С 1 сентября 2025 года в силу вступают важные изменения в законодательстве России о персональных данных, касающиеся обезличивания (анонимизации) персональной информации. Цель - установить чёткие правила обезличивания и дать бизнесу и государству новые возможности для безопасного использования больших данных и технологий искусственного интеллекта.

Что изменится с 01.09.2025

Обезличенные данные без согласия. Главное нововведение – персональные данные, превращённые в обезличенную форму, с 1 сентября 2025 года можно обрабатывать без получения согласия гражданина. Ранее закон требовал согласия практически для любой обработки, но теперь чётко разрешено использовать должным образом обезличенные данные без предварительного согласия субъекта для исследований или технологий (например, для обучения ИИ) без нарушения закона. Важно подчеркнуть: обезличивание должно быть выполнено так, чтобы исключить возможность прямой идентификации гражданина по этим данным.

Новая статья 13.1 в Законе о ПД. Указанные изменения были введены Федеральным законом № 233-ФЗ от 08.08.2024, который дополнил Закон № 152-ФЗ «О персональных данных» новой статьёй 13.1, регулирующей обращение с обезличенными данными. Эта статья вводит понятие «состав обезличенных данных» – то есть набор персональных данных, сгруппированных по определённым признакам, который обезличен настолько, что дальнейшая обработка не позволит установить, кому конкретно они принадлежат.  Также даётся определение «обезличенные персональные данные» – данные, обезличенные по требованиям закона (по состоянию на 01.09.2025). Иными словами, закон уточнил, что считается надёжно обезличенной информацией.

Передача обезличенных данных государству. Существенное изменение – теперь операторов персональных данных могут обязать предоставлять обезличенные сведения в государственную информационную систему (ГИС). Министерство цифрового развития (Минцифры) получило право направлять компаниям и ведомствам требования предоставить нужные данные в обезличенном виде для загрузки в федеральную ГИС. Правительство РФ определило, что такой системой станет Единая информационная платформа нацсистемы управления данными (ЕИП НСУД) с новой подсистемой обезличенных данных. Проще говоря, если государству понадобятся большие массивы данных для аналитики или социальных проектов, оно будет запрашивать у обладателей данных обезличенные наборы сведений, а не персональные данные в чистом виде. Например, могут затребовать у банков агрегированные транзакции, у операторов связи – статистику по звонкам и т.д., но всё в таком виде, чтобы нельзя было вычислить конкретного человека. Формировать «составы данных» из биометрических персональных данных при этом запрещено – закон прямо исключает обезличивание биометрии для этой ГИС.

Особый порядок и контроль. Законодатель уделил внимание защите прав граждан при таком обмене данными. Введён механизм уведомления граждан о планируемой передаче их сведений даже в обезличенном виде, с правом возражения. То есть человеку должны сообщить, что сведения о нём (пусть и обезличенные) могут быть переданы, и он вправе запретить это – тогда передачу отменят. Такой подход позволяет сбалансировать интересы государства в анализе больших данных и право человека контролировать информацию о себе. Кроме того, доступ к обезличенным данным в ГИС получат только доверенные лица и организации: ни иностранные компании, ни организации с неопределённым статусом собственности, ни люди с судимостями за киберпреступления допущены не будут. Это сделано для снижения рисков утечек и злоупотреблений при дальнейшем использовании обезличенных данных.

Расширение применения технологий. Новые правила также открывают путь для более широкого использования городских цифровых систем. К примеру, изображения лиц (видео с камер) и голосовые записи теперь можно обрабатывать без согласия, если они должным образом обезличены. Это означает, что городские камеры наблюдения и аудиосенсоры смогут собирать и анализировать обезличенную информацию (например, подсчитывать поток людей, фиксировать события) без нарушения закона о персональных данных. Однако при этом должны быть прозрачны методы обезличивания и гарантирован контроль, чтобы данные не могли быть реидентифицированы. Таким образом, к 1 сентября 2025 года в России формируется новая правовая рамка для работы с большими массивами данных, когда персональные сведения используются в обобщённом, деперсонифицированном виде в интересах развития технологий и управления, но при строгом соблюдении конфиденциальности личности.

