С 1 сентября 2025 года операторы персональных данных обязаны передавать в государственную систему обезличенные данные — не личные сведения, а агрегированные статистические блоки. Это не просто новая формальность. Это фундаментальное изменение в работе с данными, которое затрагивает каждую компанию, которая собирает ФИО, телефоны, email, адреса — и даже просто ведёт учёт клиентов.
Почему это нужно?
Государство хочет понимать, как живёт страна — не по отдельным людям, а по тенденциям.
Пример:
— Минэкономики хочет знать, сколько в месяц тратят жители малых городов на продукты, транспорт и развлечения — не по Иванову И.И., а по группам возрастов и регионов.
— Транспортный департамент хочет видеть, сколько людей перемещается из района А в район Б в час пик — не по номеру телефона Петрова П.П., а по анонимным «условным устройствам».
Это не слежка. Это аналитика для улучшения услуг, инфраструктуры и социальных программ.
Что запрещено и какие гарантии есть?
1. Только обезличенные данные
По п. 9 и 9.1 ст. 6 ФЗ №152-ФЗ — данные должны быть обработаны так, чтобы нельзя было восстановить личность. Государство не может «разоблачить» вас по этим данным — и это закон.
2. Биометрия — под строгим запретом
Отпечатки, лицо, голос — никогда не могут быть включены в обезличенные наборы. Даже косвенно.
3. Цель — только государственная
Данные можно использовать только для:
— разработки нацпроектов;
— улучшения госуслуг;
— социально-экономического прогнозирования;
— научных исследований в общественных интересах;
— статистического учёта.
Никакой рекламы, маркетинга, продажи — запрещено.
Что изменилось в работе с ПДн с 1 сентября 2025?
1. Обезличивание — по новой методике
Правительство утвердило Постановление № 1154 от 01.08.2025 — единый стандарт, как именно нужно обезличивать данные.
Это не «удалить имя и телефон». Это сложная техническая процедура:
— замена идентификаторов на псевдонимы;
— группировка по категориям;
— подавление редких значений;
— добавление шума — чтобы нельзя было «восстановить» личность.
2. ФСБ получает право проверять вас
Раньше ФСБ контролировала только госорганы.
Теперь — любой оператор ПДн, даже ИП или малый бизнес, может быть проверен на:
— как вы храните данные;
— кто имеет к ним доступ;
— какие криптосредства используете;
— как проводите обезличивание.
Это не «проверка по жалобе» — это системный контроль.
3. ФСТЭК — только по технике, не по данным
ФСТЭК может проверять техническую безопасность систем, но не имеет права видеть сами данные — только документы и процедуры обезличивания.
4. «Закрытый контур» — данные не уйдут
Переданные в ЕИП НСУД данные:
— нельзя скопировать;
— нельзя выгрузить;
— нельзя передать за пределы системы;
— нельзя использовать вне государственных целей.
Это не «облако» — это изолированный, защищённый контур. Даже если вы ошибётесь — данные не утекут.
Чем рискует бизнес?
Если вы не готовы:
— Штраф до 20 млн рублей за нарушение требований к обезличиванию;
— Дополнительный штраф до 500 млн — если обезличивание неэффективно и данные можно деанонимизировать;
— Внеплановая проверка ФСБ — с запросом всех документов: Политика, модель угроз, журналы, инструкции, оценка вреда;
— Потеря доверия клиентов — если они узнают, что их данные «отдали в госсистему» без прозрачности.
Как подготовиться — пошагово
1. Проведите аудит всей цепочки ПДн
— Как вы собираете данные?
— Где храните?
— Как обезличиваете?
— Есть ли документы, подтверждающие процедуры?
Цель: найти точки, где данные могут быть «восстановлены».
2. Обновите документы — в срок
— Политика обработки ПДн — добавьте пункт о передаче обезличенных данных в ЕИП НСУД.
— Регламенты и инструкции — пропишите, кто отвечает за обезличивание, как и когда.
— Согласия — если основание обработки — согласие, обязательно добавьте пункт:
«Я даю согласие на обработку моих персональных данных, включая возможность их обезличивания и передачи в Единую информационную платформу национальной системы управления данными (ЕИП НСУД) для общественно значимых целей».
3. Протестируйте обезличивание — на «деанонимизацию»
Возьмите реальный, но безопасный срез данных (например, 1000 записей).
Примените вашу методику обезличивания.
Попробуйте — можно ли по этим данным восстановить личность?
Если да — вы нарушаете закон.
Срочно меняйте алгоритмы.
4. Обучите команду — не только ИБ, а всех
— Руководство — понимает риски и стратегию.
— IT и ответственный за ПДн — знает методику №1154, требования ФСБ.
— Операторы, маркетологи, HR — понимают:
— нельзя передавать данные в Telegram;
— нельзя использовать зарубежные сервисы;
— нельзя «дополнять» обезличенные данные личной информацией.
5. Проверьте регистрацию в реестре РКН
Если вы обязаны уведомлять Роскомнадзор — сделайте это до 1 сентября 2025.
Если уже зарегистрированы — проверьте актуальность данных.
6. Внедрите регулярный аудит
— Раз в год — проверяйте:
— документы;
— практику;
— технические меры.
— Привлекайте юристов по ФЗ-152 и технических экспертов.
Это не трата — это страховка от 500 млн.