С началом осени 2025 года в российское законодательство о персональных данных вносятся важные изменения. Они касаются порядка обезличивания информации и направлены на создание прозрачных и безопасных условий для обработки больших данных и применения технологий искусственного интеллекта. Нововведения расширяют возможности как для бизнеса, так и для государственных структур, сохраняя при этом высокий уровень защиты частной жизни граждан.
Основные изменения с 1 сентября 2025 года
Обработка обезличенных данных — без согласия
Главное новшество: с 1 сентября 2025 года компании и государственные органы смогут обрабатывать обезличенные персональные данные без необходимости получать согласие пользователя. При условии, что анонимизация выполнена по установленным требованиям и не позволяет идентифицировать личность, такие данные можно использовать для аналитики, научных исследований или обучения нейросетей. Это значительное послабление по сравнению с предыдущей редакцией закона, которая требовала согласие практически на любую обработку персональных данных.
Введение статьи 13.1 в Закон о персональных данных
Эти изменения закреплены в Федеральном законе № 233-ФЗ от 8 августа 2024 года. Он дополняет основной закон «О персональных данных» (№ 152-ФЗ) новой статьёй 13.1, которая описывает правовой режим обезличенных данных. Вводится понятие «состав обезличенных данных» — это группировка персональных сведений, обработанных таким образом, что исключена возможность установления конкретного лица. Закон также даёт чёткое определение, какие данные считаются действительно обезличенными.
Передача обезличенных сведений в госинформационные системы
Согласно новым нормам, операторы персональных данных обязаны предоставлять обезличенные сведения в государственную информационную систему — Единую информационную платформу национальной системы управления данными (ЕИП НСУД). Ответственным ведомством назначено Минцифры, которое вправе запрашивать такие данные в агрегированном виде. Например, это могут быть обезличенные транзакции от банков или статистика звонков от операторов связи. При этом законом прямо запрещено включать в эти составы биометрические данные.
Право на отказ и ограничения доступа
Передача обезличенной информации государству возможна только при соблюдении определённых условий. Граждан должны заранее уведомлять о планируемой передаче их данных, даже если они уже обезличены. У каждого есть право возразить против передачи, и в этом случае оператор обязан прекратить обработку. Кроме того, доступ к таким данным в ГИС получат только проверенные организации: иностранные юрлица, а также лица с судимостями за киберпреступления, не будут иметь к ним доступа.
Использование данных в городских цифровых системах
Закон также позволяет использовать обезличенные аудио- и видеоданные, например, с камер наблюдения или микрофонов в общественных местах, без согласия граждан. Это даст возможность, к примеру, подсчитывать количество пешеходов или фиксировать события без риска идентификации личности. Главное требование — невозможность восстановления исходной информации и прозрачность применяемых методов обезличивания.
Методы обезличивания: что допускается и что под запретом
Разрешённые методы (по проекту приказа Роскомнадзора)
Также разрешены дополнительные приёмы: агрегирование, маскирование и применение техник, затрудняющих реидентификацию.Согласно проекту нового приказа Роскомнадзора, применять можно как отдельные, так и комбинированные методы обезличивания:Псевдонимизация (введение идентификаторов): вместо персональных сведений используются условные коды. Таблица соответствий хранится отдельно и под защитой.
Обобщение или изменение состава данных: замена конкретных значений усреднёнными или категоризированными (например, возраст — не дата рождения, а возрастная группа).
Декомпозиция: данные разбиваются на части, хранящиеся отдельно, чтобы исключить возможность сопоставления.
Перемешивание (шуффлинг): перестановка строк или атрибутов в наборах данных для разрушения исходных связей.
Запрещённые практики
- Нельзя хранить обезличенные и исходные данные вместе.
- Запрещено передавать третьим лицам методы и таблицы соответствий.
- Недопустимо включать сведения, подпадающие под специальные режимы (государственная, банковская, медицинская тайна).
