Обезличивание персональных данных: новые требования с 1 сентября 2025 года

С 1 сентября 2025 года надо направлять по запросу Минцифры обезличенные персональные данные (ПД). Рассказываем, что такое обезличивание ПД, какие к нему есть требования и как его организовать в компании.

Что такое обезличивание персональных данных

Есть три способа защиты ПД от несанкционированного доступа злоумышленников:

Способ 1 — блокирование — прекращение обработки ПД.

Способ 2 — обезличивание — изменение данных о субъекте таким образом, что без дополнительной расшифровки нельзя понять, какому именно человеку они принадлежат.

Способ 3 — уничтожение персональных данных — безвозвратное стирание ПД без возможности их восстановления.

Обезличивание — это обратимое действие. Если знать, какими именно методами изменяли изначальные персональные данные, и иметь ключ расшифровки, то можно восстановить информацию о субъекте. В этом плане обезличивание — менее надежный способ защиты ПД, чем уничтожение.

Но это действие дает возможность сохранять персональные данные для аналитических, исследовательских и иных целей оператора, снижая риски неправомерного использования. Если злоумышленники украдут базу обезличенных ПД, то без ключа расшифровки они все равно не смогут ей воспользоваться в преступных целях. 

Обезличивание ПД проводят специальными методами, разбираться в которых — компетенция специалистов по информационной безопасности. Но кадровику и бухгалтеру тоже полезно знать основы этой процедуры, потому что в кадрах и бухгалтерии хранится большое количество личной информации работников, сотрудников подрядчика. И эти службы отвечают за безопасность ПД. Кроме того, именно кадровик и бухгалтер определяют, данные каких категорий субъектов будет шифровать специально обученный специалист.

Удобные расчеты по сотрудникам и автоматическая отчетность в Контур.Экстерне. Попробуйте 14 дней бесплатно!

Зачем нужно обезличивать персональные данные

Основных причин для обезличивания несколько: это нужно по требованиям закона, в интересах самого оператора и проч. Рассмотрим подробнее.

Причина 1 — требования закона

При достижении целей обработки оператор обязан обезличить или уничтожить ПД субъекта (ч. 7 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ). Это правило действовало и до 1 сентября 2025 года.

Причина 2 — интересы государства

Еще один случай, когда оператор должен обезличить ПД по закону — требование Минцифры (ч. 2 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ — действует с 1 сентября 2025 года). Это ведомство отвечает за формирование государственной информационной системы  «Единая информационная платформа национальной системы управления данными» (далее — ЕИП НСУД). 

В ЕИП НСУД будут хранить составы данных — составы персональных данных, полученных в результате обезличивания персональных данных, сгруппированные по определенному признаку, и без возможности расшифровать исходные персональные данные и определить конкретного субъекта (ч. 1 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ). Подробнее про ЕИП НСУД мы расскажем в разделе «Что нужно знать о государственной информационной системе».

Причина 3 — интересы оператора

Также закон о персональных данных разрешает операторам обрабатывать ПД граждан без согласия в статистических и исследовательских целях, но только при условии обязательного обезличивания (п. 9 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). Однако это нельзя делать для продвижения товаров и услуг, рекламы или политической агитации. То есть использовать базу обезличенных ПД для аналитического отчета или обучения ИИ можно, а для «продажного» обзвона — нельзя.

Перед массовым обзвоном придется получать согласия абонентов

Причина 4 — защита от злоумышленников

Операторы заинтересованы в обеспечении безопасности персональных данных из-за многомиллионных штрафов за утечки по ст. 13.11 КоАП РФ, которые действуют с 30 мая 2025 года. Повторим, что база обезличенных данных бесполезна для мошенников, если они не могут ее расшифровать.

Как организовать безопасную работу с персональными данными

Какие есть требования к обезличиванию ПД

Есть общие и специальные правила. Сначала о первых. Обезличивание — одно из действий по обработке персональных данных. Кроме того, оно обратимо, ведь информацию можно расшифровать. Поэтому к обработке обезличенных персональных данных предъявляют такие же требования, как и к обработке ПД вообще, в том числе:

• Использовать их только для достижения законных целей оператора.

• Уведомить Роскомнадзор об обработке обезличенных ПД. 

• Получать согласие субъекта, если нет иных правовых оснований по ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ.

• Использовать защищенное программное обеспечение и технические средства, отвечающие специальным требованиям.

• Локализовать базы данных на территории России и т.д.

Это не полный перечень общих требований, которые нужно выполнять.

Какие обязанности выполняет оператор персональных данных

Специальные правила зависят от того, для кого оператор обезличивает персональные данные — для себя или ЕИП НСУД. Есть два нормативных документа, которые нужно применять. Оба действуют с 1 сентября 2025 года:

Требования к обезличиванию в этих нормативных документах похожи, но есть важные отличия. И Постановление № 1154, и Приказ № 140 устанавливают правило раздельного хранения исходных персональных данных, и обезличенных сведений. 

Важное отличие в требованиях, на которое стоит обратить внимание. Если оператор обезличивает ПД для собственных целей по Приказу № 140, то сохраняется возможность деобезличивания — возвращения ПД в исходный вид с применением дополнительной информации. В ЕИП НСУД передают составы данных, которые нельзя расшифровать и определить их принадлежность конкретному субъекту.

