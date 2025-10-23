С 1 сентября 2025 года для операторов персональных данных (ПДн) наступило время важного изменения. ФЗ от 08.08.2024 № 233-ФЗ дополнил ФЗ от 27.07.2006 № 152-ФЗ новым механизмом. Теперь государство сможет запрашивать у компаний и ИП обезличенные ПДн граждан. Они должны передаваться в единую государственную систему — Единую информационную платформу национальной системы управления данными (ЕИП НСУД).
Для чего это нужно
Главная цель — развитие технологий и улучшение жизни граждан через анализ больших массивов информации. Государству нужна картина «в целом», а не детали по каждому человеку. Обработка персональных данных с 1 сентября в этом новом контексте означает не работу с конкретными клиентами, а создание агрегированных, статистических блоков информации.
Пример 1: Министерству экономики нужно понять реальные потребительские привычки в малых городах. Оно запрашивает у банков не данные о покупках Иванова И.И., а обобщенную статистику: сколько тратят в месяц жители города N в категориях «продукты», «транспорт», «развлечения», разбитую по условным возрастным группам.
Пример 2: для оптимизации транспортной сети мегаполиса нужны данные о перемещении людей. Операторы связи предоставляют не историю перемещений Петрова П.П., а анонимные агрегированные потоки: сколько «условных устройств» переместилось из района А в район Б в час пик. Никаких привязок к номерам телефонов или паспортным данным.
Ключевые гарантии и ограничения
Важно учитывать следующие условия:
Только обезличенные данные. П. 9 и 9.1 ч. 1 ст.6 ФЗ № 152-ФЗ прямо требуют, чтобы предоставляемые сведения были обработаны так, чтобы невозможно было определить конкретного человека. Минцифры неоднократно подчеркивало: ни государство, ни кто-либо другой не сможет «деобезличить» эти данные и узнать что-то о конкретном человеке.
Запрет на биометрию. Важнейшее ограничение: формировать обезличенные наборы из биометрических персональных данных (отпечатки пальцев, изображение лица, голос и т.д.) строго запрещено. Биометрия остается под особой защитой.
Целевое использование. Собранные в ЕИП НСУД дата-сеты будут использоваться исключительно для выполнения государственных функций:
разработка и мониторинг госпрограмм и нацпроектов;
повышение качества государственных и муниципальных услуг;
социально-экономическое прогнозирование;
научные исследования в общественных интересах;
обеспечение статистического учета.
Особенности передачи обезличенных ПДн в ГИС
Новый порядок передачи обезличенных наборов данных в государственную систему — не просто формальность. Это комплекс строгих правил, нарушение которых грозит операторам серьезной ответственностью. Разберем ключевые изменения по персональным данным с 1 сентября 2025 года, которые определяют сам процесс передачи.
1. Обезличивание по всем правилам. Получив требование от Минцифры, оператор обязан предоставить данные строго в соответствии с методикой, утвержденной постановлением Правительства от 01.08.2025 № 1154. Эта методика — результат совместной работы Правительства и ФСБ.
2. Усиление контроля: ФСБ и ФСТЭК на страже. Раньше ФСБ преимущественно контролировала безопасность ПДн в госструктурах. Теперь ее полномочия расширяются на всех операторов, включая коммерческие компании и ИП. ФСБ получает право проверять выполнение организационных и технических мер безопасности при обработке ПДн в любых информационных системах. Готовьтесь к тому, что инспекторы смогут проверить, как вы храните данные, кто имеет к ним доступ, какие средства криптографии используете и как выполняете обезличивание по новой методике.
3. ФСТЭК также может получить контрольные функции, но с важным ограничением: этот орган не будет иметь права знакомиться с самими персональными данными, только с мерами по их защите и процедурами обезличивания. Его фокус — техническая безопасность систем.
4. «Закрытый контур»: данные никуда не утекут. Переданные в ЕИП НСУД обезличенные ПДн становятся частью строго изолированной государственной системы. Закон устанавливает абсолютный запрет на:
запись данных из ГИС куда-либо еще;
извлечение данных из ГИС;
передачу данных за пределы ГИС;
любое копирование данных вне ГИС.
