С 1 сентября 2025 года в России вступают в силу значимые изменения в регулировании персональных данных. Они закреплены в Федеральном законе от 08.08.2024 № 233‑ФЗ, который дополнил ФЗ от 27.07.2006 № 152‑ФЗ «О персональных данных» новой статьёй 13.1. Главная цель — создать чёткие правила обезличивания данных, чтобы безопасно использовать большие массивы информации для аналитики и ИИ.
Что меняется
1. Обработка без согласия. Обезличенные данные можно будет использовать без согласия субъекта — но лишь если обезличивание исключает возможность идентификации человека.
2. Передача в госсистему. Операторов могут обязать передавать обезличенные данные в Единую информационную платформу нацсистемы управления данными (ЕИП НСУД). При этом:
o биометрические данные в систему не включаются;
o доступ к данным получат только доверенные лица и организации.
3. Право на возражение. Гражданин вправе запретить передачу своих обезличенных данных — в этом случае передача отменяется.
Как должно проводиться обезличивание?
Роскомнадзор определяет допустимые методы (проект приказа 2025 года актуализирует Приказ РКН от 05.09.2013 № 996):
- Введение идентификаторов (псевдонимизация) — замена персональных сведений кодами с отдельным хранением таблицы соответствия.
- Изменение состава/семантики — обобщение или удаление части данных (например, замена точной даты рождения на год).
- · Декомпозиция — разбиение данных на части, хранящиеся раздельно.
- ·Перемешивание (шуффлинг) — перестановка записей для разрушения связей между атрибутами и субъектами.
Запрещено:
- хранить обезличенные и исходные данные вместе;
- раскрывать методы и «ключи» обезличивания третьим лицам;
- включать в обезличенные наборы данные, защищённые иными законами (гостайна, медтайна и т. п.).
Когда обезличивание обязательно
1. По завершении цели обработки — вместо удаления данных можно обезличить их.
2. При передаче третьим лицам без согласия — только обезличенные данные.
3. При публикации открытых данных — исключение персональных идентификаторов.
4. По требованию госорганов — передача в ЕИП НСУД только в обезличенном виде.
5. При использовании данных для новых целей — если нет нового согласия субъекта.
6. При обработке видео- и биометрии — без согласия допустимо лишь обезличенное использование.
Что нужно сделать организациям
1. Обновить внутренние политики: прописать методы обезличивания, порядок хранения, ответственных.
2. Настроить раздельное хранение исходных и обезличенных данных.
3. Обучить персонал новым требованиям.
4. Проверить готовность к взаимодействию с ЕИП НСУД (через СМЭВ).
5. Следить за финальными нормативными актами (проект приказа РКН, поправки к Постановлению № 733).
Ответственность за нарушения
За несоблюдение правил обезличивания предусмотрена административная ответственность по ч. 7 ст. 13.11 КоАП РФ.
Ключевые нормативные акты
· ФЗ № 152‑ФЗ (ст. 13.1) — базовые правила обезличивания.
· ФЗ № 233‑ФЗ — ввод изменений с 01.09.2025 г.
· Постановление Правительства РФ № 733 — регулирование ЕИП НСУД.
· Приказ РКН № 996 (2013 г.) и проект нового приказа РКН (2025 г.) — методы обезличивания.
· КоАП РФ, ст. 13.11 — ответственность.
· ФЗ № 156‑ФЗ (с 01.09.2025) — требования к согласию на обработку ПД.
Итог: с 2025 года обезличивание становится не опцией, а обязательной процедурой в ряде случаев. Организации должны заранее подготовиться, чтобы использовать данные легально и избежать штрафов.