Требования к обезличиванию персональных данных

ПДн
Требования к обезличиванию персональных данных


Введение

С 1 сентября 2025 года в России вступили в силу новые правила обезличивания персональных данных (ПДн). Эти правила призваны унифицировать и строго регламентировать процесс обезличивания – превращения персональных данных в форму, не позволяющую однозначно идентифицировать конкретное физическое лицо без сбора дополнительной информации. Нововведения затрагивают все организации, работающие с ПДн, и требуют от специалистов по информационной безопасности (ИБ) пересмотреть существующие процессы обработки персональных данных. В основе новых требований – изменения в Федеральном законе № 152-ФЗ «О персональных данных», внесённые Федеральным законом № 233-ФЗ от 08.08.2024, и два ключевых нормативных акта, о которых далее пойдёт речь. В данной статье мы рассмотрим данные нормативные требования, предложим практические рекомендации по их соблюдению и приведём пример обезличивания ПДн на практике.

Нормативная база обезличивания ПДн

Новые требования закреплены в двух документах, применение которых зависит от цели и инициатора обезличивания:

  • Приказ Роскомнадзора от 19.06.2025 № 140 – устанавливает требования и методы обезличивания во всех случаях, когда организация сама обезличивает данные для своих нужд (например, для статистики или исследований), за исключением особых случаев запроса от государства. Данный приказ пришёл на смену устаревшим рекомендациям 2013 года и обязателен для всех операторов ПДн с 1 сентября 2025 г. (прежний приказ Роскомнадзора № 996 от 05.09.2013 утратил силу).
  • Постановление Правительства РФ от 01.08.2025 № 1154 – содержит требования к обезличиванию в случаях, когда оператор обязан обезличить данные по запросу Минцифры (Министерства цифрового развития). Это особый порядок, предусмотренный п. 9.1 ч. 1 ст. 6 закона 152-ФЗ (введён законом № 233-ФЗ) – формирование так называемых «составов персональных данных» для нужд государственного или муниципального управления. Постановление № 1154 также вступило в силу 1 сентября 2025 года.

Оба документа взаимосвязаны: приказ Роскомнадзора № 140 регулирует добровольное обезличивание (например, компания решила обезличить данные клиентов для аналитики вместо их удаления), а постановление № 1154 – обезличивание по требованию государства. В последнем случае оператор получает официальный запрос от Минцифры, согласованный с ФСБ и Роскомнадзором (а для банков – и с Банком России), с перечнем необходимых обезличенных данных и сроками их предоставления. Далее данные обезличиваются по утверждённым правилам и передаются в специальную государственную информационную систему (ГИС) Минцифры. Этот централизованный подход обеспечивает контроль со стороны государства за обезличиванием, особенно когда данные планируется использовать для государственных нужд (например, в целях повышения эффективности управления или разработки программных решений).

Основные требования к обезличиванию персональных данных

Новые нормативные акты устанавливают ряд обязательных требований, которые организации должны выполнять при обезличивании ПДн. К ключевым требованиям относятся:

  • Соблюдение утверждённых правил и методов обезличивания. Оператор обязан строго следовать официально утверждённым методам обезличивания и порядку выполнения этой процедуры. Произвольные или «самодельные» способы деперсонификации данных не допускаются – используются только методы, закреплённые в приказе № 140 или постановлении № 1154 (о них – далее).
  • Раздельное хранение исходных и обезличенных данных. Персональные данные до и после обезличивания должны храниться отдельно, чтобы исключить возможность сопоставления и обратной идентификации без особой необходимости. Проще говоря, обезличенные наборы не должны лежать в одной базе данных вместе с исходными ПДн – это требование направлено на минимизацию риска утечки связок «исходные данные – обезличенные данные».
  • Исключение из обезличенного набора данных, доступ к которым ограничен законом. При подготовке обезличенной информации оператор обязан удалить любые сведения, которые по закону не подлежат раскрытию. Например, если данные содержат гостайну или иную информацию с ограниченным доступом, такая информация не должна попасть в обезличенный набор. Это предотвращает незаконное распространение сведений, даже если сами данные формально обезличены.
  • Актуальность и возможность обновления обезличенных данных. Обезличенные данные должны поддерживаться в актуальном состоянии. Правила требуют обеспечить возможность внесения изменений и дополнений в обезличенные данные. Это значит, что если исходные ПДн обновились (например, субъект данных изменил фамилию или адрес), то при необходимости изменения должны отразиться и в обезличенном массиве. Такой подход позволяет использовать обезличенные данные длительно, не теряя их релевантности.
  • Обеспечение безопасности обезличенных данных. Важно помнить, что обезличенные персональные данные в России продолжают считаться персональными данными – поскольку при наличии дополнительной информации возможно восстановить их принадлежность конкретному лицу. Поэтому на обезличенные данные распространяются все требования Закона 152-ФЗ по защите ПДн: необходимо принимать меры защиты (ст. 19 закона) так же, как если бы это были обычные персональные данные. Нельзя относиться к обезличенным наборам как к общедоступным – их конфиденциальность должна строго соблюдаться.
  • Соблюдение порядка при госзапросах. В случае получения требования от Минцифры оператор обязан обезличить и предоставить данные в установленном порядке. В частности, обезличивание проводится с использованием специального программного обеспечения, предоставленного Минцифры (на безвозмездной основе) и передачей результата в государственную систему. Само требование от государства должно быть оформлено и согласовано согласно постановлению № 1154 – без такого официального запроса никто не вправе требовать от компании обезличенные данные. Также оператор не может отказать в предоставлении данных, кроме случая, когда необходимых сведений у него действительно нет – тогда допускается направить мотивированный отказ в течение 5 рабочих дней.

