Как и для чего нужно обезличивать персональные данные?

Что такое обезличивание персональных данных?

Персональные данные – это любые сведения, относящиеся прямо или косвенно к определенному физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ).

Обезличивание персональных данных – это процесс обработки информации, при котором персональные данные физического лица преобразуются таким образом, чтобы исключить возможность их прямой или косвенной привязки к конкретному человеку без использования дополнительной информации. Иными словами, под обезличиванием персональных данных понимаются действия, в результате которых становится невозможно идентифицировать лицо, которому эти данные принадлежат.

Обезличивание является одной из целей обработки персональных данных, перечисленных в ст. 3 Закона № 152-ФЗ. Перед началом процедуры обезличивания необходимо убедиться в том, что такая цель была указана в уведомлении о намерении осуществлять обработку персональных данных, поданном в Роскомнадзор. Если такая цель в уведомлении указана не была, то необходимо подать новое уведомление.

Обработка персональных данных без представления в Роскомнадзор соответствующего уведомления может стать основанием для привлечения оператора к административной ответственности на основании ст. 19.7 КоАП РФ.

После того как данные были обезличены, они перестают быть персональными данными, определяемыми Законом № 152-ФЗ, т. к. к ним больше нельзя прямо или косвенно применить определение "информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (п. 1 ст. 3 Закона № 152-ФЗ). Кроме того, в соответствии с подп. 9 ч. 1 ст. 6 Закона № 152-ФЗ обработка персональных данных может осуществляться без получения согласия субъекта, если она осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Следовательно, получать у субъекта персональных данных согласие на обработку обезличенных данных не нужно.

В каких случаях применяется обезличивание?

Спектр ситуаций, когда необходимо обезличивание персональных данных, достаточно широк. Обезличенные данные могут понадобиться, в частности (п. 9, 9.1 ч. 1 ст. 6, п. 2.1 ст. 10 Закона № 152-ФЗ):

• для анализа потребительского поведения в маркетинговых исследованиях;
• проведения научных и медицинских исследований;
• трансграничной передачи данных в страны, которые не обеспечивают необходимый уровень защиты персональных данных;
• аудита деятельности организации (как внутреннего, так и внешнего) для оценки эффективности работы или предотвращения возможных нарушений;
• публикации открытых данных госорганами (демографическая или социальная статистика и т. д.);
• разработки и обучения моделей искусственного интеллекта;
• обеспечения безопасности информационных систем (обычно используются для их тестирования и оптимизации);
• передачи данных в государственную информационную систему Минцифры России.

Таким образом, обезличивание персональных данных может происходить как по инициативе самого оператора персональных данных, так и по запросу государственных органов, например, Минцифры России.

Перечень целей сбора обезличенных данных Минцифры России приведен в постановлении Правительства России от 24.04.2024 № 538. Согласно этому документу, министерство может запросить такие данные для:

• для защиты населения и охраны общественного порядка при угрозе возникновения ЧС, а также при введении режима ЧС;
• противодействия терроризму;
• введения карантина для предупреждения распространения инфекционных заболеваний;
• статистических и других исследований в сфере туризма;
• реализации государственной миграционной политики;
• исследований в области обеспечения санитарно-эпидемиологического благополучия населения.

Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления (ч. 2.1 ст. 10 Закона № 152-ФЗ). Существует как общий порядок обезличивания персональных данных, который должен соблюдаться во всех случаях их обезличивания, так и специальный порядок обезличивания, когда оно осуществляется по запросу Минцифры России. Подробнее об этом читайте в статьях:

Общий порядок обезличивания персональных данных
Порядок обезличивания персональных данных по запросу Минцифры России

Обезличивание персональных данных – обязанность оператора персональных данных, который либо хочет использовать их в собственных целях (например, для сбора статистики), либо делает это в силу требования закона (по запросу Минцифры России). Если персональные данные нужны для обработки самому оператору, но при этом он не желает их обезличивать, то требуется соблюсти все требования закона к обработке персональных данных (получить согласие на их обработку, обеспечить их конфиденциальность и цели обработки и т. д.).

