Новые правила обезличивания данных

Блог в телеграме: https://t.me/kakoba_m

Сайт: https://kakoba.ru/

Сетка: https://set.ki/NPe2xLH

С 1 сентября 2025 г. операторы персональных данных сталкиваются с обновлёнными правилами, которые введены Приказом Роскомнадзора от 19.06.2025 N 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», который в свою очередь дополнительно отменяет Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных" (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»).

Суть документа по существу: теперь обезличивание возможно только по утверждённым методикам, и процесс должен быть строго регламентирован. Новый Приказ № 140 усиливает безопасность и ответственность бизнеса, адаптируя регулирование под современные вызовы цифровой экономики.

Что изменилось для операторов?

Автор, напоминает, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Тем самым, по букве закона, даже условный Василий, указывающий услуги сантехника в частном порядке, и условная Василиса, оказывающая услуги на дому по наращиванию волос, будут являться операторами и обрабатывающими персональные данные. Спросите, как так? Ответ: у них есть телефон / записная книжка (бумажная), они добавили ваши контактные данные – телефон и ФИО. По ним можно идентифицировать вас? Можно! Следовательно они операторы, т.к. обработали ваши данные путём записи в базу данных и не важно электронная она или бумажная.

Отменён приказ 2013 года, новые требования — исключительно методы из приложения № 2 (например, ввод идентификаторов, обобщение, перемешивание).

Подавать обезличенные данные можно без согласия гражданина, если используются допустимые методы — это открывает новые возможности для аналитики и ИИ‑технологий.

Обезличенные наборы ПДн могут теперь передаваться в ГИС (например, ЕИП НСУД) — но биометрия исключается из числа допустимых данных.

Уведомление субъектов данных о передаче обезличенных данных становится обязательным, с возможностью отказа.

Тут может закрасться сомнение в противоречии между подачей обезличенных данных без согласия гражданина и обязательным уведомлением субъектов данных о передаче обезличенных данных. Между тем, таких противоречий нет по следующим основаниям. 

Согласно п. 9 ст. 3 ФЗ-152, обезличенные персональные данные — это данные, сделанные неразличимыми в результате обезличивания, после чего они перестают быть персональными.

Ст. 6 ФЗ-152 прямо указывает, что обработка персональных данных допустима без согласия субъекта в случаях, предусмотренных законом (п. 1.1), а обезличенные данные не подпадают под регулирование ФЗ-152, так как перестают быть персональными.

Приказ № 140 (2025 г.) устанавливает методы обезличивания (например, введение идентификаторов, удаление атрибутов, перемешивание), которые, если применены корректно, гарантируют невозможность идентификации субъекта без дополнительной информации (п. 1.4 Требований).

Если данные обезличены строго по требованиям Приказа № 140, они теряют статус персональных, и их передача третьим лицам не требует согласия субъекта. Это действительно создает возможности для аналитики и ИИ.

«Уведомление субъектов данных о передаче обезличенных данных становится обязательным, с возможностью отказа» — это утверждение содержит юридическую неточность, которая и вызывает вопрос о противоречии.

Если данные ОБЕЗЛИЧЕНЫ ПО ПРАВИЛАМ (Приказ № 140):

Они не являются персональными, поэтому:

• Уведомление субъекта о передаче не требуется (ст. 14 ФЗ-152 регулирует уведомление только для персональных данных).

• "Возможность отказа" юридически бессмысленна, так как обезличенные данные не относятся к субъекту.

Если данные НЕДОСТАТОЧНО ОБЕЗЛИЧЕНЫ:

• Если методы обезличивания применены некорректно (например, не соблюдены требования Приказа № 140), данные остаются персональными.

В этом случае:

• Передача третьим лицам требует согласия субъекта (п. 4 ст. 6 ФЗ-152).

• Оператор обязан уведомить субъекта о целях обработки и передаче (ст. 14 ФЗ-152).

Граница между обезличенными и персональными данными:

• Приказ № 140 (п.4) четко указывает: обезличенные данные должны исключать возможность идентификации без использования дополнительной информации.

• Если оператор сохраняет ключи для деанонимизации (например, таблицу соответствия идентификаторов и ФИО), данные остаются персональными, даже если формально «обезличены».

Разрешение противоречия:

• Утверждение «уведомление субъектов данных о передаче обезличенных данных становится обязательным, с возможностью отказа» корректно только для случая, когда обезличивание выполнено с нарушениями (например, оператор сохраняет ключи для деанонимизации или использует неутвержденные методы).

• В этом случае данные фактически остаются персональными, и оператор обязан:

• Уведомить субъекта о передаче.

• Получить согласие на обработку.

Пример:

Если оператор использует метод введения идентификаторов (п. 2 Методов), но хранит ключи сопоставления в одной системе с обезличенными данными (нарушение требований), данные остаются персональными. Тогда передача таких «обезличенных» данных требует уведомления и согласия субъекта.

Основные требования Приказа № 140 по приложению № 1

1. Определение состава данных и субъектов, подлежащих обезличиванию.

2. Оценка достаточности метода, исходя из целей и состава данных.

3. Гарантия невозможности идентификации без дополнительных сведений.

4. Техническая безопасность: защита исходных и обезличенных данных при автоматизированной обработке.

5. Раздельное хранение всех типов данных и ключей.

6. Учет операций: ведение журналов или иной формы фиксации действий.

7. Локальные нормативные акты (ЛНА): регламенты, алгоритмы, порядок — хранятся отдельно и доступны только уполномоченным лицам.

Разрешённые методы обезличивания (Приложение № 2)

1. Введение идентификаторов (ID-кодирование, хранение ключа отдельно).

2. Изменение состава или семантики: удаление, искажение, обобщение, замена символами или случайными значениями.

3. Перемешивание данных между записями — с документированием алгоритма.

4. Декомпозиция: разделение массива на части и их хранение в разных системах.

5. Преобразование массива: агрегация или обобщение для усиления защиты; часто применяется в комплекс с другими методами.

Что на данный момент необходимо сделать?

1. Экспресс-аудит - определите, какие данные и зачем обезличиваете;

2. Локальные акты - утвердите регламенты: методы, хранение, учет, ответственные лица;

3. Хранение - разделите оригинальные, обезличенные данные и ключи.

4. Обеспечение безопасности Внедрите ПО и ИС с контролем доступа и логированием.

5. Учёт операций - ведите журнал с датой, методом, ответственным лицом.

Вывод можно сделать простой, что это логический шаг на фоне крупных утечек персональных данных, ото повышает барьер для компаний, обрабатывающих ПД и снижает риски идентификации субъектов в случае утечек или несанкционированного доступа. Вопрос остается в технических возможностях, все ли смогут соответствовать требованиям.