Отдельно установлены и ограничения на содержание госзапросов: так, Минцифры не вправе требовать обезличенные данные специальных категорий (например, о расовом происхождении, здоровье, политических взглядах) и биометрические ПДн – эти категории под запретом для «составов данных». Таким образом, даже государственные органы не могут собрать через обезличивание чувствительные данные граждан, кроме случаев, прямо разрешённых законом.

Методы обезличивания персональных данных

Регуляторы утвердили перечень допустимых методов обезличивания ПДн. Эти методы представляют собой конкретные способы преобразования данных, которые гарантируют разрыв связи с личностью. В списке утверждённых методов:

1. Метод введения идентификаторов. Вместо прямых идентификаторов личности (Ф.И.О., номер паспорта и т.п.) подставляются условные ID-коды, а соответствие между кодом и исходными данными хранится отдельно в виде таблицы соответствия. Пример: запись «Иванов И.И.» заменяется на «ID: 12345», при этом в отдельной таблице известно, что ID 12345 = Иванов И.И. (таблица доступна ограниченному кругу лиц).

2. Метод изменения состава или семантики данных. Суть – изменить набор или смысл хранимых сведений, чтобы они не прямо указывали на человека. Это может быть частичное удаление данных (например, хранить только год рождения вместо полной даты) либо замена деталей на агрегированные или статистические показатели. Например, точная зарплата может быть заменена на интервал («50–60 тыс.»), конкретный адрес – на обезличенный (только город).

3. Метод декомпозиции. Данные разбиваются на несколько частей, которые хранятся раздельно. Например, один файл содержит Ф.И.О. и ID, другой – ID и адрес, третий – ID и телефон. По отдельности эти части не позволяют идентифицировать человека, а вместе их совмещают только при наличии права доступа ко всем частям. При этом файл (таблица) с начальной точкой привязки в любом случае должен быть с ограниченным доступом.

4. Метод перемешивания. Происходит перестановка (перемешивание) отдельных записей или блоков данных в массиве ПДн. В результате нарушается прямая связь между атрибутами одной записи. Например, список клиентов и список их телефонных номеров могут быть случайно перемешаны независимо друг от друга – так, что сопоставить конкретный номер конкретному клиенту уже нельзя.

5. Метод преобразования (агрегации). Данный способ подразумевает обобщение и агрегирование информации по группе субъектов, вместо хранения детальных данных по каждому. К примеру, вместо индивидуальных показателей по каждому человеку данные сводятся в статистические отчёты: распределения, суммарные показатели, средние значения по группе. Личностная привязка теряется, поскольку данных о каждой персоне в отдельности уже нет – только агрегированные значения.

Все перечисленные методы разрешены к применению и могут комбинироваться при необходимости. В частности, постановлением № 1154 предусмотрено, что для методов (1 – 4) оператору будет предоставлено типовое ПО от Минцифры, облегчающее их применение, тогда как метод агрегирования (5) организации должны реализовывать своими программными или техническими средствами. Таким образом, государство унифицирует инструменты обезличивания: бизнес может использовать готовые решения для классических методов замены/удаления/перестановки, тогда как сложное агрегирование данных требует собственной аналитической работы. В любом случае выбранный метод должен быть задокументирован во внутренних политиках компании, а сотрудники – обучены правильному его применению.

Практические рекомендации для организаций и специалистов ИБ

Как же бизнесу соблюдать новые требования? Ниже приведён краткий список рекомендаций, которые помогут организациям и ответственным за ИБ сотрудникам подготовиться к возможным проверкам и минимизировать риски:

