Больше контента и возможностей будет доступно после авторизации

На главную страницу

В каких случаях оператор обязан обезличивать персональные данные

02.02.2666

Проверьте, правильно ли вы понимаете требования к обезличиванию персональных данных — с 1 сентября 2025 года они поменялись. Показала два случая, когда обезличивание обязательно, и пять методов обезличивания. А еще дала подробный алгоритм, как проводить обезличивание и не заинтересовать Роскомнадзор.

Что такое обезличивание

Обезличивание персональных данных — это действия, в результате которых невозможно установить личность человека без дополнительной информации. Вы можете обезличивать данные сотрудников или клиентов в зависимости от цели обезличивания.

Пример

У вас есть исходные данные: Иванов Петр Сидорович, 01.01.1980 года рождения, место жительства: г. Москва, ул. Светлая, д. 18. После обезличивания они могут выглядеть так: И.П.С., 1980 года рождения, место жительства — г. Москва.

Важно

Обезличенные сведения остаются персональными данными. Если знать правила и алгоритм обезличивания, такие сведения можно привести в исходный вид и по ним можно будет прямо или косвенно определить субъекта персональных данных.

Обезличивание персональных данных может быть как правом, так и обязанностью оператора.

Когда оператор обязан обезличивать персональные данные

Обязанность обезличивать персональные данные появляется в двух ситуациях.

1. Обезличить данные требует Минцифры. Есть перечень случаев, когда ведомство может направить такое требование. Как правило, они связаны с чрезвычайными ситуациями, борьбой с терроризмом и т. д. (Постановление Правительства РФ от 24.04.2025 № 538).

Срок ответа на требование ведомства зависит от того, есть ли у компании доступ к информационной системе контролирующего органа и подключение к СМЭВ. Если да, на подготовку ответа будет не менее пяти дней. Если такого доступа нет — не менее 30 рабочих дней.

2. Оператор обязан обезличить персданные, если это прямо прописано в специальных законах, в частности в рамках экспериментальных правовых режимов. Обязанность распространяется не на всех операторов, а только на тех, которые упомянуты в таких законах. Например, при закупке лекарств или медицинских изделий для пациента по медицинским показаниям заказчик обязан разместить в реестре контрактов обезличенное решение врачебной комиссии (п. 28 ч. 1 ст. 93, п. 14 ч. 2 ст. 103 Закона 44-ФЗ).

Когда оператор вправе обезличивать персональные данные

Вы можете обезличивать персональные данные по собственной инициативе. Главное, соблюдать принципы и правила по закону о персональных данных. Например, можно обезличивать персональные данные для маркетинговых исследований или обучения нейросети на массивах данных.

Закон позволяет использовать обезличивание как альтернативу уничтожения, но на практике могут возникнуть сложности. Цель обезличивания — зашифровать данные с возможностью последующего восстановления. При этом после восстановления данных у вас уже может не быть правового обоснования для их обработки. А это может привести к нарушению Закона о персональных данных и административной ответственности.

Как действовать

Чтобы обезличивать персональные данные, соблюдайте общие и дополнительные требования (ст. 18.1 и 19 Закона о персональных данных, Приказ Роскомнадзора от 19.06.2025 № 140).

Рекомендую придерживаться следующего алгоритма действий.

1. Проверьте уведомление об обработке персональных данных, которое вы подавали в Роскомнадзор.

В уведомлении должен быть указан такой способ обработки, как обезличивание. Если такого способа в уведомлении нет, нужно подать уточнение.

2. Разработайте локальные акты по обезличиванию.

В документах определите:

  • порядок обезличивания персональных данных и обработки обезличенных данных;
  • методы обезличивания и правила их применения;
  • оценку достаточности методов обезличивания.

3. Определите метод обезличивания.

Выбор метода зависит от основания, по которому вы обезличиваете данные. Если вы получили запрос от Минцифры, нужно использовать метод, который указан в требовании. Если же вы обезличиваете персональные данные по собственной инициативе, выбрать метод обезличивания вы можете самостоятельно.

Есть следующие методы обезличивания.

Введение идентификаторов. Идентификаторы могут быть как постоянные, так и временные. Например, данные Иванова Петра Сидоровича можно обезличить как «id 321» или заменить на И.П.С.

Чтобы сопоставить идентификатор с исходными данными и деобезличить их, нужен ключ. Это может быть таблица или справочник. Такой ключ хранится отдельно от обезличенных данных. Передавать его третьим лицам нельзя.

Изменение состава или семантики. По этому методу персональные данные искажают, изменяют или удаляют часть информации. Например, из полного адреса оставляют только город, а вместо даты рождения остается только год. Задача: изменить исходные данные так, чтобы сохранить их аналитическую значимость, но исключить конкретику.

