22 сент. в 12:46Защита персональных данных

Обезличивание персональных данных: новые правила с 1 сентября 2025 года

С 1 сентября 2025 года вступил в силу целый ряд изменений, касающихся обезличивания персональных данных. С одной стороны, поправки открывают бизнесу новые возможности для аналитики и маркетинга. С другой — такую информацию может запросить Минцифры, и коммерческие субъекты обязаны ее предоставить, иначе грозят штрафы.

Что значит «обезличивание»

Термин «обезличивание» закреплен в п. 9 ст. 3 закона от 27.07.2006 № 152-ФЗ о персданных. Это процесс, при котором персональные данные (ПДн) преобразуются таким образом, что идентифицировать по ним человека напрямую или косвенно без дополнительной информации становится невозможным.

В результате данные теряют связь с конкретной личностью, но сохраняют пользу для анализа и обработки. Например, их можно использовать в статистических исследованиях, маркетинге, машинном обучении искусственного интеллекта, научных работах и т. д. Кроме того, обезличенная информация может пригодиться для государственного планирования, создания социальных программ

Зачем государству обезличенные данные. Например, в Москве проходит эксперимент по анализу транспортных потоков, загруженности общественных пространств, эффективности работы служб. Для обучения искусственного интеллекта нужны реальные данные, при этом важно не нарушить права граждан. Поэтому государство обращается к операторам связи, транспортным сервисам, городским системам с запросом: обезличить и передать соответствующие данные.

Разница между обезличенными данными и анонимными

Обезличенные данные можно вернуть к исходному состоянию с помощью дополнительной информации, а анонимизация стирает связь с личностью полностью.

Например, интернет-магазины в основном используют cookie через обезличивание. Этот способ позволяет анализировать предпочтения клиентов, реализовывать маркетинговые задачи, но при этом сохраняет возможность идентификации при необходимости (можно восстановить ФИО, адрес, историю покупок).

Полная анонимизация применяется там, где нужна абсолютная защита личности, например, в медицинских исследованиях (при сборе статистики по заболеваниям), в банковском секторе (для анализа транзакций и предотвращения мошенничества).

Топ ошибок в работе с персональными данными, которые могут привести к многомиллионным штрафам

Проверьте, правильно ли ваша компания обрабатывает персональные данные

Заполните форму ниже, вышлем мануал вам на e-mail:

Что изменилось в процедуре обезличивания с 1 сентября 2025 года

С 1 сентября 2025 года в России действуют новые правила обезличивания персональных данных. Какие из них применять — зависит от того, по какой причине оператор обезличивает ПДн. Он может это делать по запросу Минцифры или для себя. Новые правила прописаны в двух нормативных документах:

Постановление Правительства от 01.08.2025 № 1154. В документе указаны требования к обезличиванию персональных данных и методы для тех случаев, когда оператор обезличивает ПДн по запросу Минцифры.
Приказ Роскомнадзора от 19.06.2025 № 140. В документе описаны требования к обезличиванию персональных данных и методы для всех случаев обработки ПДн, за исключением их обезличивания по требованию Минцифры.

С 1 сентября 2025 года Минцифры формирует электронную базу ЕИП НСУД, которая включает обезличенные ПДн российских граждан, сгруппированные по ряду признаков. Такой ресурс нужен государству для повышения эффективности управления. Госструктуры могут использовать информацию из электронной базы для анализа, прогнозирования и управления без риска нарушения прав граждан и раскрытия их личной информации.

Перечень случаев, для которых Правительство собирает данные, закрытый. К ним относятся:

угроза возникновения или возникновение чрезвычайных ситуаций на отдельной местности;
введение режима ЧП на территории всей РФ;
противодействие терроризму;
предупреждение инфекционных и массовых неинфекционных заболеваний;
реализация миграционной политики;
прогнозирование санитарно-эпидемиологической обстановки;
статистические исследования в сфере туризма.

Если оператор персональных данных получает запрос от Минцифры, он должен обезличить запрашиваемые данные так, чтобы в дальнейшем было невозможно определить конкретного субъекта ПДн. В этом случае данные расшифровать и вернуть в исходный вид нельзя.

Отказать ведомству коммерческая организация или ИП не может: если Минцифры направило вам запрос, нужно обезличить запрашиваемые сведения и предоставить их в обезличенном формате в ЕИП НСУД. Иначе грозит штраф по ст. 13.11 КоАП.

Если оператор обезличивает персональные данные для собственных нужд, необходимо следовать правилам из приказа Роскомнадзора от 19.06.2025 № 140. Эти правила компании и ИП должны зафиксировать в своих ЛНА. Обезличенные ПДн для собственных целей возможно вернуть в исходный вид.

Если у вас есть вопросы о новых требованиях, обращайтесь за поддержкой в «Центр безопасности данных». Эксперты приведут документацию и внутренние процессы вашего бизнеса в соответствие с законом №152-ФЗ и помогут избежать серьезных штрафов.

Оставить заявку

Как обезличить персональные данные клиентов или сотрудников

Методы обезличивания также установлены законом и перечень их строго ограничен. Можно использовать один или сразу несколько способов:

Метод введения идентификаторов (псевдонимизация) — замена реальных данных на коды с созданием отдельной таблицы соответствий.
Метод изменения состава или семантики — удаление, замена или искажение части данных (например, вместо точной даты рождения оставить только год).
Метод декомпозиции — разделение данных на части для отдельного хранения.
Метод перемешивания — перестановка атрибутов между записями.

Обезличивание проводится по четкой процедуре. Сначала анализируют исходный массив, затем оператор выбирает метод обработки, обезличивает с его помощью данные, в завершение обязательно тестирует результат на обратимость и обеспечивает безопасное хранение обезличенных данных.

Чек-лист для подготовки бизнеса

1. Разработать или обновить внутренние регламенты по обезличиванию персональных данных, если оператор планирует осуществлять обезличивание по собственной инициативе.

Утвердите отдельный локальный акт с подробным описанием, какие данные и в каких ситуациях обезличиваются, как тестируется обратимость и хранится массив информации.

2. Выбрать и внедрить подходящие методы обезличивания из официально утвержденных.

Формализуйте выбранные методы в ЛНА, то есть подробно опишите алгоритмы и правила их применения. Так, при методе изменения состава или семантики данных определите, какие атрибуты удаляются или искажаются. Например, вместо точной даты рождения можно оставлять только год.

Настроить раздельное хранение персональных и обезличенных данных. Выделите для этого отдельные электронные базы или сегменты в них.
Назначить ответственных за работу с ЕИП НСУД и обеспечить техническое подключение к системе.

Это нужно для случаев, если поступил запрос от Минцифры на предоставление обезличенных ПДн.

3. Провести обучение персонала. Обучите сотрудников, ответственных за обезличивание.

Подготовить бизнес к изменениям и без стресса начать работу с обезличенными данными помогут специалисты «Центра безопасности данных». Компания предлагает как готовые решения, так и индивидуальные проекты «под ключ», адаптированные под специфику вашей компании и масштабы обработки данных.

Эксперты проведут комплексный анализ внутренней документации и организационно-технических мер, а также оценят готовность бизнеса к внедрению процедур обезличивания и взаимодействию с Минцифры при поступлении запроса. По итогам вы получите официальное заключение с результатами аудита и конкретными рекомендациями.

Услуги по приведению в соответствие обработки персональных данных

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFGub5oN

Центр безопасности данных

Защищаем компании от рисков с 2012 года

23 подписчика 6 постов