Какие персональные данные нельзя обезличить?

Не допускается обезличивание специальных категорий персональных данных, перечисленных в ст. 10 Закона № 152-ФЗ, например, персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных (ч. 1 ст. 13.1 Закона № 152-ФЗ).

Общий порядок обезличивания персональных данных

Общий порядок обезличивания персональных данных утвержден приказом Роскомнадзора от 19.06.2025 № 140 (далее – Приказ № 140). Этим документом Роскомнадзор утвердил:

• требования к обезличиванию персональных данных (далее – Требования);
• перечень локальных нормативных актов, которые должны быть у оператора персональных данных для их обезличивания;
• методы обезличивания персональных данных.

Учитывая эти правила, обезличивание персональных данных можно провести путем выполнения следующих шагов.

1. Принятие локальных нормативных актов

Для выполнения установленных Роскомнадзором требований необходимо разработать и утвердить локальные нормативные акты (ЛНА), которые устанавливают порядок (п. 1, 3–5 Требований):

• обработки персональных данных, подлежащих обезличиванию;
• ведения деятельности по обезличиванию персональных данных;
• оценки достаточности применяемого метода или методов обезличивания персональных данных;
• обработки персональных данных, полученных в результате обезличивания персональных данных;
• изменения состава или значения персональных данных, перемешивания, хранения и разбиения массива персональных данных, подлежащих обезличиванию (для тех, кто выбрал соответствующий метод обезличивания, о методах расскажем далее).

Не важно, как будут называться эти локальные акты. Это могут быть положения, правила, приказы, порядки и т. д.

Утвержденные оператором ЛНА должны храниться отдельно от обезличенных персональных данных (п. 6 Требований).

ЛНА оператора, информация об используемом методе или методах обезличивания персональных данных, применяемых информационных системах и (или) компьютерных программах для обезличивания персональных данных, а также другая информация о проведении обезличивания таких данных не должны быть доступны третьим лицам (п. 2 Требований).

2. Назначение ответственного за обезличивание персональных данных и их обработку

Доступ к персональным данным, как и к методам, применяемым для их обезличивания, должен быть ограничен для обеспечения конфиденциальности и защиты прав субъектов персональных данных. Для этого целесообразно ограничить круг лиц, которые работают с персональными данными, в т. ч. с обезличенными. Сделать это можно, издав соответствующий приказ о наделении должностных лиц организации соответствующими полномочиями. Лица, выполняющие обезличивание, должны обладать необходимыми знаниями и навыками для применения методов обезличивания, знать требования законодательства о защите персональных данных, включая меры по обеспечению безопасности данных (ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ), а также уметь работать с программным обеспечением для обезличивания, одобренным Минцифры России или ФСБ России.

Рекомендуется провести для сотрудников, ответственных за обезличивание обучение или инструктаж, обучение по методам обезличивания и требованиям безопасности. Если используются услуги подрядчиков, их сотрудники также должны соответствовать этим требованиям.

3. Определение состава персональных данных, подлежащих обезличиванию

На этом этапе оператор определяет то, какие именно данные нужно обезличить для последующего использования. Порядок такого определения нормативными актами не установлен. Оператор может делать это как ситуативно (например, путем издания соответствующего приказа), так и заблаговременно (например, закрепив перечень персональных данных, которые могут быть обезличены, в локальных нормативных актах).

4. Выбор методов обезличивания персональных данных

Оператор персональных данных выбирает подходящий для конкретной ситуации метод обезличивания персональных данных и закрепляет это в локальных нормативных актах, которые регламентируют процедуру обезличивания.

Можно использовать один или несколько методов обезличивания персональных данных. Вопрос об использовании определенных методов решается оператором самостоятельно.

При обезличивании персональных данных можно применять следующие методы.

