+7 (499) 270-20-77
Обезличивание персональных данных, что изменилось с 1 сентября 2025 года

Обезличивание персональных данных, что изменилось с 1 сентября 2025 года

C 1 сентября 2025 года вступили в силу масштабные изменения в Федеральный закон № 152-ФЗ «О персональных данных». Обезличивание — теперь это прямая обязанность операторов ПДн. Компании должны не только обезличивать данные, но и передавать их в государственные системы по запросу. Для крупного бизнеса с миллионами записей ручное выполнение этих требований — путь к ошибкам и штрафам. Разбираем, что именно изменилось, какие риски влечет несоблюдение и как справиться с новыми требованиями путем автоматизации процессов.

Ключевые изменения в 152-ФЗ

1 сентября 2025 года вступили в силу два федеральных закона — № 156-ФЗ и № 233-ФЗ, которые существенно изменили правила работы с персональными данными. Нововведения затрагивают два основных направления. Это порядок получения согласия на обработку данных и легализация работы с обезличенными данными. Законодатель стремится найти баланс между защитой приватности граждан и развитием технологий больших данных и искусственного интеллекта.

Разберем каждое нововведение подробнее:

  • В 152-ФЗ появилась отдельная статья 13.1, целиком посвященная обезличенным данным. Ранее закон упоминал обезличивание лишь вскользь — как одну из возможных операций с ПДн. Теперь это полноценный правовой институт со своей терминологией и механикой. Статья вводит понятие «состав обезличенных данных» — по сути, это структурированный набор записей, из которого невозможно установить принадлежность информации конкретному человеку без дополнительных ключей. 
  • Государство получило право запрашивать обезличенные массивы у любого оператора. Минцифры теперь может направить компании официальное требование. Та в свою очередь обязана сформировать и передать обезличенные наборы данных в Единую информационную платформу национальной системы управления данными (ЕИП НСУД). Доступ к этой платформе получат государственные органы, а также российские организации и граждане, прошедшие проверку на соответствие строгим требованиям безопасности. Передача данных за рубеж запрещена. При этом биометрические данные (изображения лиц, голосовые записи) и сведения о состоянии здоровья из таких наборов исключены.
  • Утвержден закрытый перечень допустимых методов обезличивания. Приказ Роскомнадзора № 140 от 19.06.2025 заменил устаревший приказ 2013 года и зафиксировал пять конкретных способов:
    • Псевдонимизация — замена имени и других идентификаторов на условные коды. 
    • Изменение состава и семантики — удаление или обобщение отдельных полей (например, вместо точного адреса — только регион). 
    • Перемешивание — случайная перестановка значений между записями, чтобы разрушить связь «человек—данные». 
    • Декомпозиция — разделение единого массива на несколько независимых частей, хранимых раздельно. 
    • Преобразование массива — принципиально новый метод, которого не было в предыдущей редакции. Он позволяет математически разрушить корреляции между атрибутами и субъектами, что повышает устойчивость к деанонимизации. 

Использовать «самодельные» алгоритмы вне этого списка нельзя.

  • Снято ограничение на использование обезличенных данных без согласия субъекта. До сентября 2025 года практически любая обработка ПДн требовала согласия гражданина. Теперь, если данные прошли обезличивание по утвержденным методам и не позволяют идентифицировать человека, их можно свободно использовать для исследовательских, аналитических и технологических целей. То есть компании могут строить модели машинного обучения, проводить маркетинговый анализ, оптимизировать бизнес-процессы на основе обезличенных клиентских данных — не запрашивая дополнительных разрешений. Но обезличивание должно быть выполнено качественно и необратимо.
  • Кардинально изменились правила получения согласия на обработку. Прежняя практика, когда согласие «зашивалось» в текст договора мелким шрифтом или включалось в анкету на сайте одним чекбоксом, больше не допускается. Согласие необходимо оформлять как самостоятельный документ — бумажный или электронный. В нем должны быть перечислены все организации, которые получат доступ к данным (включая курьерские службы, SMS-шлюзы, провайдеров CRM и аналитических платформ), а также конкретные цели обработки. Это значительно повышает прозрачность для граждан, но создает дополнительную нагрузку на бизнес — особенно на компании с разветвленной экосистемой подрядчиков.

