Найти в Дзене
Андрей Андреев: право и бизнес
956 подписчиков

Добровольное обезличивание персональных данных: с 1 сентября 2025 года бизнесу придётся играть по новым правилам

2
3 мин
С 1 сентября 2025 года в России вступают в силу новые требования Роскомнадзора к добровольному обезличиванию персональных данных. Теперь компании и индивидуальные предприниматели обязаны строго соблюдать утверждённый порядок, даже если обезличивание проводится по их инициативе — например, вместо уничтожения информации. Исключение сделано только для случаев, когда процедура выполняется по запросу Минцифры в рамках правительственных норм. Что изменится для бизнеса 1. Разработка внутренних регламентов
Каждая компания должна подготовить и утвердить локальные нормативные акты, описывающие порядок и условия обезличивания. В документах нужно зафиксировать: 2. Ограничение доступа к методикам
Документы, описывающие алгоритмы и технические приёмы обезличивания, должны быть защищены от постороннего доступа. Это значит: 3. Раздельное хранение данных
Исходные персональные данные и их обезличенные версии не могут храниться в одном месте или в одной базе данных. Нужно обеспечить: 4. Ведение журнала
Изображение взято из Freepik
Изображение взято из Freepik

С 1 сентября 2025 года в России вступают в силу новые требования Роскомнадзора к добровольному обезличиванию персональных данных. Теперь компании и индивидуальные предприниматели обязаны строго соблюдать утверждённый порядок, даже если обезличивание проводится по их инициативе — например, вместо уничтожения информации. Исключение сделано только для случаев, когда процедура выполняется по запросу Минцифры в рамках правительственных норм.

Что изменится для бизнеса

1. Разработка внутренних регламентов
Каждая компания должна подготовить и утвердить локальные нормативные акты, описывающие порядок и условия обезличивания. В документах нужно зафиксировать:

  • выбранные методы обезличивания;
  • критерии оценки качества процедуры;
  • порядок допуска сотрудников к этим процессам;
  • меры защиты информации на каждом этапе.

2. Ограничение доступа к методикам
Документы, описывающие алгоритмы и технические приёмы обезличивания, должны быть защищены от постороннего доступа. Это значит:

  • доступ только для уполномоченных сотрудников;
  • хранение документов в защищённых системах или сейфах;
  • запрет на передачу методик третьим лицам без правового основания.

3. Раздельное хранение данных
Исходные персональные данные и их обезличенные версии не могут храниться в одном месте или в одной базе данных. Нужно обеспечить:

  • физическое или логическое разделение систем хранения;
  • разные уровни доступа к исходным и обезличенным массивам;
  • контроль за копированием данных.

4. Ведение журнала операций
Все действия по обезличиванию должны фиксироваться в специальном журнале. Он может быть бумажным или электронным, но должен содержать:

  • дату и время процедуры;
  • ФИО или идентификатор сотрудника, выполнявшего обезличивание;
  • описание данных, прошедших обработку;
  • результат (успешно/с ошибкой, применённый метод).

Утверждённые методы обезличивания

Роскомнадзор установил пять основных методов, которые можно комбинировать между собой:

1. Замена идентификаторов (псевдонимизация)
Личные сведения заменяются на условные коды или номера. Например, вместо «Иванов Сергей Петрович» хранится «Клиент № 4521».

2. Изменение состава или семантики данных
Преобразование точных значений в обобщённые. Например, дата рождения «14.04.1992» заменяется на «апрель 1992» или возраст «32 года» — на диапазон «30–35 лет».

3. Перемешивание атрибутов
Случайное распределение частей данных между разными записями. Например, номер телефона из одной записи и адрес из другой оказываются в разных связках, что исключает идентификацию.

4. Разделение информации на фрагменты
Данные разбиваются на части, которые хранятся раздельно. Например, один файл содержит фамилии, другой — адреса, а общий доступ к обоим есть только у ограниченного числа сотрудников.

5. Обобщение (агрегация)
Представление информации в менее детализированном виде. Например, хранить только название города, а не полный адрес; или только год рождения, а не дату.

Почему вводят новые правила

Роскомнадзор объясняет, что цель реформы — повысить защищённость данных и исключить возможность восстановления личности субъекта после обезличивания. Ранее требования в основном касались государственных структур, а бизнес работал по собственным стандартам.

Теперь контроль распространяется и на коммерческий сектор. Нарушения новых требований будут караться штрафами по статье 13.11 КоАП РФ:

  • для ИП — до 20 000 рублей;
  • для юридических лиц — до 100 000 рублей, а в некоторых случаях и выше при повторных нарушениях.

Когда новые правила не действуют

Единственный случай, когда новые нормы не применяются, — если обезличивание проводится по обязательному запросу Минцифры. Такие данные передаются в федеральную систему ЕИП НСУД, и к ним действуют отдельные, специализированные правила.

Как подготовиться до 1 сентября 2025 года

Рекомендации включают в себя несколько действий:

  • Провести аудит текущих процессов — определить, как сейчас обезличиваются данные и соответствуют ли методы новым требованиям.
  • Разработать и утвердить локальные акты — описать процедуру, методы и контроль.
  • Перенастроить системы хранения — обеспечить раздельное хранение исходных и обезличенных данных.
  • Настроить журналы учёта — внедрить электронную или бумажную фиксацию всех операций.
  • Обучить сотрудников — провести инструктаж и закрепить ответственность за нарушение порядка.

С 1 сентября 2025 года добровольное обезличивание персональных данных перестанет быть «произвольной процедурой». Оно превратится в строго регулируемый процесс с чёткими правилами, методами и ответственностью. Компании, которые начнут подготовку уже сейчас, смогут избежать штрафов и доказать соответствие новым требованиям при проверках.