  • Анализ и пересмотр процессов. Проведите аудит текущих процессов обработки ПДн в компании. Выявите случаи, где происходит обезличивание или планируется использовать обезличенные данные, и проверьте, соответствуют ли эти процессы новым правилам. Возможно, ранее обезличивание выполнялось без наличия утвержденного регламента – теперь это нужно исправить.
  • Внутренние политики и инструкции. Разработайте и утвердите локальный акт (политику, регламент) по обезличиванию персональных данных. В нём пропишите цели обезличивания, используемые методы (из числа разрешённых), порядок раздельного хранения, ответственных лиц и порядок контроля качества обезличивания. Также подготовьте инструкции для сотрудников, непосредственно выполняющих или участвующих в обезличивании, чтобы они действовали строго по регламенту.
  • Выбор методов и документирование. Решите, какие из утверждённых методов обезличивания применимы к вашим данным, и подробно опишите технологию их применения именно в ваших информационных системах. Например, если вы будете использовать метод введения идентификаторов, определите алгоритм генерации уникальных ID и место хранения таблицы соответствия. Применение каждого используемого метода должно быть задокументировано, чтобы в случае проверки Роскомнадзора вы могли подтвердить выполнение требований приказа № 140.
  • Раздельное хранение и доступ. Обеспечьте физическое или логическое разделение обезличенных и исходных ПДн. Например, храните обезличенные наборы в отдельной базе, файле или разделе, доступ к которому есть только у ограниченного круга лиц. Таблицы соответствия (связи между обезличенными данными и личностями) держите в зашифрованном виде или на изолированном контуре с повышенным уровнем защиты. Соблюдение данных условий позволит выполнить требование о раздельном хранении и предотвратит возможность случайного раскрытия личности.
  • Безопасность на всех этапах. Актуализируйте модель угроз и реализованную систему защиты с учётом того, что обезличенные данные не менее чувствительны, чем персональные. Применяйте к обезличенным наборам данных меры защиты (контроль доступа, шифрование, мониторинг обращений и пр.), как если бы это были исходные ПДн. Особое внимание уделите защите той «дополнительной информации», которая теоретически (косвенно) позволяет установить соответствие конкретной личности (например, ключи соответствия или несведённые фрагменты данных).
  • Готовность к требованиям Минцифры. Вероятность того, что ваша организация получит запрос от Минцифры на предоставление обезличенных данных, зависит от сферы деятельности. Тем не менее, будьте готовы к исполнению такого требования. Назначьте ответственного за взаимодействие с госорганами по вопросам ПДн. Отслеживайте информационные сообщения Роскомнадзора и Минцифры – через них будет доводиться порядок получения и использования государственного ПО для обезличивания, а также реквизиты доступа к государственной информационной системе. Заранее продумайте, как выгрузить нужные данные из ваших систем в требуемом формате и обезличить их в допустимые сроки.

Следование этим рекомендациям поможет встроить новые требования в существующие бизнес-процессы организации и избежать штрафов или иных санкций. Роскомнадзор с 2025 года получил полномочия контролировать соблюдение требований к обезличиванию, поэтому важно продемонстрировать добросовестность и подготовленность в этом вопросе.

Пример обезличивания данных

Рассмотрим упрощённый пример, демонстрирующий принципы обезличивания на практике. Пусть у организации имеется следующая запись с персональными данными сотрудника:

  • Исходные персональные данные: Иванов Иван Иванович, дата рождения 15.03.1987, адрес: г. Москва, ул. Ленина, д.10, кв.5, телефон: +7 912 345-67-89.

Применим к этой записи комбинацию методов обезличивания – введение идентификатора и изменение семантики данных:

  • Обезличенные данные: ID: EMP00123; год рождения: 1987 (месяц и день исключены); адрес: г. Москва (без указания улицы и дома); телефон: +7 912 345-XX-XX (частично маскирован).

Кроме того, в отдельной защищённой таблице хранится соответствие EMP00123 → Иванов И.И. для возможности обновления данных или обратной идентификации в случае необходимости. В результате обезличивания ни одно из опубликованных значений не позволяет однозначно установить личность Иванова И. И. без доступа к дополнительной информации. Такой набор можно считать обезличенным в понимании закона – третьи лица, получив эти данные, не смогут установить соответствие с конкретным человеком. При этом организация выполняет требования: Ф.И.О. заменены на код, точные дата рождения и адрес – обобщены/удалены, а связка с личностью хранится отдельно.

Заключение

Обезличивание – это не разовая акция, а постоянно поддерживаемый режим работы с данными. Применив методы деперсонификации, организация должна дальше эксплуатировать обезличенные данные аккуратно и безопасно. Если субъект ПДн сменит адрес или номер телефона, эти изменения следует внести и в обезличенный массив (в нашем примере – обновить запись в части города или маскировки телефона). Это сохранит информационную ценность данных и соответствие их актуальному состоянию, как того требуют правила. Для специалистов по ИБ это означает появление дополнительных зон ответственности: контроль соблюдения условий раздельного хранения, ведение регламентов, проверка применяемых методов на соответствие утверждённым. Выполнение требований Постановления № 1154 и Приказа № 140 поможет не только избежать штрафов, но и повысить общий уровень информационной безопасности, создав доверенную среду для работы с персональными данными.

ПДн
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

ВАС ДЕРЖАТ ЗА ИДИОТА В КАЖДОМ СПОРЕ.

Знакомо? Вы приносите факты, а вам в лицо — "Кто платит?". Это грязный трюк, чтобы слить вас. Пора узнать, как он работает, и почему он... черт возьми, иногда единственно верный.

 Сломать эту игру
article-title

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.