Какие методы обезличивания можно использовать

Приведем описание основных способов по Приказу № 140, поскольку их оператор должен будет описать в своих локальных актах. Компания или ИП могут этого не делать, если не собираются обезличивать персональные данные для собственных нужд. Но мы рекомендуем выполнять такие действия по защите информации, чтобы обезопасить себя при утечках.

Локальный нормативный акт: как разработать и утвердить

Метод введения идентификаторов

Мы выше уже приводили пример этого способа. При методе введения идентификаторов оператор использует алгоритмы замены на идентификаторы:

• субъекта, чьи данные обезличивают;

• персональных данных, которые позволяют опознать конкретного гражданина.

В качестве идентификатора можно использовать код, номер или другое значение. Деобезличить ПД можно с помощью специального ключа, который помогает сопоставить их с персональными данными. Именно поэтому такой ключ надо хранить отдельно от ПД, чтобы не допустить его утечку. 

Метод изменения состава или семантики

При таком методе персональные данные обезличивают путем удаления, искажения или изменения их атрибутов. Например, уничтожают ту информацию, которая не нужна для целей обработки. Рекомендуем это делать с данными о национальности в копии свидетельства о рождении ребенка, если бухгалтерии очень хочется его хранить для назначения вычетов, но нет желания связываться с обработкой специальных ПД.

Также при методе изменения семантики часть символов можно заменять на условные обозначения типа «*» или случайные значения, а также искажать их путем добавления каких-то символов. 

Оператор сам выбирает, как он будет изменять ПД и прописывает методику в локальном акте, который нужно защищать от доступа третьих лиц и хранить отдельно от обезличенных персональных данных.

Метод перемешивания

Обезличивание проводят путем перестановки атрибутов ПД между собой. Можно перемешивать как отдельные значения, так и группы значений. Оператор описывает алгоритм перестановки в локальном акте, который нужно защищать от доступа третьих лиц и хранить отдельно от обезличенных персональных данных.

Метод декомпозиции

Массив персональных данных (список субъектов и их личную информацию) разбивают на части, которые затем хранят отдельно. Правила декомпозиции оператор устанавливает в локальном акте. Для этого документа тоже действует правило о запрете доступа третьих лиц и раздельном хранении с обезличенными ПД.

Дополнительные методы

Оператор также может использовать вместе с описанными выше способами преобразование массива ПД, в том числе путем обобщения атрибутов ПД. Это дополнительная защита, чтобы затруднить при утечке расшифровку обезличенных персональных данных. 

Если оператор будет использовать метод преобразования, то ему надо описать в локальном акте:

• субъектов ПД, атрибуты персональных данных которых подлежат обобщению;

• правила вычисления значений, на которые будут заменять исходные атрибуты ПД;

• способы их группировки по полученным значениям.

Как организовать работу по обезличиванию персональных данных

Приведем примерный перечень организационных мероприятий. Возможно, что не все из них понадобится выполнять в конкретной компании — мы постарались охватить максимум необходимой подготовки к обезличиванию ПД.

Шаг 1 — определить, какие именно персональные данные и каких субъектов будете обезличивать. Рекомендуем учитывать проведенную оценку вреда при нарушениях требований закона о персональных данных (Приказ Роскомнадзора от 27.10.2022 № 178), а также размеры штрафов за утечки разных категорий ПД. Результаты лучше оформить в виде таблицы с графами:

Так будет удобнее проводить оценку достаточности выбранных методов обезличивания по Приказу № 140.

Шаг 2 — направить уведомление в Роскомнадзор. Если оператор ранее не указывал в уведомлении Роскомнадзора об обработке персональных данных такое действие, как обезличивание, то необходимо сообщить об изменениях по специальной форме. Сделать это нужно до 15-го числа следующего месяца.

Как уведомить Роскомнадзор

Шаг 3 — разработать и утвердить локальные акты. Для обезличивания ПД нужно издать (п. 2 приложения 1 к Приказу Роскомнадзора от 19.06.2025 № 140) следующие документы:

• порядок обработки персональных данных, подлежащих обезличиванию, осуществления деятельности по обезличиванию персональных данных;

• порядок оценки достаточности применяемого метода (методов) обезличивания персональных данных;

• порядок обработки персональных данных, полученных в результате обезличивания персональных данных;

• правила изменения состава или семантики персональных данных путем удаления, искажения и (или) изменения атрибутов персональных данных — в случае использования метода изменения состава или семантики;

• правила перемешивания персональных данных, предусматривающие алгоритм перестановки каждого отдельного значения атрибута персональных данных и (или) групп значений атрибутов персональных данных на заданное оператором количество позиций — в случае использования метода перемешивания;

• правила разбиения массива персональных данных, подлежащих обезличиванию, и определения места хранения его частей — в случае использования метода декомпозиции.

