С 1 сентября 2025 года меняются правила обезличивания персональных данных

С 1 сентября 2025 года в России вступают в силу новые требования к обезличиванию персональных данных (ПДн), утвержденные правительством. Теперь операторы обязаны по запросу Минцифры предоставлять анонимизированные сведения в специальную государственную информационную систему (ГИС). Разбираемся, что меняется для бизнеса, какие методы обезличивания теперь законны и как подготовиться к новым обязанностям.

Правительство РФ утвердило новый порядок работы с обезличенными сведениями, выпустив Постановление от 1 августа 2025 г. № 1154 «Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных».

Главное нововведение — у Министерства цифрового развития, связи и массовых коммуникаций РФ (Минцифры) появляется право запрашивать у операторов обезличенные данные. Из них ведомство будет формировать большие наборы данных (дата-сеты) для развития технологий искусственного интеллекта. Важно, что каждый такой запрос будет согласовываться с ФСБ, Роскомнадзором и, при необходимости, с Центральным банком.

Постановление № 1154 закрепляет исчерпывающий перечень методов, которые операторы могут использовать для анонимизации данных перед их передачей.

• Введение идентификаторов. Часть персональных сведений (например, ФИО или номер телефона) заменяется уникальным кодом. Создается отдельная таблица-справочник, которая связывает коды с исходными данными.
• Изменение состава или семантики. Содержание данных упрощается, например, точный возраст заменяется возрастной группой (30-35 лет) или удаляется часть информации.
• Декомпозиция. Массив данных разделяется на несколько частей, которые хранятся отдельно друг от друга.
• Перемешивание. Записи в базе данных меняются местами, чтобы нарушить исходные связи.
• Преобразование. Данные агрегируются и обобщаются для создания новой структуры, которая сохраняет статистику, но не позволяет идентифицировать конкретного человека.

Операторы должны обеспечить строго раздельное хранение исходных персональных данных и полученных в результате обезличивания.

Для всех компаний, работающих с ПДн, новые правила означают появление новых обязанностей. Необходимо быть готовым технически и организационно к запросам от Минцифры.

Неисполнение требований законодательства в области персональных данных является административным правонарушением. Ответственность за это предусмотрена статьей 13.11 Кодекса РФ об административных правонарушениях, которая включает существенные штрафы для юридических лиц.

Чтобы соответствовать новым требованиям с 1 сентября 2025 года, рекомендуется предпринять следующие шаги:

1. Провести аудит. Проанализируйте, какие персональные данные вы собираете и как их обрабатываете.
2. Выбрать метод. Определите, какой из утвержденных методов обезличивания лучше всего подходит для ваших бизнес-процессов.
3. Обновить документы. Внесите изменения во внутренние локальные акты, в первую очередь — в Политику обработки персональных данных.
4. Назначить ответственных. Определите сотрудников, которые будут курировать процесс обезличивания и взаимодействие с госорганами.

Эти изменения — часть государственной стратегии по развитию рынка данных. Ранее, 8 августа 2024 года, были приняты поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которые и заложили основу для этого механизма.