Алексей Ветров
Эксперт по защите данных IC-TECH
Да, журнал обезличивания персональных данных рекомендуется вести, особенно после вступления в силу новых правил об обезличивании (Постановление Правительства РФ от 01.08.2025 № 1154, вступает в силу с 01.09.2025). Закон прямо обязывает оператора документировать процесс обезличивания, чтобы доказать, что данные перестали быть связанными с конкретными субъектами.
Фиксация обезличивания в журнале необходима по двум причинам:
- Для доказательства законности действий при проверке Роскомнадзора или ФСТЭК.
- Для внутреннего контроля за корректностью применения методов обезличивания.
Что должно быть в журнале
Рекомендуется включать следующие графы:
- Номер записи.
- Дата проведения обезличивания.
- Категория данных или массив (например, база резюме, статистика продаж, логи посещений сайта).
- Метод обезличивания (идентификаторы, изменение состава, декомпозиция, перемешивание, преобразование — по Постановлению № 1154).
- Основание для обезличивания (истечение срока хранения, подготовка статистики, выполнение предписания).
- Ответственный за проведение процедуры (ФИО, должность).
- Номер и дата протокола или акта об обезличивании.
Фиксация обезличивания в журнале необходима по двум причинам:
- Для доказательства законности действий при проверке Роскомнадзора или ФСТЭК.
- Для внутреннего контроля за корректностью применения методов обезличивания.
Что должно быть в журнале
Рекомендуется включать следующие графы:
- Номер записи.
- Дата проведения обезличивания.
- Категория данных или массив (например, база резюме, статистика продаж, логи посещений сайта).
- Метод обезличивания (идентификаторы, изменение состава, декомпозиция, перемешивание, преобразование — по Постановлению № 1154).
- Основание для обезличивания (истечение срока хранения, подготовка статистики, выполнение предписания).
- Ответственный за проведение процедуры (ФИО, должность).
- Номер и дата протокола или акта об обезличивании.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — обезличивание определяется как действия, исключающие идентификацию субъекта без дополнительной информации.
- Ст. 5, ч. 7 ФЗ-152 — по достижении целей данные должны быть уничтожены или обезличены.
- Ст. 131 ФЗ-152 — установлены требования к порядку обезличивания ПДн.
- Постановление Правительства РФ от 01.08.2025 № 1154 — закрепляет методы и правила обезличивания, а также обязанность фиксировать процесс.
- Методические рекомендации Роскомнадзора — оператор должен документально подтверждать обезличивание.
Практика и позиция Роскомнадзора
Роскомнадзор при проверках запрашивает документы, подтверждающие обезличивание: протоколы, акты, журналы. Там, где фиксировался только результат (например, база без ФИО), но не было журналов, инспекторы требовали наладить процедуру документирования. В компаниях, где вели журнал и прикладывали акты, процесс признавался корректным.
Что важно учитывать компаниям
- Журнал должен быть утверждён приказом и вестись ответственным за ПДн.
- Записи должны подтверждаться протоколами или актами.
- Электронная форма допустима, если исключена возможность редактирования задним числом.
- Важно указывать именно метод обезличивания, установленный Постановлением № 1154.
Рекомендации и выводы
Да, журнал обезличивания ПДн нужен как обязательный элемент доказательной базы при проверках. Чтобы действовать правильно:
- Утвердите форму журнала и назначьте ответственного.
- Фиксируйте все факты обезличивания с указанием метода и основания.
- Составляйте протокол или акт и указывайте его реквизиты в журнале.
Компания ICTech разработает для вашей организации форму журнала обезличивания ПДн и встроит его в пакет документов по 152-ФЗ, чтобы при проверке не возникло претензий.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