Методы обезличивания: что можно и что нельзя

Официально утверждённые методы. Роскомнадзор определяет конкретные методы, с помощью которых должна проводиться обезличивание персональных данных. В 2025 году подготовлен проект приказа Роскомнадзора с перечнем таких методов (они во многом повторяют ранее действовавшие с 2013 года). Допустимые методы обезличивания включают следующие подходы:

• Метод введения идентификаторов. Часто его называют псевдонимизацией. Сущность: вместо реальных персональных сведений подставляются условные идентификаторы (коды), при этом создаётся таблица соответствия между ними и исходными данными. Например, имени «Иван Иванов» присваивается код ID123, и дальше в базе фигурирует только ID123. Таблица соответствия хранится отдельно. Этот метод позволяет отвязать данные от личности, но важно защитить таблицу соответствия.

• Метод изменения состава или семантики данных. Это способ обобщения или удаления части информации. Некоторые атрибуты заменяются результатами статистической обработки, усреднения, либо вовсе удаляются из набора. Например, вместо точной даты рождения можно оставить только год, вместо полного адреса – город. Либо вместо суммы дохода указать диапазон. Смысл в том, чтобы изменить данные так, чтобы конкретика пропала, но аналитическая ценность сохранилась.

• Метод декомпозиции (разбиения). Персональные данные разбиваются на несколько частей, которые хранятся отдельно друг от друга. Например, в одной таблице хранятся имена и ID, в другой – ID и контактные данные, в третьей – ID и параметры поведения. По отдельности эти части не позволяют идентифицировать человека. Декомпозиция часто используется совместно с другими методами.

• Метод перемешивания (шуффлинг). Происходит перестановка записей или групп данных в массиве персональных данных. Перемешивание разрушает исходные связи между атрибутами и субъектами. Пример: если в списке клиентов переставить местами строки «имя-адрес», то имя уже не соответствует своему адресу. В комбинации с большим количеством записей это затрудняет выяснение, у кого какой адрес изначально был, сохраняя при этом объем данных.

Кроме перечисленных, допускается применять комбинации нескольких методов одновременно, а также дополнительные приёмы, например преобразование набора данных для разрыва связи между атрибутами и субъектами. Последнее означает группировку и агрегирование данных: оператор может, к примеру, объединить несколько записей о человеке в сводные категории (ввести диапазоны, сегменты), чтобы нельзя было собрать все его атрибуты воедино. Ключевое требование – после применения выбранного метода(ов) ни одна последующая операция обработки не должна позволить установить личность субъекта.

Запрещённые и ненадёжные подходы. Закон и регулятор однозначно указывают, что недопустимо формально обезличивать данные, оставляя возможность обратного восстановления личности. Поэтому существуют прямые запреты на некоторые действия при обезличивании:

• Нельзя хранить обезличенные данные вместе с исходными. Оригинальный массив персональных данных и полученный из него обезличенный набор должны храниться раздельно. Запрещено держать их в одной базе или файле, иначе есть риск сопоставить и восстановить исходные сведения. Например, если у вас осталась таблица соответствия ID к ФИО, её нужно изолировать и защищать.

• Нельзя раскрывать «ключи» и методику обезличивания третьим лицам. Внутренние документы, описывающие используемый метод, алгоритмы перестановки, таблицы соответствия и т.п., не должны передаваться никому постороннему. Таблицы сопоставления идентификаторов с исходными данными должны храниться отдельно и в тайне. Иначе обезличивание теряет смысл – зная метод или имея ключ, можно раскодировать данные.

• Исключить запрещённые сведения. При обезличивании надо удалить из набора данных любую информацию, доступ к которой ограничен законом. То есть, например, государственную тайну, банковскую тайну, медицинскую тайну нельзя включать даже в обезличенном виде, если это нарушит специальные законы. Также, как упомянуто, биометрические данные не могут быть частью обезличенных наборов, передаваемых в государственную систему – их использование строго регулируется отдельными нормами.

