Добровольное обезличивание персональных данных: ответы юриста на вопросы бизнеса — Контур
Экосистема продуктов для бизнеса
Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Для ритейла и поставщиков
Для нового бизнеса
Крупному бизнесу
Работа с госсистемами
Импортозамещение
Маркировка товаров
Все продукты и решения
  1. Журнал
  2. Бизнес
  3. Риски

Добровольное обезличивание персональных данных: ответы юриста на вопросы бизнеса

26 августа 2025

С 1 сентября 2025 года вступают в силу важные изменения в сфере обработки персональных данных (ПДн). Цель изменений — дать бизнесу и государству возможность использовать большие данные для аналитики, развития искусственного интеллекта, технологий, статистики без нарушения конфиденциальности и прав личности.

Александр Матецкий Эксперт по юридическим вопросам

В связи с законодательными изменениями у бизнеса возникает много вопросов, касающихся подготовки к новшествам и работы по новым правилам. Остановимся на каждом.

Ответы на вопросы:

Что изменится для бизнеса с 1 сентября 2025 года?

Главные изменения для бизнеса:

  • Обязательное предоставление по требованию Минцифры обезличенных сведений в Единую информационную платформу национальной системы управления данными (ЕИП НСУД).
  • Возможность обрабатывать обезличенные ПДн без согласия клиента. Ранее согласие требовалось в большинстве случаев обработки ПДн.
  • Обезличивание ПДн становится более выгодной альтернативой уничтожению ПДн. Этими данными можно пользоваться для аналитических, маркетинговых и иных целей бизнеса.

Какие данные можно обезличивать, а какие — нет?

Обезличивать можно любые ПДн (ФИО, телефон, e-mail, адрес, дату рождения и др.), кроме случаев, предусмотренных законом.

Примеры обезличивания ПДн:

  • изменение имени гражданина на набор инициалов — например, Иванов Иван Иванович заменяется на И.И.И.;
  • точный адрес гражданина заменяется на город / регион проживания и т.д. (г. Москва, ул. Садовая, д. 9, кв. 3 на г. Москва);
  • изменение даты рождения на год рождения (15.11.1994г. на 1994г.).

Информация обезличивается таким образом, чтобы связь с личностью конкретного человека была разорвана, но содержательность информации для последующей обработки сохранилась: можно будет подсчитать количество клиентов из конкретного города, возрастной группы, способ доставки товара, сумму заказа, предпочтения клиента и другое для целей аналитики.

Запрещено обезличивать ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни (ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ). Исключением является обработка этих ПДн в социально-значимых процессах: перепись населения, правосудие, статистика медицинских организаций и т.п.

Что делать с биометрией и финансовой информацией?

Обезличивание ПДн, составляющих охраняемую тайну (государственную, банковскую, медицинскую, профессиональную и др.), не допускается в случаях, если при этом нарушаются требования специальных законов.

Обезличивание сведений, составляющих банковскую тайну

Сведения о банковских счетах клиента (банковские реквизиты), реквизитах платежных карт (номер карты, срок действия, CVV-код), сведения о переводах денежных средств являются банковской тайной (ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности»).

Возможность обезличивания сведений, составляющих банковскую тайну, не допускается, так как прямо не предусмотрено специальным законом. Если, например, интернет-сайт организации собирает подобные сведения, обезличивать их нельзя, а передача таких данных третьим лицам (даже в обезличенном виде) может быть квалифицирована как разглашение банковской тайны.

Обезличивание биометрических данных

Запрета на обезличивание биометрических данных нет. В ряде случаев такое обезличивание даже необходимо — например, обезличивание распознавания лиц / голосов при уличной видео / аудиозаписи, так как получить согласие на обработку биометрических ПДн лиц, указанных на видеозаписи, невозможно.

Однако передавать такие обезличенные данные в ЕИП НСУД даже по запросу не следует, так как формирование государственных составов данных на базе биометрических данных (даже в обезличенном виде) не допускается.

Нужно ли получать согласие клиента на обезличивание ПДн?

Обезличивание ПДн входит в понятие обработки ПДн (п. 3 ст. 3 Закона № 152-ФЗ) и не требует получение дополнительного согласия клиента даже в том случае, если в ранее полученном согласии на обработку ПДн обезличивание не упоминалось.

Вовремя примите меры по защите персональных данных

Реклама 16+.

Нужно ли уведомлять клиентов о том, что их данные обезличены?

Нет, такая обязанности для операторов ПДн (организаций, ИП) законом не установлена, делать это не нужно.

Нужно и можно ли обезличивать данные сотрудников?

Обязанность обезличивать данные сотрудников законом не предусмотрена (за исключение случая получения соответствующего требования от Минцифры).

Работодатель может обезличивать данные сотрудников в случае, если это требуется для каких-то внутренних целей: аналитики, подготовки отчетов, использования данных в работе с ИИ и т.п.

Обезличивание данных сотрудников происходит в общем порядке, без каких-либо специальных правил.

Как обезличивание скажется на бизнес-процессах?

