Основные положения приказа Роскомнадзора
С 1 сентября 2025 года вступают в силу новые требования к обезличиванию персональных данных, утвержденные приказом Роскомнадзора от 19.06.2025 №140. Документ устанавливает:
1. Требования к процедуре обезличивания.
2. Методы обезличивания персональных данных.
3. Правила учета и хранения обезличенных данных.
Обезличивание - это процесс, в результате которого невозможно определить принадлежность данных конкретному субъекту без использования дополнительной информации (п.9 ст.3 закона №152-ФЗ).
Ключевые требования к обезличиванию
Операторы персональных данных обязаны:
1. Определить состав данных для обезличивания и соответствующих субъектов.
2. Оценить достаточность выбранных методов обезличивания.
3. Обеспечить невозможность определения субъекта данных без дополнительной информации.
4. Гарантировать безопасность при использовании информационных систем.
5. Исключить совместное хранение исходных и обезличенных данных.
6. Вести учет всех действий по обезличиванию.
Необходимые локальные нормативные акты
Для соответствия новым требованиям операторам необходимо разработать и утвердить:
- Порядок обработки данных, подлежащих обезличиванию
- Правила оценки достаточности методов обезличивания
- Процедуры обработки обезличенных данных
- Регламенты изменения, перемешивания и хранения данных
Важно: ЛНА должны храниться отдельно от обезличенных данных и быть недоступными третьим лицам.
Утвержденные методы обезличивания
Роскомнадзор разрешает использовать следующие методы (по отдельности или в комбинации):
1. Метод введения идентификаторов
- Замена персональных данных на коды, номера или иные обозначения
- Идентификаторы присваиваются по алгоритмам оператора
2. Метод изменения состава данных
- Изменение, искажение или удаление атрибутов данных
- Качественные и количественные преобразования
3. Метод перемешивания данных
- Перестановка значений атрибутов между собой
- Изменение порядка данных в массиве
4. Метод декомпозиции
- Разделение массива данных на части
- Раздельное хранение фрагментов данных
5. Метод преобразования массива
- Дополнительное преобразование для разрыва связей
- Применяется в сочетании с другими методами
Практические рекомендации для организаций
1. До 1 сентября 2025 года:
- Провести аудит имеющихся персональных данных
- Разработать необходимые ЛНА
- Определить подходящие методы обезличивания
- Обучить ответственных сотрудников
2. После вступления требований в силу:
- Внедрить утвержденные процедуры
- Организовать раздельное хранение данных
- Наладить систему учета операций обезличивания
- Регулярно проверять эффективность методов
3. При работе с информационными системами:
- Обеспечить защиту данных на всех этапах
- Реализовать контроль доступа
- Вести журналы операций
Заключение
Новые требования Роскомнадзора к обезличиванию персональных данных требуют от организаций серьезной подготовительной работы. Особое внимание следует уделить разработке локальных нормативных актов и выбору эффективных методов обезличивания, соответствующих специфике обработки данных в конкретной организации.
Для получения дополнительной информации о применении новых требований на практике рекомендуем обратиться к специалистам по защите персональных данных.
Источник: информационная система 1С:ИТС
Подписывайтесь на тг-канал для бухгалтеров: https://t.me/clubglav