Если нужно обезличить персональные данные, руководитель организации утверждает:

· правила работы с обезличенными данными;

· перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.

Такие правила предусмотрены в подпункте «б» пункта 1 перечня, утвержденного постановлением Правительства от 21.03.2012 № 211.

Конкретные требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах, установлены в требованиях и методах, утвержденных приказом Роскомнадзора от 05.09.2013 № 996.

Основным требованием к обезличиванию персональных данных является обеспечение не только защиты от несанкционированного использования, но и возможности их обработки. Для этого обезличенные данные должны обладать свойствами, которые сохраняют основные характеристики обезличиваемых персональных данных. В частности, такие свойства:

· полнота, то есть сохранение всей информации о конкретных людях или группах людей, которая имелась до обезличивания;

· структурированность, то есть сохранение структурных связей между обезличенными данными конкретного человека или группы людей, которые имелись до обезличивания;

· применимость, то есть возможность решения задач обработки персональных данных без предварительного обезличивания всего объема записей о людях;

· анонимность, то есть невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.

Такие правила установлены пунктами 3–4 требований и методов, утвержденных приказом Роскомнадзора от 05.09.2013 № 996.

Основные требования к методам обезличивания персональных данных:

· обеспечение требуемых свойств обезличенных данных;

· соответствие предъявляемым требованиям к характеристикам методов;

· реализация методов в различных программах;

· решение поставленных задач обработки персональных данных.

К наиболее перспективным и удобным для практического применения относят следующие методы обезличивания:

· метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;

· метод изменения состава или семантики, то есть изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;

· метод декомпозиции, то есть разбиение массива персональных данных на несколько частей с последующим раздельным хранением;

· метод перемешивания, то есть перестановка отдельных записей, а также групп записей в массиве персональных данных.

Об этом сказано в пунктах 10–15 требований и методов, утвержденных приказом Роскомнадзора от 05.09.2013 № 996.

Коммерческие организации в целях безопасности работы с персональными данными работников также вправе, но не обязаны заниматься обезличиванием. Если решите обезличивать персональные данные, то конкретный метод обезличивания закрепите в локальном акте, например в положении о работе с персональными данными сотрудников (ст. 8, 87 ТК, п. 3 ст. 3, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Проверки соблюдения требований к обработке персональных данных

Роскомнадзор проверяет работодателей по вопросам обработки персональных данных. Об этом Административный регламент, который утвержден приказом Минкомсвязи от 14.11.2011 № 312.

В ходе контроля деятельности работодателя по обработке персональных данных проверяют:

· документы, характер информации в которых предполагает или допускает включение в них персональных данных;

· информационные системы персональных данных;

· деятельность по обработке документов и данных.

Такие правила установлены пунктами 5–5.3 Административного регламента, утвержденного приказом Минкомсвязи от 14.11.2011 № 312.

Роскомнадзор проводит как плановые, так и внеплановые проверки в форме документарных или выездных (ст. 9–12 Закона от 26.12.2008 № 294-ФЗ). Права и обязанности должностных лиц Роскомнадзора при проверках определены в пунктах 6 и 7 Административного регламента, утвержденного приказом Минкомсвязи от 14.11.2011 № 312.

Проверять деятельность работодателя по обработке персональных могут не более 20 рабочих дней. При этом для субъектов малого предпринимательства общий срок выездных плановых проверок не может превышать в год:

· 50 часов – для малого предприятия;

· 15 часов – для микропредприятия.

В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на 20 рабочих дней, а для малых и микропредприятий – не более чем на 15 часов. Это возможно, если в ходе осуществления проверки возникнет необходимость в проведении:

· сложных и длительных исследований, испытаний;

· специальных экспертиз и расследований.

Такие правила установлены статьей 13 Закона от 26.12.2008 № 294-ФЗ.

Руководитель или иное уполномоченное лицо проверяемой организации (индивидуального предпринимателя) обязаны предоставить должностным лицам Роскомнадзора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, если таковой не предшествовала документарная. Кроме этого, необходимо обеспечить доступ проверяющих должностных лиц на территорию организации, в используемые при осуществлении обработки персональных данных здания, строения, сооружения, помещения, а также обеспечить их доступ к используемому оборудованию. Такой порядок установлен пунктами 6, 70.5 Административного регламента, утвержденного приказом Минкомсвязи от 14.11.2011 № 312.

По результатам проверки соблюдения законодательства об обработке персональных данных составляют акт, форма которого утверждена приказом Минэкономразвития от 30.04.2009 № 141. При выявлении нарушений дополнительно составляют предписание об их устранении. Так предусмотрено пунктами 76, 77, 85 Административного регламента, утвержденного приказом Минкомсвязи от 14.11.2011 № 312.

Если не согласны с выводами проверяющих из Роскомнадзора и их действиями в ходе проверки, можете подать жалобу (п. 4 ст. 21 Закона от 26.12.2008 № 294-ФЗ).