Работа с обезличенными данными требует определенной перестройки бизнес-процессов, в частности: 

  • назначения ответственных лиц;
  • разработки новых локальных нормативных актов (Положение об обезличивании, Положение о методе обезличивания и др.), внесения изменений в должностные инструкции сотрудников и т.д.; 
  • аудита работы локальных сетей и баз данных, обеспечение строгой конфиденциальности процесса обезличивания;
  • информирования всех подразделений об обезличивании данных и порядке работы в новых условиях, корректировки корпоративных процессов (например, большая часть сотрудников будет пользоваться только обезличенными данными).

Упростит ли это процессы или, наоборот, добавит новых сложностей? 

Сложности могут возникнуть на первом этапе внедрения изменений. Однако в целом обезличивание снижает риски утечки ПДн (сотрудники в основном будут пользоваться обезличенными данными) и открывает новые возможности для бизнеса. Например, использование больших данных позволяет работать с полезной для бизнеса информацией, в том числе полученной от контрагентов без риска привлечения к ответственности.

Нужно ли нанимать специалистов по data-безопасности?

Строгие требования, предъявляемые к специалистам, работающим с обезличиванием ПДн (образование, квалификация, наличие специального обучения / аттестации, стаж работы и др.) закон не предъявляет. Есть возможность обучить / осуществить переподготовку имеющихся IT-специалистов и иных ответственных сотрудников.

Делать это есть смысл только в том случае, если вопрос не получается решить силами собственных сотрудников.

Данные изначально собирались для конкретной цели. Можно ли их обезличить без дополнительного согласия?

Да, можно. Согласие клиента на обезличивание ПДн не требуется. Обезличивание является альтернативой уничтожения ПДн (п. 7 ст. 5 Закона № 152-ФЗ).

Как долго можно хранить обезличенные данные?

Предельный срок хранения обезличенных ПДн, в отличие от обычных ПДн, законом не ограничен. 

Можно ли обезличивать данные, чтобы не платить штрафы за утечки?

Действующее законодательство не дает однозначного ответа на этот вопрос.

Обезличенные ПДн теряют связь с конкретных лицом, поэтому под определение ПДн уже не подпадают (п. 1.1. ст. 3 Закона № 152-ФЗ). Тем не менее законодатель оперирует понятием «персональные данные, полученные в результате обезличивания персональных данных» (п. 9.1. ст. 6 Закона № 152-ФЗ), хотя предъявляет к обезличенным данным уже иные требования.

Можно предположить, что штрафов за утечку обезличенных данных не будет, если процедура обезличивания проведена в соответствии с установленными требованиями и возможность восстановления ПДн с привязкой к конкретному лицу отсутствует (нарушение интересов общества и конкретных лиц отсутствует). Штрафы за утечку придется заплатить в случае, если ПДн по каким-то причинам восстановились и попали третьим лицам (например, в результате необеспечения конфиденциальности кода кодировки и т.п.).

Спасет ли обезличивание от ответственности, если данные все же попадут в открытый доступ?

Здесь также все будет зависеть от того, насколько законно произведена процедура обезличивания. Если все сделано законно и возможности связать обезличенные данные с конкретным лицом нет, оснований для привлечения к ответственности не будет.

Можно ли передавать обезличенные данные третьим лицам?

Да, можно. Это основная цель обезличивания, преследуемая законодателем — дать возможность широкому кругу пользователей (маркетологам, кадровым агентствам, внешним бухгалтерам, юристам) работать с большими данными без передачи персональных сведений.

Требуется ли согласие субъекта ПДн на такую передачу?

Нет, действующее законодательство не содержит такой обязанности. Согласие субъекта ПД (клиента) на такую передачу получать не требуется.

Как правильно оформить политику обезличивания в компании?

С учетом положений п. 2 Приложения №1 к Приказу Роскомнадзора от 19.06.2025 № 140, рекомендуем разработать и утвердить приказом руководителя организации / ИП локальный акт (политику, положение, инструкцию и т.д.) об обезличивании ПДн.

В документе нужно предусмотреть в том числе следующие ключевые моменты:

  • перечень ПДн, подлежащих обезличиванию;
  • цели и задачи обезличивания (аналитика, предоставление по запросам уполномоченных органов, улучшение качества обслуживания и т.д.);
  • какие методы используются при обезличивании ПДн (введения идентификаторов, изменения состава / семантики данных, перемешивания, декомпозиции);
  • как оценивается достаточность обезличивания;
  • порядок хранения обезличенных и исходных ПДн, ключей кодировки, защита локальных сетей / баз данных.

Подробную инструкцию об используемом методе / методах обезличивания, порядке хранения ключей кодировки и иную конфиденциальную информацию необходимо утвердить отдельным локальным актом, доступ к которому строго ограничен кругом лиц, осуществляющих такое обезличивание.

Как прописать это в оферте или договоре с клиентами?

Указывать в оферте / договоре с клиентами отдельное условие об обезличивании ПДн не обязательно. Достаточно:

  • получить от клиента согласие на обработку ПДн в виде отдельного документа, в котором в числе прочих способов обработки ПДн будет указано обезличивание;
  • предоставить клиенту возможность ознакомиться с политикой обработки ПДн, в том числе с разделом об обезличивании ПДн (обязательность ознакомления здесь отсутствует).

