Какие нововведения в части обезличивания персональный данных с 1 сентября 2025 года?

  •  2 октября 2025 г.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных согласно п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ).
 Таким образом, в качестве оператора будет выступать любое лицо, которое приняло решение осуществлять обработку персональных данных в своих интересах и имеет правовую и/или фактическую возможность определять цели и существенные условия такой обработки. Полагаем, что именно определение цели обработки является основным квалифицирующим признаком оператора персональных данных. Обезличивать/распространять персональные данные могут как некоммерческие так и коммерческие организации.

Обоснование

Обезличивание персональных данных – это "действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных" (п. 9 ч. 1 ст. 3 Федерального закона "О персональных данных"). Предметно требования и условия процедуры обезличивания персональных данных прописаны в Приказе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных". Внедрение технологий искусственного интеллекта, для которых обезличенные персональные данные являются "топливом", еще более обостряет проблему обеспечения конфиденциальности персональных данных и более общую проблему обеспечения конфиденциальности частной жизни. Несмотря на название "обезличенные", такие персональные данные все-таки полностью не утрачивают связь с субъектом персональных данных, существует возможность их "деобезличивания", в том числе благодаря активно внедряемым технологиям искусственного интеллекта в их обработку.

 Более того, даже после проведения процедуры обезличивания персональные данные сохраняют большинство свойств: содержат информацию о конкретном человеке; позволяют осуществлять обработку по запросу на совершение действий с личными сведениями без изменения исходной семантики; структурно связаны с персональными данными других физических лиц либо групп и т.п. Таким образом, персональные данные, прошедшие процедуру обезличивания, все равно остаются персональными данными со всеми их свойствами, и сегодня в России нет отдельного правового режима для них, и фактически они регулируются как персональные.

Статья: Проблемы обеспечения конфиденциальности персональных данных при использовании систем искусственного интеллекта (Ковалева Н.Н., Жирнова Н.А.) ("Журнал российского права", 2024, N 7)
 

 

 

Какой порядок обезличивания персональных данных работника

По общему правилу оператор обязан обезличить персональные данные, если достигнуты цели их обработки или утрачена необходимость в достижении этих целей и при этом персональные данные не уничтожены, то есть сделать так, чтобы стало невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3ч. 7 ст. 5 Закона о персональных данных).

Учтите при этом, что некоторые персональные данные работников не нуждаются в обезличивании на протяжении довольно долгого срока, так как должны храниться в форме, позволяющей определить субъекта персональных данных, поскольку срок их хранения установлен федеральным законом (ч. 7 ст. 5 Закона о персональных данных). Например, документы по личному составу, законченные делопроизводством после 1 января 2003 г., по общему правилу в силу закона хранятся 50 лет (ч. 2 ст. 22.1 Закона об архивном деле).

Обезличивать персональные данные необходимо в соответствии с установленными требованиями и методами, за исключением случаев, указанных в п. 9.1 ч. 1 ст. 6 Закона о персональных данных.

 

Готовое решение: Какие существуют требования к обработке персональных данных работников организации
 

Общие случаи, когда операторы обязаны обезличивать персональные данные:

  • По достижении целей обработки или в случае утраты необходимости в достижении этих целей: Если персональные данные были собраны для конкретной цели, и эта цель достигнута или утратила актуальность, оператор обязан уничтожить или обезличить такие данные, если иное не предусмотрено федеральным законом (ч. 7 ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных").
  • Для повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных законом: Обработка персональных данных, полученных в результате обезличивания, возможна без согласия субъекта персональных данных в указанных целях (п. 9.1 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных").

Распространение действия Постановления Правительства РФ от 01.08.2025 N 1154 и Приказа Роскомнадзора от 19.06.2025 N 140:

Данные нормативные акты распространяются на всех операторов, осуществляющих обработку персональных данных, в части установления требований к обезличиванию и методов его проведения.

 Обязательность локальных нормативных актов по обезличиванию:

Локальные нормативные акты по обезличиванию персональных данных должны быть у всех операторов, которые осуществляют обезличивание персональных данных. Это следует из общего требования к операторам принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных (ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"). Если оператор не обезличивает персональные данные, то и локальный акт, регулирующий этот процесс, ему не требуется.

Деятельность по обезличиванию персональных данных обеспечивается оператором в том числе путем:

1) принятия локальных актов, определяющих порядок обработки персональных данных, подлежащих обезличиванию, осуществления деятельности по обезличиванию персональных данных, оценки достаточности применяемого метода (методов) обезличивания персональных данных, обработки персональных данных, полученных в результате обезличивания персональных данных

Приказ Роскомнадзора от 19.06.2025 N 140 "Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Клиентский опыт

В дополнение к основному ответу мы хотели бы поделиться с Вами Клиентским опытом решения похожих задач. Вы можете ознакомиться с эффективной последовательностью действий в КонсультантПлюс по теме Вашего запроса в документе: «Отчетность по страховым взносам и персонифицированному учету. Сдаем за 9 месяцев 2025 года».

Еще по этой теме

КонсультантПлюс

СБИС

Образование

Новости

Мероприятия

Записи мероприятий

Подборки

Справочная информация

Библиотека

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie. Они помогают нам делать этот сайт удобнее для пользователей. Нажав кнопку «Соглашаюсь», вы даете свое согласие на обработку файлов cookie вашего браузера. Однако вы можете запретить обработку некоторых типов файлов cookie в настройках вашего браузера. С условиями обработки данных при помощи файлов cookie можно ознакомиться в Политике.