1. Метод введения идентификаторов персональных данных, подлежащих обезличиванию. При использовании этого метода из состава персональных данных, подлежащих обезличиванию, и субъектов этих данных выделяются персональные данные, которые заменяются на идентификаторы. Такие идентификаторы представляют собой код, номер или иное обозначение, которые имеют постоянное или переменное значение и присваиваются на основании заданных оператором алгоритмов.
2. Метод изменения состава или семантики персональных данных, подлежащих обезличиванию. Если применяется этот метод, то выделяются элементы массива персональных данных, которые подлежат обезличиванию, имеющие качественные или количественные значения применительно к каждому субъекту этих данных (атрибуты персональных данных). Такие атрибуты изменяются, искажаются и (или) удаляются.
3. Метод перемешивания персональных данных, подлежащих обезличиванию. В случае использования этого метода производится перестановка отдельных значений и (или) групп значений атрибутов персональных данных между собой.
4. Метод декомпозиции персональных данных, подлежащих обезличиванию. При применении этого метода массив персональных данных, которые подлежат обезличиванию, разделяется на заданное оператором количество частей. Такие части массива данных впоследствии хранятся раздельно.
5. Метод преобразования массива персональных данных, подлежащих обезличиванию. Такой метод может применяться дополнительно к перечисленным выше методам обезличивания, чтобы исключить связь между атрибутами персональных данных и субъектами персональных данных.

Необходимо оценить достаточность выбранного метода (методов) обезличивания с точки зрения невозможности идентификации субъекта персональных данных без дополнительной информации.

5. Обезличивание персональных данных

Оператор осуществляет процедуру обезличивания в соответствии с выбранным методом, используя программное обеспечение, предоставленное Минцифры России, или собственное программное обеспечение, правомерность использования которого подтверждено также Минцифры России.

При обезличивании необходимо использовать информационные системы и (или) программы, которые обеспечивают безопасность и конфиденциальность персональных данных, подлежащих обезличиванию, и персональных данных, полученных в результате обезличивания (п. 3 ч. 1 ст. 18.1, ст. 7 Закона № 152-ФЗ).

При обезличивании нужно соблюдать следующие требования.

1. В результате обезличивания должно быть невозможно определить то, какому субъекту принадлежат персональные данные (без использования дополнительной информации).
2. При использовании информационных систем и (или) компьютерных программ для обезличивания персональных данных должна обеспечиваться безопасность и конфиденциальность как персональных данных, подлежащих обезличиванию, так и персональных данных, полученных в результате обезличивания.
3. Необходимо исключить совместное хранение массива персональных данных, подлежащих обезличиванию, и персональных данных, полученных в результате обезличивания.
4. Необходимо вести учет действий по обезличиванию персональных данных, а также действий (операций), которые совершаются с персональными данными, полученными в результате обезличивания. Форму учета, которая подтверждает выполнение указанных действий, определяет оператор. Полагаем, что это может быть журнал или другой документ, в котором учитываются действия, совершенные оператором.

Обезличивание персональных данных по запросу Минцифры России

С 2023 года в России действует механизм, при котором государственные органы и организации, обрабатывающие персональные данные, могут обязать передать их в ЕИП НСУД. ЕИП НСУД – это единая инфраструктура для сбора, хранения и анализа больших данных. Она создана с целью повышения эффективности управления социально-экономическими процессами. Для этого требуются данные из различных сфер: здравоохранения, транспорта, образования, торговли. Минцифры России запрашивает такие сведения у операторов персональных данных, если они необходимы для наполнения платформы.

Обязанность передавать данные закреплена в ч. 2 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ) и возникает, если от Минцифры оператор получил соответствующее требование. Требование может распространяться не только на государственные структуры, но и на частные компании, особенно на те из них, которые обрабатывают большие объемы персональных данных. Это операторы связи, банки, онлайн-ретейлеры, ИТ-сервисы.

