Почему простая замена ФИО на «ФИО1» не спасает от претензий РКН ❌
В компаниях часто считают: чтобы «обезличить» персональные данные, достаточно убрать фамилии и заменить их на «ФИО1», «ФИО2».
Формально кажется, что требования к обезличиванию выполнены. Но Роскомнадзор смотрит на это иначе, и у него есть основания.
С 1 сентября 2025 года действует приказ № 140 Роскомнадзора, который ввел конкретные методы обезличивания. Однако важно помнить, что российское законодательство не рассматривает обезличивание персональных данных как альтернативу их уничтожению, и обезличенные данные остаются персональными.
Что важно понимать на практике:
⏩Обезличивание ≠ удаление одного поля. РКН обязывает операторов обеспечивать невозможность без использования доп. информации определить принадлежность ПДн конкретному субъекту.
⏩Методы, которые признает РКН: метод введения идентификаторов, метод изменения состава или семантики персональных данных, метод перемешивания, метод декомпозиции. Их применение должно фиксироваться локальными актами оператора (в случае, если осуществляется инициативное обезличивание).
⏩Ответственность за несоблюдение требований к обезличиванию. Если компания выгрузила «обезличенные» данные в публичный доступ, а восстановить личность оказалось несложно, это уже нарушение с рисками по ст. 13.11 КоАП РФ.
ЧТО ДЕЛАТЬ КОМПАНИЯМ:
➡️ Проверить внутренние регламенты: описана ли там оценка достаточности выбранного метода обезличивания.
➡️ Использовать технические инструменты: DLP, системы маскирования и токенизации данных.
➡️ Для малого бизнеса — не усложнять процедуры — при небольшом массиве данных замена одного атрибута ПДн на идентификатор может оказаться достаточной.
Итог: «обезличивание на коленке» не только не решает задачу, но и создает только видимость безопасности. А в случае проверки Роскомнадзора это может обернуться штрафами и обязательными предписаниями 👎
Если вы не уверены, что ваши методы соответствуют приказу № 140, мы можем помочь с экспертизой и подбором решений под конкретный бизнес-процесс.
