регламент по обезличиванию и акты, показывающие фактическое применение методов. Там, где оператор ограничивается лишь описанием процедуры «на бумаге», но не ведёт протоколов, проверяющие указывают на нарушение. В успешных кейсах компании предоставляли акты обезличивания с приложенными таблицами, что было признано достаточным.
Что важно учитывать
- Отчёт должен быть оформлен по унифицированной форме, принятой в организации.
- Рекомендуется вести журнал обезличивания ПДн, куда заносятся все факты процедур, а акты хранятся отдельно.
- Лучше закрепить обязанность по составлению отчёта в должностных инструкциях ответственных сотрудников.
Рекомендации и выводы
Да, внутренний отчёт об обезличивании обязателен — без него невозможно доказать факт применения методов, установленных законом. Наиболее надёжная форма — акт (протокол) с подписями ответственных и утверждением руководителя.
Компания ICTech подготовит для вашей организации шаблон акта об обезличивании и журнал фиксации процедур, чтобы вы могли без риска пройти проверку Роскомнадзора.