Шаг 4 — назначить ответственных за обезличивание и обработку обезличенных данных. Оператор должен обеспечить защиту и конфиденциальность как применяемых методов обезличивания, так и обезличенных данных. Поэтому ему необходимо ограничить к ним доступ. Работать с обезличенными ПД могут только должностные лица, которых назначит оператор. Они и будут нести ответственность за их сохранность.

При этом оператор может поручить обезличивание сторонней компании. Но ответственность передавать нельзя, поэтому все равно придется назначать отдельных сотрудников.

Шаг 5 — выбрать методы обезличивания и провести их оценку. Приказ № 140 требует, чтобы оператор оценил достаточность выбранных способов защиты информации. При этом в нем не описано подробно, как именно это делать.

Можно поступить так: создать комиссию, провести обезличивание разными методами, проверить, насколько легко расшифровать полученный результат и определить конкретного субъекта ПД. Результат можно оформить протоколом или актом комиссии.

Шаг 6 — принять меры по защите обезличенных данных. Здесь речь идет о выборе сертифицированных технических средств и программного обеспечения, которые обеспечивают защиту и конфиденциальность информации. Сюда же входят меры по обеспечению раздельного хранения локальных актов с методами обезличивания, исходных персональных данных и обезличенных данных.

Шаг 7 — подготовиться к передаче данных в ЕИП НСУД. До 1 сентября 2025 года полезно обучить сотрудников новым правилам обезличивания, а также проверить договоры с подрядчиками, которых привлекали ранее для обезличивания, на предмет того, что они готовы к работе по требованиям Постановления № 1154.

Что нужно знать о государственной информационной системе

С 1 сентября 2025 года Минцифры формирует ЕИП НСУД — электронный ресурс, содержащий обезличенные персональные данные россиян, сгруппированные по определенным признакам. Государство создает такую базу в целях повышения эффективности государственного и муниципального управления, а также в иных целях, предусмотренных федеральными законами. 

Правительство утвердило список случаев, для которых Минцифры будет собирать составы данных (Постановление Правительства от 24.04.2025 № 538) — смотрите таблицу:

Как видно из таблицы, в первую очередь поставщиками сведений для ЕИП НСУД будут операторы мобильной связи, но закон разрешает Минцифры запросить информацию у любого оператора персональных данных (ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ). Правила приведены в Постановлении Правительства от 01.08.2025 № 1154:

Минцифры готовит проект требования оператору о представлении составов обезличенных данных. Ведомство согласовывает его с ФСБ России, Роскомнадзором и Центробанком (в ряде случаев). 

Оператор при получении требования обезличивает запрошенные персональные данные так, чтобы при последующей обработке было невозможно определить субъекта ПД. Для этого можно использовать собственное программное обеспечение, если оно прошло подтверждения соответствия для таких целей, или безвозмездно полученную от Минцифры программу.

Оператор направляет составы данных в ЕИП НСУД в указанные в требовании сроки. Если он использовал собственную программу для обезличивания, то он сообщает также информацию о примененной методике.

Закон запрещает использовать в составах данных для ЕИП НСУД биометрические персональные данные и специальные персональные данные, кроме информации о состоянии здоровья (ч. 1 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Доступ к государственной информационной системе с обезличенными данными россиян могут получить:

• органы власти;

• подведомственные им организации;

• внебюджетные фонды;

• российские граждане и компании, которые соответствуют требованиям в ч. 7 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ — например, они есть в реестре операторов ПД, не имеют непогашенной судимости и т.д.

Граждане и юридические лица получат доступ к ЕИС НСУД только после проведения проверки по правилам в Постановлении Правительства от 22.05.2025 № 702. 

Работать с обезличенными данными ЕИП НСУД можно только в самой системе. Их нельзя сохранять себе, копировать или кому-то отправлять. 

Нужно ли получать согласие субъекта на обезличивание персональных данных

Мы уже писали, что обезличивание — это действие по обработке персональных данных. Поэтому действует общее правило: нужно получать согласие субъекта ПД, если нет иных правовых оснований по ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ.

Например, для обезличивания и передачи данных в ЕИП НСУД спрашивать разрешения гражданина не нужно — этот случай прямо прописан в законе о персональных данных. А вот если оператор захочет обрабатывать обезличенные ПД уволенного работника, ему нужно получить согласие.

Подготовить, проверить и сдать отчетность через интернет.

Попробовать

Главное об обезличивании персональных данных

Обезличивание персональных данных — это способ обработки и защиты ПД. Личную информацию гражданина изменяют таким образом, что без дополнительной расшифровки нельзя понять, какому именно человеку она принадлежит.

Обезличивание нужно:

• по требованиям закона — при достижении целей обработки оператор обязан обезличить либо уничтожить персональные данные;

• по требованию Минцифры — для представления в государственную информационную систему ЕИП НСУД (с 1 сентября 2025 года);

• для защиты информации от утечек — обезличенные данные нельзя расшифровать без ключа;

• в целях статистических и иных исследований оператора.

Основные требования и методы обезличивания приведены в Приказе Роскомнадзора от 19.06.2025 № 140. Если же оператор шифрует данные по требованию Минцифры, то надо применять Постановление Правительства от 01.08.2025 № 1154. Этот документ содержит требования и методы обезличивания для ЕИП НСУД.