Это наиболее простой законный способ, не привлекающий дополнительного внимания к вопросу обезличивания ПДн.

В каких случаях обезличивание ПДн является обязательным?

Обезличивание ПДн является обязательным только в случае получения требования Минцифры о предоставлении обезличенных данных в ЕИП НСУД.

Вероятнее всего, в первую очередь такие запросы начнут поступать крупным компаниям, располагающим большим количеством ПДн: операторам сотовой связи, сетевым ритейлерам, крупным производителям, перевозчикам и др.

На малый бизнес / ИП внимание, скорее всего, будет обращено значительно позже, хотя от подобных запросов не может быть застрахован никто.

Во всех остальных случаях обезличивание является добровольным сознательным выбором оператора ПДн для решения определенных задач, например:

  • по завершении цели обработки ПД / как альтернатива уничтожению данных;
  • при передаче обезличенных ПДн третьим лицам без согласия клиента (когда получить согласие клиента на передачу обычных ПДн не представляется возможным);
  • обезличивание для использования ПДн в новых целях;
  • обезличивание при обработке видеозаписей и биометрии, когда получить согласие третьих лиц не представляется возможных (публичная видеосъемка и др.).

Обязательно ли обезличивание ПДн для ИП?

ИП является таким же оператором ПДн, как и организации (п. 2 ст. 3 Закона № 152-ФЗ). В случаях, предусмотренных законом, обезличивание обязательно и для ИП. Например, при получении запроса уполномоченного органа на предоставление обезличенных данных в ЕИП НСУД.

Обезличивание персональных данных и бизнес: как подготовиться

Для соответствия требованиям по обезличиванию данных в 2025 году:

1. Разработайте и утвердите приказом руководителя организации / ИП локальный акт (политику, положение, инструкцию и т.д.) об обезличивании ПДн, локальный акт об используемом методе / методах обезличивания, хранения и защиты данных, содержащий конфиденциальную информацию.

2. Внесите изменения в Политику обработки персональных данных. Нужно добавить раздел об обезличивании данных, в котором проинформировать неограниченный круг клиентов о ключевых моментах обезличивания (без подробной и конфиденциальной информации), в том числе:

  • принципы, цели и задачи обезличивания;
  • состав ПДн, подлежащих обезличиванию;
  • методы, используемые для обезличивания;
  • возможность передачи обезличенных данных третьим лицам и цели такой передачи (улучшение качества обслуживания, аналитика, запрос уполномоченных госорганов и т.д.).

Политика в отношении обработки персональных данных: как составить документ

3. Осуществите аудит информационных систем. Это нужно для того, чтобы обеспечить раздельное хранение данных в информационных системах. Исходные ПДн и обезличенные ПДн должны храниться раздельно (разные сетевые диски, локальные сети, компьютеры с различными способами защиты и т.д.). Рекомендуется выделять отдельные сегменты / базы в локальной сети, обеспечить их защиту, персонализированный доступ и т.п. 

Если исходные ПДн больше не нужны, наиболее правильный вариант — удалить исходные ПДн / ключи кодировки (при наличии). Это исключит возможность восстановления исходных ПДн и утечки данных.

При необходимости следует приобрести программное обеспечение / оборудование, подходящее для обезличивания данных.

4. Назначьте ответственных за процесс обезличивания данных, в том числе обезличивание данных, хранение данных, взаимодействие по запросам государственных органов (Минцифры). 

5. Проведите обучение ответственных. Ознакомьте их с локальными актами, необходимыми для работы.

Рекомендуется также внести изменения в должностные инструкции сотрудников, если подобные обязанности ранее не были закреплены. 

Если специалистов соответствующей квалификации нет, наймите специалистов по data-безопасности.

С 1 сентября 2025 года существенно усиливаются требования к порядку получения согласия на обработку персональных данных. Основное изменение — обязательность оформления согласия в отдельном документе, что исключает возможность его «спрятать» в пользовательских соглашениях или иных документах. Это решение устраняет правовую неопределенность, ранее позволявшую операторам вводить пользователей в заблуждение относительно объема и целей обработки их данных.

Организациям и ИП необходимо пересмотреть свои процедуры: разделить согласия на обработку с распространением и без, учесть обязательные реквизиты, а при необходимости — использовать шаблон Роскомнадзора. Несоблюдение новых правил чревато штрафами.

Защита персональных данных
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Узнать больше
Реклама 16+.
Александр Матецкий Эксперт по юридическим вопросам
Защита персональных данных
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Узнать больше
Реклама 16+.
#Риски #Безопасность #Персональные данные
Написать комментарий
Раз в неделю — дайджест материалов, достойных вниманияАктуальные материалы раз в неделю
Подписаться

Другие статьи

Все статьи
<
Написать комментарий
Компания
Работа у нас
Продукты
Журнал
Партнёрство
Поддержка
© 1988–2025 СКБ Контур
Используем cookies для корректной работы сайта, персонализации пользователей и других целей, предусмотренных политикой обработки персональных данных.
vk ok youtube telegram
In English