Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Как обезличить персональные данные

780
23 октября

Для свободного использования и обработки сведений о гражданах без нарушения их прав требуется предварительно провести процедуру обезличивания данных. Обезличивание позволяет использовать данные для статистики, исследований, маркетинга и других целей без угрозы раскрытия личных сведений. Однако законодательство устанавливает четкие требования к такой обработке. Подробнее об этом расскажем далее. 

Над статьей работали:
редактор: Александр Чепенко

Содержание

  1. Обезличенные персональные данные в законе
  2. Правила работы с обезличенными персональными данными
  3. Обработка обезличенных персональных данных
  4. Передача обезличенных персональных данных
  5. Как обезличить персональные данные на примере

Обезличенные персональные данные в законе

Обезличивание персданных (ПД) — это действия по удалению идентификаторов персональной информации, которые связывают ее с личностью предоставившего физлица. В результате этих действий становится невозможным определить принадлежность персданных конкретному субъекту (п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – закон № 152-ФЗ).

Для того чтобы расшифровать обезличенные ПД, нужен ключ.

По закону обязательно обезличивать ПД нужно, если:

а) работодатель больше не нуждается в продолжении обработки ПД. По достижении целей их обработки или в случае утраты необходимости в достижении этих целей обрабатываемые персданные подлежат удалению либо обезличиванию (ч. 7 ст. 5 закона № 152-ФЗ). Если работодатель примет такое решение, он применяет требования к обезличиванию ПД, утвержденные Приказом Роскомнадзора от 19.06.2025 № 140;
б) требуется представлять данные по запросу Минцифры для последующей их передачи в Единую информационную платформу национальной системы управления данными (ЕИП НСУД) (п. 9.1 ч. 1 ст. 6, ст. 13 закона № 152-ФЗ).

Для передачи данных по требованию Минцифры сведения обезличиваются в соответствии с правилами, утвержденными Постановлением Правительства РФ от 01.08.2025 № 1154.

Обезличивание ПД используется для защиты информации от утечек — обработанные сведения нельзя деобезличить без ключа расшифровки.

До начала обработки ПД компания уведомляет Роскомнадзор о своем намерении осуществлять обработку. Обезличивание данных охватывается понятием «обработка». Следовательно, о намерении обезличивать ПД оператор уведомляет РКН (п. 3 ст. 3, ч. 1 ст. 22 закона № 152-ФЗ).

Кроме того, поскольку обезличивание — это действие по обработке персданных, на эту операцию нужно получить согласие субъекта ПД (ч. 1 ст. 6 закона от № 152-ФЗ).

Правила работы с обезличенными персональными данными

Обезличенные ПД работников сохраняют для работодателя свою практическую ценность. Он вправе использовать их в статистических и аналитических целях внутри компании.

Если работодатель обезличивает персданные, он соблюдает следующие правила работы с ними:

а) перед началом обезличивания ПД определяет состав данных и субъектов, информация о которых будет обезличена;
б) оценивает соответствие выбранного для обезличивания метода достижению целей обработки;
в) использует для обезличивания информационные системы и софт, в которых обеспечиваются безопасность и конфиденциальность данных — в случае обезличивания ПД с использованием средств автоматизации;
г) организует раздельное хранение обезличенных ПД и персданных, подлежащих обезличиванию;
д) организует учет осуществляемых действий по обезличиванию персональных данных, действий (операций), совершаемых с персональными данными, полученными в результате обезличивания.

Помимо этого, работодателю следует принять ЛНА, в котором определить порядок:

а) обработки обезличиваемых ПД;
б) осуществления деятельности по обезличиванию ПД;
в) оценки достаточности применяемого метода обезличивания;
г) обработки ПД, полученных в результате обезличивания.

Работодатель должен исключить доступ третьих лиц к принятым им ЛНА или сведениям об используемом методе обезличивания, об ИС или ПО, используемых для обезличивания, а также об иной информации касательно процедуры проведения обезличивания.

В случае когда компания обезличивает ПД по запросу Минцифры, она соблюдает следующие правила:

а) перед обезличиванием оценивает достаточность выбранных методов;
б) при обезличивании удаляет из набора данных любую информацию, доступ к которой ограничен законом;
в) использует алгоритмы и софт, обеспечивающие передачу обезличенных данных из ПО компании – оператора в ГИС без потери таких данных или их изменения;
г) организует раздельное хранение ПД и обезличенных данных;
д) принимает меры по обеспечению безопасности обезличенных данных. К примеру, соблюдает конфиденциальность в отношении ключей деобезличивания и методики обезличивания.

Перечень случаев, когда Минцифры может прислать требование на передачу обезличенных персданных, установлены Постановлением Правительства РФ от 24.04.2025 № 538. В их числе — проведение статистических или иных исследований в сфере туризма, исследования в экономической и социальной сферах в целях реализации государственной миграционной политики.

