Обезличивание персональных данных: новые требования для бизнеса

Обезличивание ПДн - это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Выбор правил, применяющихся к обезличиванию, будет зависеть от того, выполняет ли оператор ПДн обезличивание по требованию Минцифры или использует обезличивание для собственных нужд. Оба документа, устанавливающих порядок обезличивания, вступили в силу с 1 сентября 2025 года:
1. Приказ Роскомнадзора от 19.06.2025 №140 – закрепляет требования к обезличиванию во всех случаях, за исключение тех, когда оператор ПДн обязан их обезличить по запросу Минцифры;
2. Постановление Правительства от 01.08.2025 №1154 – содержит требования, когда оператор обезличивает данные по запросу Минцифры.

В августе 2024 года приняты поправки в ФЗ “О персональных данных”, согласно которым с 1 сентября 2025 года по запросу Минцифры операторы ПДн обязаны предоставлять обезличенные персональные данные в специальную государственную информационную систему (ГИС) Минцифры. 

После поступления обезличенных ПДн Минцифры формирует составы данных и предоставляет к ним доступ пользователям системы. Такими пользователями могут являться государственные и муниципальные органы, а также граждане и юридические лица, соответствующие установленным требованиям. Однако для граждан и юридических лиц установлено особое условие, согласно которому получить доступ к обезличенным данным они смогут только по истечении одного года со дня их предоставления в систему.

В случае если оператор ПДн получает требование Минцифры о предоставлении обезличенных ПДн, он должен произвести обезличивание, применяя установленные методы:

а) метод введения идентификаторов (замена части сведений, составляющих ПДн, идентификаторами с созданием таблицы соответствия таких идентификаторов исходным данным);
б) метод изменения состава или семантики (изменение состава или семантики ПДн, в том числе путем замены результатами статистической обработки или удаления части сведений);
в) метод декомпозиции (разделение массива ПДн на несколько частей с последующим раздельным их хранением);
г) метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных);
д) метод преобразования (агрегация массива ПДн, полученных в результате обезличивания, путем обобщения элементов структуры массива ПДн, подлежащих обезличиванию, имеющих качественные или количественные значения применительно к каждому субъекту ПДн)

Минцифры может направить данное требование любому оператору ПДн. Напомним, что операторами ПДн являются любые лица, осуществляющие обработку этой категории данных (и физические лица, и юридические лица).

Минцифры может может запросить любые категории ПДн, кроме:

• специальных категорий ПДн (например, касающихся национальной принадлежности или состояния здоровья), за исключением ПДн, предусмотренных частью 2.1 статьи 10 ФЗ «О персональных данных»;
• биометрических ПДн.

Оператор может направить мотивированный отказ в предоставлении данных в случае, если у него отсутствуют такие данные. Отказ должен быть направлен в течение 5 рабочих дней со дня получения требования о предоставлении обезличенных данных (п. 5 постановления Правительства РФ от 26.06.2025 №966).

В такой ситуации уполномоченный орган повторно направляет требование о предоставлении данных не позднее 15 рабочих дней со дня их получения от оператора (п. 6 постановления Правительства РФ от 26.06.2025 №966). Оператор должен повторно направить исправленные и (или) дополненные обезличенные данные.

Введение новых законодательных требований к обезличиванию ПДн может потребовать изменения существующих процессов обработки ПДн в компании. Юристы ЦПО групп помогут привести бизнес-процессы в соответствие с требованиями законодательства и минимизировать риски.