Этот «закрытый контур» — фундаментальная гарантия. Даже обезличенные данные не могут покинуть государственную платформу, минимизируя риски их нецелевого использования или утечки.
Чем рискует бизнес
Если вы работаете с персональными данными клиентов, сотрудников и других физлиц, вы потенциально можете получить запрос от Минцифры о предоставлении обезличенных ПДн. Ваша новая обязанность — технически подготовить и передать требуемый набор данных в установленном порядке. Это не повод для паники, но сигнал к подготовке: убедитесь, что ваши процессы обработки персональных данных позволяют корректно выполнить обезличивание в соответствии с новыми требованиями закона.
Также учтите, что после изменений в законе о персональных данных с 1 сентября возрастает вероятность внеплановой проверки ФСБ. Сотрудники могут запросить все документы по работе с ПДн: Политику обработки, модель угроз, журналы учета, оценку потенциального вреда субъектам при утечке, и т.д. Если обнаружат нарушения, компанию могут оштрафовать.
Как подготовиться к изменениям
Работа с персональными данными с 1 сентября 2025 года потребуют от вас не пассивного наблюдения, а активных действий. Избежать штрафов от Роскомнадзора и потери доверия клиентов поможет только системная подготовка:
1. Проведите глубокий аудит текущих процессов. Проанализируйте всю цепочку работы с ПДн: сбор, хранение, обработку, обезличивание, уничтожение и т.д. Цель — выявить слабые места:
Соответствует ли хранение и обезличивание актуальным требованиям?
Правильно ли оформлены обязательные документы: Политика обработки ПДн, согласия, модель угроз, оценка вреда и прочее?
Насколько существующие методы обезличивания эффективны сейчас? Смогут ли они соответствовать новой методике?
2. Срочно обновите внутренние документы:
Внесите правки в Политику обработки ПДн с учетом новых требований к обезличиванию.
Разработайте/актуализируйте пакет документов согласно приказу Роскомнадзора от 19.06.2025 № 140: он должен детально описывать процедуру, ответственных, используемые методы и т.д.
Пересмотрите регламенты работы сотрудников: добавьте блоки, связанные с подготовкой данных для передачи по запросу государства и новыми правилами безопасности.
Сформируйте шаблон согласия: если основанием для обработки ПДн, которые могут быть запрошены для обезличивания и передачи, является согласие субъекта, в него необходимо заранее включить пункт о возможной передаче обезличенных данных в государственные информационные системы для общественно значимых целей.
3. Протестируйте обезличивание на «деанонимизацию». Это критически важно. Возьмите реальный, но безопасный срез ПДн, примените текущие методы обезличивания и попробуйте ответить: можно ли по полученному обезличенному набору с высокой вероятностью идентифицировать конкретного человека? Если тест показал уязвимости — немедленно меняйте алгоритмы. Помните: некорректное обезличивание = нарушение 152-ФЗ, а это штрафы и репутационный ущерб.
4. Обучите команду — от топ-менеджмента до рядовых исполнителей.
Новые обязанности и правила безопасности должны быть понятны всем, кто работает с ПДн:
Руководителям: понимают суть изменений, риски и стратегию компании.
IT-специалистам и ответственному за обработку ПДн: детально ли знают новую методику обезличивания, технические требования безопасности, порядок передачи данных в ГИС.
Сотрудникам, работающим с данными (операторы call-центров, маркетологи, кадровики и т.д.): четко ли осознают важность корректной работы с ПДн, изменения в регламентах, запрет на действия, ведущие к деанонимизации.
5. Зарегистрируйтесь в реестре операторов. Если вы обязаны уведомлять регулятора об обработке ПДн (ст. 22 ФЗ № 152-ФЗ), но еще не сделали этого, направьте уведомление как можно скорее. Если уведомление есть — проверьте его актуальность и соответствие сведений в реестре операторов.
6. Регулярно проводите аудит. Работа с ПДн ведется постоянно, поэтому важно:
Внедрить практику регулярных (минимум раз в год) правовых и технических аудитов.
Привлекать юристов по ФЗ № 152-ФЗ и технических специалистов. Их опыт позволит «под ключ» выстроить и поддерживать вашу систему в соответствии с быстро меняющимися требованиями ФСБ, Роскомнадзора и ФСТЭК, минимизируя ваши риски
