Вопрос: ООО стоит на учете в Роскомнадзоре как оператор персональных данных. Узнали о новом требовании обезличивать персональные данные. Что это значит и каким образом шифровать данные?
Ответ: Речь о нововведении по обезличиванию персональных данных коммерческими субъектами, которое начнет действовать с 01.09.2025 г.
Так, с 01.09.2025 г. вступит в силу норма ч. 12 ст. 23 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»: «Уполномоченный орган по защите прав субъектов персональных данных устанавливает требования к обезличиванию персональных данных и методы обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 настоящего Федерального закона».
В соответствии с данной нормой и абз. 2 п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. Постановлением Правительства РФ от 16.03.2009 N 228, также с 01.09.2025 г. начнет действовать Приказ Роскомнадзора от 19.06.2025 N 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
В Приложении № 2 к данному Приказу – Методы обезличивания персональных данных. Хоть документ еще не вступил в силу, с его текстом уже можно ознакомиться:
1. При осуществлении обезличивания персональных данных подлежат применению по отдельности или в совокупности методы обезличивания персональных данных, указанные в пунктах 2, 4, 10, 11 и 12 настоящих методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. Метод введения идентификаторов персональных данных, подлежащих обезличиванию, реализуется путем выделения из состава персональных данных, подлежащих обезличиванию, субъектов, персональные данные которых подлежат обезличиванию, персональных данных, которые без использования дополнительной информации позволяют определить субъекта персональных данных, и их замены на идентификаторы в виде кода, номера или иного обозначения, имеющего постоянное или переменное значение, присваиваемые на основании заданных оператором алгоритмов.
3. В случае применения метода введения идентификаторов должно предусматриваться создание ключа, позволяющего сопоставить идентификаторы и персональные данные, в отношении которых были произведены действия по обезличиванию персональных данных, который хранится оператором отдельно от массива персональных данных, подлежащих обезличиванию, в отношении которых произведены действия по обезличиванию персональных данных с использованием метода введения идентификаторов, и не передаваться третьим лицам.
4. Метод изменения состава или семантики персональных данных, подлежащих обезличиванию, реализуется путем выделения элементов массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения применительно к каждому субъекту персональных данных, которые подвергаются изменению, искажению и (или) удалению на основании категорий субъектов, персональные данные которых подлежат обезличиванию, категорий персональных данных, подлежащих обезличиванию.
5. При использовании метода изменения состава или семантики персональных данных, подлежащих обезличиванию, изменение состава или семантики персональных данных, подлежащих обезличиванию, осуществляется путем:
1) удаления атрибутов персональных данных;
2) искажения атрибутов персональных данных;
3) изменения атрибутов персональных данных.
6. Удаление атрибутов персональных данных осуществляется путем исключения из массива персональных данных атрибутов персональных данных, обработка которых не является необходимой для достижения целей обработки персональных данных, полученных в результате обезличивания.
7. При удалении атрибутов персональных данных допускается удаление атрибутов персональных данных, относящихся ко всем и (или) отдельным субъектам, персональные данные которых находятся в массиве персональных данных, подлежащих обезличиванию.
8. Искажение атрибутов персональных данных осуществляется путем добавления в атрибуты персональных данных дополнительной информации, препятствующей установлению субъекта персональных данных, и (или) случайных значений, в том числе полученных в результате вычитания (добавления) заданного числа из значений количественного атрибута персональных данных.
9. Изменение атрибутов персональных данных осуществляется путем:
1) замены значений атрибутов персональных данных обобщенными значениями, полученными при округлении количественного значения атрибута персональных данных или использовании его среднего значения, введении порога для наибольших и наименьших значений количественного атрибута персональных данных и (или) укрупнении значения атрибута персональных данных в пределах группы атрибутов персональных данных;
2) замены значений атрибутов персональных данных на условные знаковые обозначения, в том числе замены части значений атрибута персональных данных на знак «*»;
3) замены значений атрибутов персональных данных на случайные значения атрибутов персональных данных, не относящихся к субъекту персональных данных, атрибуты персональных данных которого подлежат замене.
10. Метод перемешивания персональных данных, подлежащих обезличиванию, реализуется путем перестановки отдельных значений и (или) групп значений атрибутов персональных данных между собой.
11. Метод декомпозиции персональных данных, подлежащих обезличиванию, реализуется путем разделения массива персональных данных, подлежащих обезличиванию, на заданное оператором количество частей с последующим раздельным их хранением.
12. При использовании методов обезличивания персональных данных, указанных в пунктах 2, 4, 10 и 11 Методов обезличивания персональных данных, в целях исключения связи между атрибутами персональных данных и субъектами персональных данных дополнительно может применяться метод преобразования массива персональных данных, подлежащих обезличиванию, путем:
1) обобщения (агрегации) атрибутов персональных данных субъектов персональных данных;
2) обобщения (агрегации) атрибутов персональных данных субъектов персональных данных, а также установления заданного количества различных значений атрибутов персональных данных;
3) обобщения (агрегации) атрибутов персональных данных субъектов персональных данных, а также установления заданного количества различных значений атрибутов персональных данных, позволяющего отобразить исходное распределение каждого значения атрибутов персональных данных.
Более разъяснений о данном нововведении пока нет.
Обоснование:
Добровольное обезличивание персональных данных: бизнесу нужно будет соблюдать правила Роскомнадзора (12.08.2025)
С 1 сентября 2025 года нужно выполнять требования ведомства, даже если обезличивание проводит компания или ИП, например, вместо уничтожения информации. Среди исключений - случаи, когда оператор персональных данных обязан их обезличить по запросу Минцифры с учетом правительственных норм.
В числе требований Роскомнадзора есть такие:
- принять локальные акты о том, как обезличивать сведения, оценивать достаточность методов выполнения процедуры и т.д.;
- исключить доступ третьих лиц к этим актам, а также к информации о том, какие системы и программы оператор применяет для обезличивания, и пр.;
- хранить обезличенные сведения отдельно от данных, которым только предстоит эта процедура;
- вести учет действий по обезличиванию и операций с его результатами. Форму учета определит оператор. Важно, чтобы с ее помощью можно было подтвердить зафиксированное.
Надо применять один или несколько методов обезличивания:
- вводить номера или другие обозначения на замену данным, которые сами по себе позволяют определить человека;
- менять состав или семантику личной информации;
- перемешивать значения атрибутов персональных сведений;
- разделять данные на части.
Также есть метод преобразования (обобщения). Его можно использовать в дополнение к другим, чтобы исключить связь между атрибутами персональных данных и их субъектами.
Пока действует сходный приказ о требованиях к обезличиванию и его методах. Однако он обязателен только для государственных и муниципальных органов.
Документ: Приказ Роскомнадзора от 19.06.2025 N 140
«КонсультантПлюс: Новости для специалиста по кадрам»
Ответ подготовлен с использованием материалов СПС «КонсультантПлюс».
Представленная информация носит справочный характер, окончательное решение принимается самостоятельно.