• Недостаточные меры не считаются обезличиванием. Если организация применяет слишком слабый способ (например, просто убрала фамилии, но оставила столько других деталей, что человека легко узнать), это не будет признано надлежащим обезличиванием. Регулятор требует оценивать достаточность выбранных методов перед обезличиванием. Простое сокрытие имени или ручная замена пары символов – явно недостаточно. Также шифрование без уничтожения ключа нельзя считать обезличиванием – это всего лишь мера защиты, а не необратимое удаление идентификаторов (при наличии ключа данные расшифровываются обратно). Таким образом, оператор обязан убедиться, что после всех преобразований невозможно восстановить исходные персональные данные обычными средствами.

Подводя итог, новые правила не изобретают принципиально новых методов обезличивания – используются известные подходы, описанные ещё в приказе Роскомнадзора № 996 от 05.09.2013. Однако теперь установлены более жёсткие требования к самому процессу: регламентировано, как выбирать метод, как документировать процедуру, как хранить результаты, чего избегать. Цель – чтобы обезличивание проводилось не формально, а действительно надёжно, с соблюдением всех технических и организационных мер, исключающих повторную идентификацию личности.

Как подготовиться

Новые правила обезличивания данных требуют от организаций заблаговременной подготовки. Операторам персональных данных уже сейчас рекомендуется начать приводить свои процессы в соответствие с грядущими изменениями. Вот список шагов, которые помогут подготовиться к 1 сентября 2025 года:

• Разработать или обновить внутренние политики и инструкции. Если у компании ещё нет отдельного локального акта, регламентирующего порядок обезличивания персональных данных, его необходимо утвердить. В документе следует прописать: какие данные подлежат обезличиванию, в каких случаях; какими методами вы их обезличиваете; как оцениваете достаточность обезличивания; как храните обезличенные данные и т.д. Также вносятся изменения в Политику обработки ПД, добавляя положения об анонимизации.

• Определить и внедрить подходящие методы обезличивания. Проанализируйте, какие из официально утверждённых методов лучше подходят под ваши наборы данных. 

• Закрепить методы во внутренних актах. Если вы выбрали конкретные методы, закон требует формализовать их. Например, при методе изменения состава/семантики данных утвердите отдельный порядок, описывающий, какие атрибуты удаляются или искажаются и как именно. При методе перемешивания – утвердите алгоритм перестановки записей (на сколько позиций сдвигаются значения и т.п.). При декомпозиции – определите правила разбиения и места раздельного хранения частей данных. Все эти документы должны быть внутренними, храниться отдельно и недоступны посторонним. Назначьте ответственных за их ведение и актуализацию.

• Настроить раздельное хранение данных. Проверьте архитектуру ваших информационных систем: оригинальные персональные данные и обезличенные должны храниться раздельно. Возможно, потребуются изменения – например, выделить отдельный сегмент или базу для обезличенных наборов, ограничить к ним доступ. Таблицы соответствия ID и реальных данных держите в защищённом хранилище с ограниченным кругом доступа. В идеале, сразу после обезличивания выгружать данные в отдельное место, а исходные удалять (если они больше не нужны для текущих процессов).

• Назначить ответственных за работу с ГИС обезличенных данных. Если ваша организация подпадает под вероятные требования (например, вы оператор больших массивов клиентских данных), целесообразно определить сотрудника или подразделение, которое будет отвечать за взаимодействие с государственной платформой ЕИП НСУД. Этот ответственный должен понимать порядок выполнения требований: как принять запрос Минцифры, в какие сроки подготовить данные, как их загрузить в систему. Возможно, потребуется настроить техническое подключение к ЕИП НСУД через СМЭВ (систему межведомственного электронного взаимодействия) – проверьте, есть ли у вас такая возможность, либо обратитесь за разъяснениями в Минцифры.

