Найти в Дзене
Юрист - Рустем Зигангиров
508 подписчиков

Новые правила обезличивания персональных данных с 1 сентября 2025 года

1
5 мин
Коллеги, приветствую! С вами Рустем, и сегодня разберем одно из самых ожидаемых нововведений в сфере digital law — масштабные изменения в 152-ФЗ «О персональных данных», которые вступают в силу 1 сентября 2025 года. Федеральный закон № 233-ФЗ от 08.08.2024 вносит важнейшие поправки, касающиеся обезличивания персональных данных. Это не просто точечные правки, а новая философия работы с данными в эпоху big data и искусственного интеллекта. Давайте без лишней воды разберем, что ждет бизнес и госорганы. Для того, чтобы не пропускать ни одной новости о персональных данных, подписывайтесь на мой ТГ-канал. До сих пор любая обработка персональных данных практически всегда требовала согласия субъекта. С 1 сентября надлежаще обезличенные данные можно обрабатывать без получения согласия. Что это значит? Если вы сможете преобразовать персональные данные таким образом, чтобы исключить возможность прямой идентификации человека, их можно использовать для аналитики, машинного обучения, передачи партн
Оглавление

Коллеги, приветствую! С вами Рустем, и сегодня разберем одно из самых ожидаемых нововведений в сфере digital law — масштабные изменения в 152-ФЗ «О персональных данных», которые вступают в силу 1 сентября 2025 года. Федеральный закон № 233-ФЗ от 08.08.2024 вносит важнейшие поправки, касающиеся обезличивания персональных данных. Это не просто точечные правки, а новая философия работы с данными в эпоху big data и искусственного интеллекта.

Давайте без лишней воды разберем, что ждет бизнес и госорганы.

Для того, чтобы не пропускать ни одной новости о персональных данных, подписывайтесь на мой ТГ-канал.

🔥 Главное изменение: обезличенные данные и согласие

До сих пор любая обработка персональных данных практически всегда требовала согласия субъекта. С 1 сентября надлежаще обезличенные данные можно обрабатывать без получения согласия.

Что это значит? Если вы сможете преобразовать персональные данные таким образом, чтобы исключить возможность прямой идентификации человека, их можно использовать для аналитики, машинного обучения, передачи партнерам — и всё это без нарушения закона.

Ключевое слово здесь — «надлежаще». Просто убрать фамилию и оставить уникальный набор других признаков (дату рождения, адрес, модель телефона) — будет нарушением. Обезличивание должно быть необратимым для тех, кто имеет доступ к этим данным.

📋 Новые понятия в законе

В законе появляется статья 13.1, которая вводит два ключевых термина:

  1. «Обезличенные персональные данные» — данные, которые обезличены в соответствии с требованиями закона.
  2. «Состав обезличенных данных» — это сгруппированный по определенным признакам набор данных, который обезличен настолько, что дальнейшая обработка не позволит установить конкретного человека.

По сути, закон закрепляет на уровне федерального закона то, что раньше регулировалось лишь ведомственными приказами.

🏛️ Обязательная передача данных государству

Одно из самых обсуждаемых нововведений — право государства обязать оператора передать обезличенные данные.

Как это будет работать?

  • Минцифры получает право направлять компаниям и госорганам требование предоставить определенные данные в обезличенном виде.
  • Эти данные будут загружаться в единую государственную информационную систему — Единую информационную платформу национальной системы управления данными (ЕИП НСУД).
  • Передавать «сырые» персональные данные даже по запросу государства нельзя — только предварительно обезличенные.
  • Важный запрет: формировать такие наборы данных из биометрических данных (изображений лиц, отпечатков пальцев и т.д.) — нельзя.

При этом законодатель предусмотрел механизм защиты прав граждан: людей будут уведомлять о планируемой передаче их обезличенных данных, и они смогут возразить против этой передачи.

✅ Допустимые методы обезличивания

Роскомнадзор подготовил проект приказа, который актуализирует и детализирует методы обезличивания. По сути, они остаются прежними, но ужесточаются требования к самому процессу. Основные методы:

  • Введение идентификаторов (псевдонимизация): Замена прямых идентификаторов (ФИО) на случайные коды. Главное — надежно хранить таблицу соответствия отдельно.
  • Изменение состава или семантики данных: Удаление или обобщение части информации. Например, замена точного адреса на город, а даты рождения — на год рождения или возрастной диапазон.
  • Декомпозиция (разбиение): Данные разбиваются на части, которые хранятся в разных местах и по отдельности не позволяют идентифицировать человека.
  • Перемешивание (shuffling): Случайная перестановка записей в наборе данных, чтобы разрушить связи между атрибутами.

Что категорически запрещено:

  • Хранить обезличенные данные вместе с исходными.
  • Раскрывать третьим лицам методику или «ключи» обезличивания.
  • Использовать слабые методы, которые не гарантируют невозможность ре-идентификации.

🚨 Когда обезличивание становится обязанностью?

Теперь обезличивание — это не только право, но и часто прямая обязанность оператора. Вот основные сценарии:

  1. По завершении цели обработки. Если данные больше не нужны для цели, ради которой собирались, их必须 либо уничтожить, либо обезличить (чтобы использовать для статистики).
  2. При передаче третьим лицам без согласия. Единственный законный способ поделиться данными с партнером для аналитики без согласия — предварительно их обезличить.
  3. При публикации в открытых источниках. Любые открытые отчеты и реестры должны быть очищены от прямых идентификаторов.
  4. По требованию Минцифры о предоставлении данных в ГИС.
  5. Для использования данных в новых целях. Если вы хотите использовать собранные данные для чего-то, на что не получали согласия (например, для обучения AI), выход один — обезличивание.

💼 Что делать бизнесу прямо сейчас?

Главное — не ждать сентября 2025 года, а начинать готовиться уже сейчас.

  1. Разработайте локальный акт. Это внутренний документ, который детально описывает: какие данные вы обезличиваете, какими методами, как оцениваете риски ре-идентификации и как храните результаты.
  2. Настройте IT-инфраструктуру. Обеспечьте техническую возможность надежного обезличивания и раздельного хранения исходных и обезличенных данных.
  3. Назначьте ответственных. Определите, кто будет отвечать за процесс обезличивания и за взаимодействие с государственной системой (ЕИП НСУД), если к вам поступят требования.
  4. Проведите обучение сотрудников. Специалисты по работе с данными должны знать новые правила и строгие запреты.
  5. Обновите договоры. Включите положения об обязанностях подрядчиков по соблюдению новых требований к обезличиванию.
  6. Следите за финальными актами. Следите за выходом окончательной версии приказа Роскомнадзора и разъяснениями Минцифры.

📌 Итоги

Законодатель делает большой шаг вперед, пытаясь найти баланс между защитой приватности граждан и интересами цифровой экономики. Бизнес получает новые возможности для работы с big data, но и новую серьезную ответственность.

Обезличивание перестает быть серой зоной и становится строго регламентированной процедурой. Те, кто успеет подготовиться, получат конкурентное преимущество. Те, кто проигнорирует, — рискуют нарваться на значительные штрафы по ч. 7 ст. 13.11 КоАП РФ.

А как вы оцениваете эти изменения? Готовитесь уже сейчас? Делитесь в комментариях!

Подписывайтесь на мой канал, чтобы быть в курсе самых важных изменений в цифровом праве.

Безопасность и правопорядок
95,2 тыс интересуются