Для использования метода выделите атрибуты персональных данных и определите правила их удаления, искажения или замены.

Перемешивание. Суть метода следует из названия. Отдельные значения данных или их группы перемешивают, то есть переставляют между собой.

Для использования такого метода нужно разработать правила и алгоритмы перемешивания.

Декомпозиция. Общий массив персональных данных разбивают на части. Каждую часть хранят отдельно. Например, в одном месте хранят Ф. И. О. и ID, в другом — ID и номер телефона.

Чтобы использовать такой метод, разработайте правила разбивки и установите соответствие между записями.

Преобразование. Это дополнительный метод, который применяется совместно с другими. Он состоит в обобщении атрибутов персональных данных. Например, вводятся диапазоны данных, которые не позволяют определить субъекта без знания правил преобразования.

4. Обезличивайте персональные данные в соответствии с законом и вашими внутренними документами.

Для обезличивания персональных данных по закону необходимо в том числе:

  • назначить ответственных за обезличивание, а также определить тех, у кого есть доступ к обезличенным данным;
  • ограничить доступ к обезличенным данным и методам обезличивания;
  • организовать учет мероприятий по обезличиванию;
  • использовать средства автоматизации, которые обеспечивают безопасность и конфиденциальность как исходных данных, так и данных, полученных в результате их обезличивания;
  • хранить обезличенные данные, исходные данные и документы, устанавливающие алгоритмы и правила обезличивания, раздельно.

Документы в КонсультантПлюс

Собрала папку по кейсу для вас, просто скачивайте и пользуйтесь. Если нет доступа к КонсультантПлюс, берите бесплатно пробный от Что делать Консалт.

Среди документов найдете инструкции по обезличиванию персональных данных, все необходимые формы документов, подборки актуальной судебной практики и практические советы экспертов по неоднозначным вопросам.

В каких случаях и как оператор должен обезличивать персональные данные

Каковы обязанности оператора персональных данных

Какая ответственность грозит в связи с осуществлением контроля и надзора в сфере персональных данных

Защита персональных данных

Продукты и инструменты, которые использовали эксперты

Готовые решения

В материалах от экспертов КонсультантПлюс есть вся исчерпывающая информация по практическим вопросам, связанным с персональными данными, в том числе по обезличиванию таких сведений. Тут учтены все актуальные требования закона, позиции ведомств и тенденции в судебной практике. С помощью готовых решений вы найдете оптимальное решение конкретного вопроса в одном документе!

Проверки и штрафы

Помогут подготовиться к проверке и разобраться, как действовать, если пришли проверяющие. В экспертных материалах есть справки об особенностях различных проверок, в том числе по проверкам Роскомнадзора, готовые решения с пошаговым порядком действий, а также формы и образцы заполнения документов. Данная информация поможет быстро сориентироваться в ситуации по наиболее распространенным проверкам, не допустить нарушений и правильно вести документы, а также отстоять свою позицию во время и по результатам проверки.

Изменения в проверках органами власти

Помогут не пропустить ни одного важного изменения в регулировании проверок от госорганов, а также быстро оглянуться назад и увидеть, что происходило по конкретной теме за прошедшее время. Для каждого изменения есть краткая аннотация и ссылка на первоисточник. Изменения в проверках органами власти подготовлены по наиболее востребованным вопросам. Здесь можно найти изменения, которые касаются проверок Роскомнадзора, Роспотребнадзора, ФАС, ФНС и других ведомств.

Узнавайте о новых материалах в Телеграм-боте

Бот сообщит, что вышла статья или видео по вашим интересам, а любимый автор выпустил материал. Еще он умеет ставить важные темы на контроль и приглашает на розыгрыши призов

Анастасия ЧекмареваАнастасия Чекмарева

Знает, как отстоять права клиента в суде, успешно пройти проверку ГИТ, Роскомнадзора, ФАС и прокуратуры. Практик с опытом полного юр. сопровождения компаний, включая договорную, претензионно-исковую работу, разработку ЛНА и защиту работодателя в трудовых спорах

  • 248.6K просмотра
  • 5 подписчиков
  • 167 материалов
Кадровые документы

Кадровые документы

Перейти к потоку
Налоговые споры и суды

Налоговые споры и суды

Перейти к потоку
Изменения законодательства

Изменения законодательства

Перейти к потоку
Контрольно-кассовая техника

Контрольно-кассовая техника

Перейти к потоку
Спецрежимы

Спецрежимы

Перейти к потоку
Договорная работа

Договорная работа

Перейти к потоку
Политика использования файлов cookie
Мы используем куки-файлы для персонализации контента и удобства пользователей. Вы можете запретить их в настройках своего браузера. Продолжая пользоваться сайтом, вы соглашаетесь с Политикой обработки персональных данных