• Обучить персонал и обновить договоры. Проведите обучение для сотрудников, работающих с данными: объясните новые правила обезличивания, подчеркните запрет хранить вместе ПД и анонимизированные данные, запрет делиться техникой обезличивания, и т.д. Внутренние инструкции по безопасности данных должны быть дополнены пунктами об обращении с обезличенной информацией. Если вы привлекаете внешних подрядчиков для анализа данных или обезличивания, убедитесь, что в договоре с ними есть обязательство соблюдать все требования закона (например, не получать доступ к исходным данным без необходимости).

• Следить за финальными нормативными актами. На момент подготовки статьи проект приказа Роскомнадзора ещё находится на стадии обсуждения. Необходимо мониторить, когда он будет официально принят и вступит в силу, и скорректировать свои документы под окончательную редакцию. Также стоит отслеживать возможные разъяснения Минцифры о порядке подключения к ЕИП НСУД, порядке уведомления граждан и прочие технические детали внедрения системы – эти инструкции могут быть опубликованы ближе к запуску.

Когда обезличивание обязательно

Обезличивание персональных данных в ряде случаев не просто право, а прямая обязанность оператора, закреплённая законом. Перечислим основные ситуации, когда данные обязательно должны быть обезличены (или уничтожены) во избежание нарушения закона:

• По завершении цели обработки данных. Согласно принципам закона о ПД, после достижения изначальной цели, ради которой собирались данные, дальнейшее хранение иденфицируемых персональных данных недопустимо. Оператор обязан либо уничтожить такие данные, либо перевести их в обезличенный формат. Например, компания собрала ПД пользователей для разовой акции – по окончании акции персональные данные должны быть удалены. Однако если компании нужны агрегированные результаты (статистика по акции), она может обезличить персональные сведения и сохранить уже обезличенные данные вместо полного удаления. Это предусмотренная законом альтернатива уничтожению, позволяющая извлечь пользу из данных без нарушения прав граждан.

• При передаче данных третьим лицам без согласия. Если организация хочет передать чьи-либо данные сторонней компании, а согласия от субъектов нет, единственный законный вариант – предварительно обезличить данные. Например, сервис планирует поделиться с партнёром аналитикой по пользователям. Передавать персональные профили незаконно, но можно передать совокупную обезличенную статистику. Закон (с учётом новых поправок) прямо допускает передачу третьим лицам персональных данных, полученных в результате обезличивания по утверждённым методам. То есть обезличивание становится необходимым условием законной передачи данных вне организации, если нет другого правового основания.

• При публикации открытых данных. Любые обезличенные сведения не подпадают под действие закона о персональных данных. Поэтому государственные органы и компании, когда публикуют публичные отчёты, реестры, открытые данные, обязаны предварительно удалить из них персональные идентификаторы. Например, выкладывая в открытый доступ данные об услугах или инцидентах, нужно убрать ФИО, контакты и иные личные детали, заменить их кодами или обобщить до статистики по категориям. В противном случае публикация будет считаться разглашением персональных данных. Таким образом, всякий раз, когда данные выходят за пределы исходной базы и становятся доступными широкому кругу лиц, обезличивание обязательно, если они изначально содержали ПД.

• По требованию уполномоченного органа. Как упоминалось, с 2025 года вводится обязанность операторов предоставлять государству обезличенные сведения. То есть если Минцифры России (или ДИТ Москвы для столичных структур) направит требование о предоставлении данных в ГИС, оператор обязан выполнить обезличивание и предоставить данные именно в обезличенном виде. Предоставить необезличенные персональные данные даже госорганам нельзя – закон требует именно предварительной анонимизации перед загрузкой сведений в государственную систему. Невыполнение такого требования приравнивается к нарушению (как обсуждалось в разделе об ответственности). Поэтому для всех, кто подпадает под новые нормы, обезличивание фактически станет обязательной стадией при любой передаче данных по запросам государства.

• При использовании данных для новых целей. Нередко организация собирает персональные данные для одной цели, а затем хотела бы использовать их для другой (например, из базы пользователей сделать выборку для научного исследования или тестирования новой модели ИИ). Закон требует в таких случаях либо получить новое согласие субъектов на новую цель обработки, либо обезличить данные. Очевидно, собрать тысячи новых согласий трудно, поэтому обезличивание становится обязательным условием повторного использования персональных данных вне изначальных целей. Например, социальная сеть, которая хочет проанализировать поведение пользователей для академического исследования, должна обезличить все персональные сведения (логины, ID, имена) и работать уже с деперсонализированными данными. Иначе исследование будет незаконным использованием ПД.

• Обработка видеозаписей и биометрии. Специально оговорим сценарий с видео- и аудиоданными. Если ведётся массовая видеосъёмка людей (на улицах, транспорте) или запись голосов, то без согласий это допускается только при условии обезличивания этих биометрических данных. Практически это означает, что видеоаналитика должна либо не сохранять лица, либо сразу их замазывать/распознавать без привязки к личности (например, считать количество людей, не идентифицируя кто именно). Прямое использование биометрии без согласия граждан запрещено, поэтому операторам камер и подобного оборудования придётся обезличивать биометрические материалы, если они намерены хранить или анализировать их. Обратим внимание: формировать государственные составы данных на базе биометрии вообще нельзя, но даже вне госзадач, при коммерческой обработке, обезличивание – единственный вариант избежать получения согласий от каждого прохожего.

В общем, обезличивание персональных данных обязательно в конце жизненного цикла персональных данных (по завершении целей), при передаче данных вовне без согласия, при публичном раскрытии данных, при выполнении законных требований органов власти, а также при вторичном использовании данных для иных задач. В этих ситуациях оператор, желающий избежать нарушения закона, обязан применить методы обезличивания. Это теперь не только мера защиты, но и установленная законом процедура, которая должна войти в стандартную практику работы с данными.

Разъяснения Роскомнадзора

Регулятор в сфере персональных данных – Роскомнадзор – активно включён в реализацию новых правил и даёт операторам разъяснения и рекомендации. Ещё до вступления норм в силу, Роскомнадзор подготовил проект приказа «Об утверждении требований к обезличиванию персональных данных и методов обезличивания», который опубликован для общественного обсуждения на портале regulation.gov.ru. Этот документ призван обновить действующий приказ № 996 от 2013 года с учётом изменений законодательства. Что важно разъясняет Роскомнадзор в своём проекте и комментариях к нему:

• Процесс обезличивания формализован. Проект приказа детально описывает весь цикл действий оператора при обезличивании данных – от подготовки и выбора методов до хранения результатов. Операторам прямо предписывается определять заранее, какие данные и чьи данные будут обезличиваться (состав атрибутов и перечень субъектов). Далее оператор должен оценить достаточность выбранного метода – фактически провести анализ рисков ре-идентификации. Эта оценка – новое требование, раньше в приказе 2013 г. его не было. Также нужно вести учёт всех действий по обезличиванию и операций с уже обезличенными данными. Роскомнадзор поясняет, что форма такого учёта определяется оператором, но она должна позволять подтвердить (доказать) исполнение процедуры обезличивания. То есть в случае проверки у оператора должен быть своего рода журнал или отчёт, показывающий, как и когда он обезличивал информацию.

• Внутренний контроль и секретность. Роскомнадзор требует, чтобы каждый оператор утвердил локальные нормативные акты, регулирующие обезличивание. Эти документы (как уже упоминалось выше) описывают порядок обезличивания, применяемые методы, алгоритмы, оценки достаточности и т.д. Приказ отдельно указывает, что третьим лицам не должен предоставляться доступ к таким документам, к информации об используемых методах, программах и системах обезличивания. Это важное разъяснение: детали процедуры обезличивания – чувствительная информация, и ее разглашение может поставить под угрозу саму анонимность данных. Например, если контрагент узнает, как именно вы «мешаете» данные, он, теоретически, может попытаться восстановить исходное. Поэтому Роскомнадзор настаивает на строгом внутреннем контроле: все инструкции по анонимизации хранить отдельно от общих документов по обработке ПД и ни в коем случае не публиковать их публично.

• Методы обезличивания остались прежними. В разъяснениях регулятора подчёркивается, что новый приказ не придумывает новых методов, а систематизирует существующие. Перечень методов (введение идентификаторов, изменение состава/семантики, перемешивание, декомпозиция) совпадает с приказом 2013 года. Однако, ранее старый приказ довольно подробно описывал каждый метод технически, а проект нового сместил фокус на требования к организации процесса. Роскомнадзор таким образом разъясняет: важны не названия методов сами по себе, а то, как оператор их применяет и обеспечивает невосстановимость личности. В пояснениях отмечено, что планируемые требования охватывают всё – от шагов, предшествующих обезличиванию, до правил хранения обезличенных данных и оформления локальных актов.

• Согласованность с общими нормами. Проект приказа сверен с положениями самого закона о персональных данных. РКН подчёркивает, что требования к обезличиванию соответствуют общим требованиям к обработке ПД (ст. 5, 7, 18, 19 152-ФЗ). Это значит, что все базовые принципы – законность, совместимость целей, минимизация, обновление, безопасность – распространяются и на процесс анонимизации. Например, если оператор обезличивает данные, он всё равно должен соблюдать меры защиты, как и при обычной обработке, и не допускать избыточности данных. Такое разъяснение важно: обезличивание не выводит данные из-под всех правил до тех пор, пока оно не завершено. В процессе подготовки обезличенного набора оператор оперирует исходными ПД, значит, действует весь закон о ПД. Только после завершения процедуры и получения результата, который нельзя отнести к личности, эти данные выпадают из-под регулирования 152-ФЗ.

• Ответственность и контроль. Роскомнадзор напоминает, что контроль за выполнением требований остаётся за ним: при проверках будут смотреть, как оператор выполняет обезличивание. В комментариях отмечено, что уже сейчас за нарушение требований обезличивания предусмотрены штрафы (как мы упоминали, часть 7 ст. 13.11 КоАП). Таким образом, регулятор даёт понять, что будет использовать свои полномочия для обеспечения исполнения новых правил. Вероятно, в планах Роскомнадзора – включить вопросы обезличивания в чек-листы проверок, запросы при инцидентах и т.д. Также РКН может выпустить ближе к дате вступления закона дополнительные методические рекомендации. К примеру, уже существуют Методрекомендации 2014 года по применению приказа 996, и можно ожидать обновления подобных рекомендаций под новый приказ. 

В целом позиция Роскомнадзора ясна: обезличивание данных должно осуществляться неформально, а с соблюдением строгих правил, и операторы должны заранее подготовиться. РКН даёт время (проект обсуждается заранее) и инструменты (четкие требования), чтобы к моменту X компании привели процессы в порядок. Ожидается, что финальный приказ будет принят к осени 2025 года, и Роскомнадзор начнёт контролировать выполнение новых норм в полном объёме.

Итоги для организаций

Новые возможности и новые обязанности. Подводя итог, можно сказать, что с 1 сентября 2025 года для всех организаций, работающих с персональными данными, наступает новая эпоха в сфере big data и аналитики. С одной стороны, законодатель чётко разрешил использовать данные без согласия в обезличенном виде, что открывает массу возможностей. Компаниям будет проще запускать проекты анализа больших данных, машинного обучения, обмена данными с партнёрами – если они умеют их обезличивать, бояться нечего. Государство тоже сможет собирать и обрабатывать большие сводные массивы, улучшая управление и сервисы, не вторгаясь в приватность граждан. То есть, обезличенные данные становятся ценным ресурсом, законно вовлекаемым в оборот.

С другой стороны, повышается нагрузка на соблюдение требований. Обезличивание теперь – не факультативная мера, а зачастую прямая обязанность, со своей бюрократией и контролем. Организациям придётся внедрить дополнительные процедуры, обучить персонал, возможно, приобрести или разработать ПО для анонимизации данных. Для некоторых это непросто: у малого бизнеса может не быть экспертизы в таких технологиях. Однако игнорировать новые требования нельзя – штрафы и риски слишком велики. Таким образом, организациям придётся включить обезличивание в свой стандартный цикл работы с данными, наравне с защитой, резервным копированием и т.п.

Влияние на бизнес-процессы. В тех компаниях, где данные – ключевой актив (банки, ритейл, телеком, IT-сервисы), новые правила приведут к пересмотру ряда процессов. Например, при обмене данными между отделами или дочерними организациями теперь нужно дополнительно думать: а надо ли обезличить? При завершении проектов данные нельзя просто хранить «на всякий случай» – либо удаляй, либо обезличивай. Маркетинговым и аналитическим отделам придётся теснее работать с департаментами безопасности и юристами, чтобы соблюдать баланс между глубиной анализа и анонимностью пользователей. 

Нормативные документы

Ниже перечислены основные нормативно-правовые акты, на которых основаны новые правила обезличивания ПД и которые стоит изучить для полноценного понимания темы:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – базовый закон о ПД, в который внесены изменения об обезличивании (новая статья 13.1 и др.) вступающие в силу 01.09.2025. Определяет принципы обработки ПД, включая требование уничтожать или обезличивать данные по достижении целей обработки.

• Федеральный закон от 08.08.2024 № 233-ФЗ – закон, непосредственно вводящий новые правила обезличивания. Полное название: «О внесении изменений в ФЗ “О персональных данных” и ФЗ “О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий ИИ в г. Москве…”». Этот закон уточняет механизм обезличивания, вводит понятие «состав обезличенных данных» и предусматривает создание государственной системы для обезличенных ПД. Именно 233-ФЗ установил дату вступления изменений – 1 сентября 2025 года.

• Постановление Правительства РФ от 14.05.2021 № 733 – утвердило Положение о федеральной государственной информационной системе «Единая информационная платформа национальной системы управления данными» (ЕИП НСУД). В 2025 году в это постановление вносятся изменения в связи с запуском подсистемы обезличенных данных (проект новых поправок был представлен Минцифры). Окончательное обновлённое Постановление определит ЕИП НСУД в качестве ГИС для обезличенных данных и опишет роли участников, порядок предоставления и использования обезличенных сведений.

• Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных». Действующий на данный момент документ, описывающий методы обезличивания (псевдонимизация, удаление части данных, перемешивание, разбиение и пр.). В 2025 году ему на смену придёт новый приказ – проект которого опубликован Роскомнадзором 28.03.2025. Проект приказа Роскомнадзора (2025) содержит актуализированные требования к процессу обезличивания и тем же методам (на момент подготовки статьи проект назывался «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных»). После официального утверждения этот приказ станет обязательным для выполнения операторами.

• Кодекс РФ об административных правонарушениях, статья 13.11 – устанавливает ответственность за различные нарушения в области персональных данных. В контексте обезличивания ключевой является часть 7 статьи 13.11 КоАП РФ, предусматривающая штраф за неисполнение обязанности по обезличиванию или несоблюдение методов обезличивания. 

• Федеральный закон от 24.06.2025 № 156-ФЗ – хотя непосредственно относится не к обезличиванию, а к правилам получения согласия на обработку ПД, его упоминаем, так как он тоже вступает в силу 01.09.2025. 156-ФЗ требует оформлять согласие на обработку ПД отдельным документом и усиливает ответственность за нарушение. Этот закон важен в общей картине регулирования ПД с 2025 года: он ужесточает требования к согласию, а 233-ФЗ даёт альтернативу – обезличивание, позволяющее обойтись без согласия. В совокупности оба акта стимулируют операторов либо строго соблюдать процедуру согласия, либо надёжно обезличивать данные.

Больше информации в телеграмм-канале