Так, например, в Москве сейчас проходит эксперимент по анализу транспортных потоков, загруженности общественных пространств, эффективности работы служб. Для обучения искусственного интеллекта нужны реальные данные, при этом важно не нарушать права граждан. Для этого Минцифры вправе потребовать от операторов связи, транспортных сервисов, городских систем и прочих организаций обезличить и передать соответствующие данные (см. Федеральный закон от 24.04.2020 № 123-ФЗ).

Однако такая передача возможна только после обезличивания информации, т. е. удаления всех сведений, с помощью которых можно идентифицировать конкретное лицо.

Если оператор персональных данных не передает сведения в ЕИП НСУД, то ему достаточно соблюдать общие требования приказа Роскомнадзора от 19.06.2025 № 140, который устанавливает общий порядок обезличивания персональных данных. Если же сведения передаются в ЕИП НСУД, следует соблюдать также и специальные требования, закрепленные в постановлении Правительства России от 01.08.2025 № 1154 (далее – Постановление № 1154).

Этим документом утверждены:

• требования к обезличиванию персональных данных;
• методы обезличивания персональных данных;
• правила обезличивания персональных данных;

Рассмотрим шаги, которые необходимо предпринять для обезличивания персональных данных по запросу Минцифры России.

1. Назначение ответственных за обезличивание персональных данных и их обработку

Доступ к персональным данным, как и к методам, применяемым для их обезличивания, должен быть ограничен для обеспечения конфиденциальности и защиты прав субъектов персональных данных. Для этого целесообразно ограничить круг лиц, которые работают с персональными данными, в т. ч. с обезличенными данными. Сделать это можно, издав соответствующий приказ о наделении должностных лиц организации соответствующими полномочиями.

Лица, выполняющие обезличивание, должны обладать необходимыми знаниями и навыками для применения методов обезличивания, знать требования законодательства о защите персональных данных, включая меры по обеспечению безопасности данных (ст. 19 Закона № 152-ФЗ), а также уметь работать с программным обеспечением для обезличивания, одобренным Минцифры или ФСБ России.

Рекомендуется провести для сотрудников, ответственных за обезличивание, обучение или инструктаж по методам обезличивания и требованиям безопасности. Если используются услуги подрядчиков, то их сотрудники также должны соответствовать этим требованиям.

2. Определить состав персональных данных и метод их обезличивания.

Если необходимость обезличить персональные данные возникла по запросу Минцифры России, в направленном этим ведомствов требовании указываются перечень персональных данных, подлежащих обезличиванию, сроки выполнения обезличивания, а также формат предоставления оператором обезличенных данных. Таким образом, оператору персональных данных не нужно самостоятельно определять эти параметры.

Это касается и метода обезличивания персональных данных. В требовании Минцифры России указываются конкретные методы обезличивания персональных данных, а также особенности их применения оператором.

Обезличивание проводится при помощи следующих методов (п. 2 Перечня методов, утв. Постановлением № 1154).

1. Метод введения идентификаторов – замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным персональным данным.
2. Метод изменения состава или семантики – изменение состава или семантики персональных данных, в т. ч. путем замены результатами статистической обработки или удаления части сведений (значений персональных данных).
3. Метод декомпозиции – разбиение массива персональных данных на несколько частей с последующим раздельным их хранением.
4. Метод перемешивания – перестановка отдельных записей, а также групп записей в массиве персональных данных.
5. Метод преобразования – агрегация массива персональных данных, полученных в результате обезличивания персональных данных, путем обобщения элементов структуры массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения применительно к каждому субъекту персональных данных, а также установления заданного количества их различных значений, позволяющего отобразить исходное распределение каждого значения.

3. Провести обезличивание персональных данных и передать их в Минцифры России

Полученное от Минцифры требование о предоставлении обезличенных данных должно быть рассмотрено в срок, указанный в требовании. Этот срок определяется специалистами Минцифры России и составляет (п. 3 Правил, утв. постановлением Правительства России от 26.06.2025 № 966 (далее – Постановление № 966):

• не менее 30 рабочих дней, если оператор не имеет доступа к ЕИП НСУД и не подключен к единой системе межведомственного электронного взаимодействия (СМЭВ);
• менее 5 рабочих дней, если оператор имеет доступ к ЕИП НСУД или имеет доступ к СМЭВ.