Обработка обезличенных персональных данных

Работодатель вправе обрабатывать ПД с помощью следующих методов обезличивания:

а) введение идентификаторов. При этом данные сотрудника продолжат использоваться под специально присвоенным обозначением. К примеру, вместо Ф.И.О. сотрудника в базе данных отражается уникальный идентификатор;
б) изменение состава ПД — из набора данных удаляется избыточная информация, которая не используется в отчетности, и оставляется только часть сведений, которые нужны работодателю;
в) декомпозиция. При этом массив обезличиваемых персданных разделяется на заданное оператором количество частей с последующим их раздельным хранением;
г) перемешивание. Этот метод реализуется путем перестановки отдельных значений или групп значений атрибутов персональных данных между собой.

Для исключения связи между атрибутами ПД и их субъектами дополнительно может применяться метод преобразования массива данных, подлежащих обезличиванию, путем:

а) обобщения атрибутов ПД;
б) обобщения атрибутов ПД, а также установления заданного количества различных значений атрибутов данных;
в) обобщения атрибутов ПД, а также установления заданного количества различных значений атрибутов данных, позволяющего отобразить исходное распределение каждого значения атрибутов.

Выбор метода зависит от того, где хранятся данные и для чего они используются.

Работодатель, который обезличивает персданные, может составить приказ и акт об обезличивании. Эти документы законодательно не предусмотрены, но с их помощью компания задокументирует процесс обработки персданных.

Методами обезличивания ПД по запросу Минцифры компанией-оператором являются:

а) введение идентификаторов. При этом часть сведений заменяют идентификаторами;
б) изменение состава или семантики. При этом часть сведений изменяется или удаляется либо заменяется результатами статистической обработки;
в) декомпозиция, когда массив данных разбивается на части, каждой из которых организуют раздельное хранение;
г) перемешивание, когда отдельные записи в массиве переставляются на другие места;
д) преобразование, который подразумевает агрегацию обезличенных ПД через их обобщение по различным значениям.

Обезличить ПД по запросу Минцифры компания-оператор сможет только с использованием специального софта, который бесплатно предоставит ведомство.

Передача обезличенных персональных данных

Передача ПД по запросу Минцифры компаниями-операторами происходит на безвозмездной основе.

Указанный запрос должен содержать перечень персданных, полученных в результате обезличивания, которые предоставляются компанией-оператором для формирования составов данных, а также сроки их предоставления.

Если при этом выявляются ошибки, Минцифры вправе вернуть запрос на доработку.

Как обезличить персональные данные на примере

В случае если ПД обезличивает работодатель для использования во внутренних целях и применяет при этом метод введения идентификаторов,  он может использовать условные обозначения. К примеру, у компании есть данные — Ф.И.О. сотрудника, его должность, возраст, телефон, адрес места жительства, паспортные данные.

Метод введения идентификаторов предполагает замену ПД уникальными кодами (идентификаторами), при этом связь с исходными данными хранится отдельно и защищена.

После обезличивания вместо всех ПД используется уникальные идентификаторы (ID), которые не содержат личной информации. Связь ID с реальными данными хранится отдельно, к примеру, в защищенном реестре, доступ к которому ограничен.

При использовании метода изменения состава или семантики часть ненужных сведений удаляется или обобщается.

Например, у компании есть исходные данные:

а) Ф.И.О. — Петров Петр Петрович;
б) дата рождения — 15.03.1975;
в) адрес — г. Москва, ул. Ленина, д. 10.

После обезличивая данных с изменением состава и семантики появились данные:

а) возраст — 50-55 лет (вместо точной даты рождения);
б) регион — Москва (без указания улицы и номера дома);
в) фамилия и имя заменены на категорию «Пациент группы А» или код ID12345.

Таким образом, с использованием этого метода были убраны точные идентификаторы, но сохранены смысловые характеристики (возрастная группа, регион).

Если компания обрабатывает ПД методом декомпозиции, процесс обезличивания может выглядеть следующим образом. К примеру, у компании есть данные клиентов — Ф.И.О., адреса проживания, номера телефонов, история покупок.

Для обезличивания методом декомпозиции данные разбивают на части и хранят отдельно:

а) в одной базе — Ф.И.О. и контактные данные (адрес, телефон) без информации об покупках;
б) в другой — историю покупок без доступных идентификаторов (без Ф.И.О., адреса и телефона).

Пары данных хранятся раздельно, и доступ к ним контролируется так, чтобы нельзя было связать историю покупок с конкретным человеком без дополнительной информации.

Метод перемешивания (shuffling) означает случайное перемешивание значений в столбцах, чтобы не сохранялась связь между конкретным человеком и его зарплатой или возрастом.

К примеру, у компании есть данные — Ф.И.О. сотрудника, его должность и зарплата. После перемешивания все данные остались, но связь между показателями «Ф.И.О.», «должность» и «зарплата» нарушена, что позволяет скрыть прямые связи для идентификации данных о физлице.

"Кадровое дело"

Бесплатный электронный сборник содержит важную информацию, связанную с ведением кадрового учета, образцы заполнения документов, а также рекомендации экспертов и чиновников.

Нажимая на кнопку, вы даете свое согласие на обработку персональных данных и соглашаетесь с политикой обработки персональных данных

Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь