ЭЛКОД: Какие требования с 1 сентября 2025 года следует учитывать при обезличивании персональных данных

Какие требования с 1 сентября 2025 года следует учитывать при обезличивании персональных данных

  •  6 августа 2025 г.
Риски: с 1 сентября 2025 года операторы персональных данных должны соблюдать требования Роскомнадзора к обезличиванию персональных данных, обеспечивать соблюдение установленных методов обезличивания, принять ряд локальных актов, определяющих порядок обезличивания данных и порядок их обработки. При получении требования от Минцифры по направлению обезличенных персональных данных, нужно руководствоваться правилами, утвержденными Правительством РФ.

Обезличивание персональных данных - это действия, в результате которых становится невозможным определить принадлежность персональных данных (далее - ПДн) конкретному субъекту без использования дополнительной информации. Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (в редакции, вступающей в силу с 1 сентября 2025 года) определены случаи, при наступлении которых оператор ПДн обязан осуществить обезличивание данных, в частности:

1. По общему правилу оператор персональных данных обязан обезличить ПДн, если достигнуты цели их обработки или утрачена необходимость в достижении этих целей и при этом ПДн не уничтожены. Приказом Роскомнадзора от 19.06.2025 N 140 с 1 сентября 2025 года вводятся требования к обезличиванию персональных данных.

Установлено, что при обезличивании ПДн оператор должен обеспечить:

- использование утвержденных методов обезличивания (за некоторыми исключениями);

- определение массива ПДн, подлежащих обезличиванию;

- оценку достаточности выбранного метода (методов) обезличивания для достижения целей обработки ПДн;

- невозможность без использования дополнительной информации определения принадлежности ПДн, полученных в результате обезличивания, субъекту персональных данных путем применения методов обезличивания;

- использование информационных систем и (или) программ, которые предназначены или используются для обезличивания ПДн, в которых обеспечиваются безопасность и конфиденциальность ПДн;

- исключение совместного хранения массива ПДн, подлежащих обезличиванию, и ПДн, полученных в результате обезличивания;

- учет осуществляемых действий по обезличиванию ПДн, а также действий (операций), совершаемых с ПДн, полученными в результате обезличивания.

Оператору также необходимо принять локальные акты, определяющие порядок:

- обработки ПДн, подлежащих обезличиванию,

- осуществления деятельности по обезличиванию ПДн,

- оценки достаточности применяемого метода (методов) обезличивания,

- обработки ПДн, полученных в результате обезличивания,

- разбиения массива ПДн, перемешивания ПДн, изменения состава или семантики ПДн путем удаления, искажения или изменения атрибутов ПДн.

При этом оператору надлежит исключить доступ третьих лиц к указанным локальным актам, к информации об используемых методах обезличивания, информационных системах или программах, а равно иной информации о процедуре проведения обезличивания ПДн. Локальные акты о правилах разбиения массива ПДн, перемешивания ПДн, изменения состава или семантики ПДн путем удаления, искажения или изменения атрибутов ПДн необходимо хранить отдельно от обезличенных данных.

Предусмотрены и иные требования к обезличиванию ПДн. С 1 сентября 2025 года признается утратившим силу Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных».

2. С 1 сентября 2025 года Минцифры России в ряде случаев, определенных Постановлением Правительства РФ от 24.04.2025 N 538 (например, при угрозе или возникновении ЧС, при проведении некоторых исследований и пр.), может потребовать от оператора ПДн направить обезличенные ПДн в ГИС «Единая информационная платформа национальной системы управления данными». Оператор после получения указанного требования обязан обезличить обрабатываемые им ПДн и предоставить обезличенные данные в указанную информационную систему.

Постановлением Правительства РФ от 01.08.2025 N 1154 определено, что такое требование подлежит согласованию с ФСБ России, Роскомнадзором, а также Банком России (например, при направлении требования банкам, иным кредитным организациям, субъектам национальной платежной системы и др.). Также Правительство определило, какие правила и требования при обезличивании необходимо в данном случае выполнить оператору и какие методы обезличивания он может при этом использовать. В частности, при обезличивании ПДн оператор должен обеспечить: соблюдение правил обезличивания персональных данных и методов их обезличивания, раздельное хранение персональных данных и обезличенных данных, исключение из обезличенных данных информации, доступ к которой ограничен федеральными законами, возможность внесения изменений и дополнений в обезличенные данные и пр.

Определены и иные правила, которые необходимо соблюдать при обезличивании ПДн и предоставлении их в ГИС по требованию Минцифры России.

Постановление Правительства РФ от 01.08.2025 N 1154 вступает в силу с 1 сентября 2025 года.

На заметку: какие еще изменения в части персональных данных вступят в силу с 1 сентября 2025 года, можно узнать в алгоритме «Безопасная работа с персональными данными в 2025 году» на нашем сайте.

Читайте подробнее

Еще по этой теме

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie. Они помогают нам делать этот сайт удобнее для пользователей. Нажав кнопку «Соглашаюсь», вы даете свое согласие на обработку файлов cookie вашего браузера. Однако вы можете запретить обработку некоторых типов файлов cookie в настройках вашего браузера. С условиями обработки данных при помощи файлов cookie можно ознакомиться в Политике.