Согласно п. 4 Правил, утв. Постановлением № 966, оператор после получения требования:

• подписывает обезличенные данные усиленной квалифицированной электронной подписью (ЭЦП);
• предоставляет обезличенные данные в информационную систему уполномоченного органа одним из следующих способов:
  • через личный кабинет оператора в ЕИП НСУД (если есть доступ);
  • посредством СМЭВ (включая автоматизированное предоставление через единый сервис доступа к данным СМЭВ);
  • при отсутствии технической возможности подключения к ЕИП НСУД и использования СМЭВ – непосредственно на съемном машинном носителе информации (например, USB-накопитель, CD/DVD и т. п.), с обязательным соблюдением организационных и технических мер по защите информации (в соответствии с требованиями ФСБ России и ФСТЭК по защите от угроз безопасности).

Оператор осуществляет процедуру обезличивания в соответствии с указанным в требовании методом, используя программное обеспечение, предоставленное Минцифры России, или собственное программное обеспечение, правомерность использования которого подтверждено также Минцифры России.

При обезличивании персональных данных необходимо обеспечить (п. 2 Требований, утв. Постановлением № 1154):

• раздельное хранение персональных данных и обезличенных данных. Исходные персональные данные нужно хранить в защищенной среде, а обезличенные – отдельно, без возможности их объединения;
• меры безопасности обезличенных данных в соответствии с Законом № 152-ФЗ (сохранение конфиденциальности, правил хранения и т. д.);
• исключение из обезличенных данных информации, доступ к которой ограничен федеральными законами (коммерческая тайна, государственная тайна, врачебная тайна и т. д.);
• использование для обезличивания данных алгоритмов и программ, обеспечивающих возможность предоставления обезличенных данных без потери или изменения;
• возможность внесения изменений и дополнений в обезличенные данные, поддержку их актуальности и возможность применения методов обезличиваниях персональных данных, утв. Постановлением № 1154, без возможности их преобразования к исходному виду, позволяющему определить принадлежность конкретному субъекту персональных данных.

Таким образом, требования Постановления № 1154 более жесткие по сравнению с требованиями Приказа № 140, который предусматривает возможность проведения в отношении обезличенных данных обратной процедуры, сделав их снова персональными данными конкретного лица, при наличии ключей и дополнительных сведений.

Что делать, если запрошенных Минцифры России персональных данных нет?

Если запрошенные Минцифры России обезличенные данные отсутствуют у оператора, в течение 4 рабочих дней со дня получения требования необходимо направить мотивированный отказ в предоставлении этих данных. В случае отсутствия только части обезличенных данных мотивированный отказ направляется только в отношении этой части данных, а имеющиеся данные представляются в общем порядке (п. 5 Правил, утв. Постановлением № 996).

Мотивированный отказ следует направлять по почтовому адресу Минцифры России в форме:

• бумажного документа, подписанного собственноручной подписью уполномоченного представителя оператора;
• или в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, посредством личного кабинета оператора в ЕИП НСУД и (или) при наличии технической возможности посредством личного кабинета оператора на едином портале Госуслуг.

Что делать, если Минцифры посчитает предоставленные данные недостоверными?

Если в предоставленных обезличенных данных Минцифры выявит недостоверные или неполные данные, либо в случае нарушения оператором требований к обезличиванию, методов обезличивания или порядка обезличивания персональных данных, в течение 15 рабочих дней со дня получения обезличенных данных министерство направляет оператору повторное требование об их предоставлении с указанием выявленных несоответствий.

Получив повторное требование, оператор обязан направить в Минцифры исправленные или дополненные обезличенные данные в общем порядке (п. 6, 7 Правил, утв. Постановлением № 996).