- Биометрические данные исключаются из составов, передаваемых в ГИС.
- Шифрование без удаления ключа или недостаточная маскировка не признаются полноценным обезличиванием.
Что должны сделать организации?
Чтобы соответствовать новым требованиям, операторам персональных данных рекомендуется уже сейчас предпринять следующие шаги:
1. Разработать внутренние регламенты: описать, какие данные обезличиваются, какими методами, кто отвечает за процесс.
2. Выбрать и утвердить методы обезличивания: зафиксировать алгоритмы в локальных актах.
3. Разделить хранилища данных: обеспечить физическое и логическое разделение персональных и обезличенных данных.
4. Назначить ответственных по взаимодействию с ЕИП НСУД: особенно важно для организаций, обрабатывающих большие массивы информации.
5. Обучить персонал: объяснить новые правила, запреты, ответственность.
6. Следить за нормативными обновлениями: особенно за окончательной редакцией приказа Роскомнадзора и инструкциями Минцифры.
Когда обезличивание обязательно?
Закон требует обезличивания данных в следующих ситуациях:
- После достижения цели обработки: если цель достигнута — данные нужно либо удалить, либо обезличить.
- При передаче данных третьим лицам без согласия: только в обезличенной форме.
- При публикации в открытом доступе: перед выкладкой необходимо исключить все идентификаторы.
- По требованию государственных органов: обезличивание перед загрузкой в ЕИП НСУД обязательно.
- При использовании данных в новых целях: если согласия на новую цель нет — требуется обезличивание.
- При обработке аудио- и видеоданных: без согласия — только при надёжной анонимизации.
Позиция Роскомнадзора
Контроль исполнения закона останется за Роскомнадзором, и при проверках будет уделяться особое внимание корректности обезличивания и наличию документации.Роскомнадзор остаётся основным регулятором и готовит финальный приказ, который заменит документ от 2013 года (№ 996). Новый проект:Подробно описывает процесс обезличивания.
Вводит обязанность анализа рисков повторной идентификации.
Требует ведения внутреннего учёта всех операций по обезличиванию.
Подчёркивает важность конфиденциальности используемых методов.
Устанавливает строгие требования к внутреннему контролю и хранению регламентов.
Что это значит для бизнеса
Изменения открывают организациям новые возможности для использования больших данных и машинного обучения без лишних юридических барьеров. Однако параллельно увеличивается ответственность за соблюдение требований. Компании, которые серьёзно относятся к работе с персональной информацией, должны уже сейчас пересматривать внутренние процессы, внедрять надёжные методы анонимизации и повышать уровень осведомлённости сотрудников.
Для тех бизнесов, где данные — стратегический актив (банки, ИТ, телеком, ритейл), новые правила станут стимулом модернизации процессов обработки информации.
Нормативная база
Вот ключевые документы, которые формируют новую систему регулирования обезличивания:
- 152-ФЗ от 27.07.2006 — основной закон о персональных данных.
- 233-ФЗ от 08.08.2024 — вносит изменения, включая статью 13.1.
- Постановление Правительства РФ № 733 от 14.05.2021 — определяет структуру ЕИП НСУД.
- Приказ Роскомнадзора № 996 от 05.09.2013 — текущий приказ, подлежащий замене в 2025 году.
- Проект приказа Роскомнадзора 2025 года — обновлённые требования к обезличиванию.
- КоАП РФ, статья 13.11, часть 7 — ответственность за нарушение порядка обезличивания.
- 156-ФЗ от 24.06.2025 — усиливает требования к согласию, дополняя 233-ФЗ.
С 1 сентября 2025 года обезличивание персональных данных становится не просто технологической практикой, а законодательно закреплённой обязанностью. Организации, готовые грамотно и прозрачно внедрить эти процессы, получат конкурентное преимущество и юридическую уверенность. Остальным стоит поторопиться: времени на адаптацию остаётся всё меньше.