Что делать бизнесу 

В связи с перечисленными выше нововведениями каждому оператору ПДн нужно:

  • Разработать и утвердить внутренние регламенты обезличивания — локальный акт, описывающий процесс от начала до конца: кто отвечает, какими методами пользуется, как фиксирует операции.
  • Внедрить технические средства для обезличивания — причем строго по методам из приказа Роскомнадзора № 140. Никаких «самодельных» алгоритмов — только утвержденные подходы.
  • Обеспечить раздельное хранение — исходные и обезличенные данные должны лежать отдельно. Методики обезличивания запрещено раскрывать третьим лицам.
  • Вести реестр обезличивания — фиксировать источник, метод, параметры, дату операции, ответственного и место хранения результатов.
  • Назначить ответственных за взаимодействие с государственной системой ЕИП НСУД и обновить политику обработки персональных данных с учетом новых процессов.

Ответственность  за несоблюдение требований по обезличиванию данных

Параллельно с новыми обязанностями законодатель серьезно ужесточил ответственность. Федеральный закон № 420-ФЗ увеличил штрафы за утечки, привязав их к масштабу инцидента. Если утечка составляет от 1 до 10 тысяч записей, юридическому лицу грозит штраф до 5 млн рублей. Если утекло более 100 тысяч записей, штраф будет 15 млн рублей. А за повторное нарушение компания может заплатить от 1% до 3% годовой выручки — для крупного бизнеса это могут быть сотни миллионов рублей.

Но дело не только в штрафах. Некорректное обезличивание — это репутационные риски. Если данные обезличены ненадлежащим образом и происходит реидентификация клиентов, последствия могут быть куда серьезнее любого штрафа. Контроль за соблюдением требований осуществляют сразу три ведомства: Роскомнадзор, ФСБ и ФСТЭК.

Использование инструментов автоматизации

Для небольшой компании с несколькими тысячами клиентов новые требования можно выполнить относительно просто. Достаточно:

  • настроить CRM;
  • обновить документы;
  • прописать регламент. 

Но когда речь идет о крупном бизнесе, например, телеком-операторах, банках, ретейлерах, ресурсоснабжающих организациях — ситуация принципиально иная.

Представьте телеком-оператора с миллионами абонентов. Персональные данные хранятся не в одной базе, а распределены по десяткам информационных систем, включая биллинг, CRM, системы техподдержки, личные кабинеты, аналитические хранилища. Когда клиент отзывает согласие на обработку или приходит запрос от регулятора, нужно обезличить данные во всех системах одновременно, причем согласованно и без ошибок.

Вручную это сделать практически невозможно. Сотрудники должны найти все упоминания конкретного человека в разных системах, применить утвержденные методы обезличивания, записать все в реестр, убедиться, что нигде ничего не осталось. При этом каждая ошибка — это потенциальное нарушение закона и многомиллионный штраф.

Поэтому крупному бизнесу необходима автоматизация обезличивания. Автоматизированная система позволяет обрабатывать запросы на обезличивание централизованно, охватывая весь ИТ-ландшафт. Она гарантирует, что данные будут обезличены во всех сопряженных системах, реестр операций ведется автоматически, а человеческий фактор сведен к минимуму.

Кейс компании Триколор

Один из примеров того, как крупная компания может системно подойти к вопросу, — проект оператора «Триколор», реализованный совместно с компанией «айФлекс». До внедрения системы все операции с данными выполнялись сотрудниками вручную. Это приводило к увеличению времени обработки запросов, росту риска ошибок и невозможности масштабировать процесс под новые требования законодательства.

Главная сложность проекта состояла в том, что на рынке не было готовых специализированных решений. Поэтому «Триколор» и «айФлекс» создали систему с нуля. Значительную часть времени заняло исследование существующих процессов заказчика и адаптация мастер-систем к работе с обезличенными субъектами данных. Было проведено подробное обследование всего ИТ-ландшафта, чтобы корректно сформулировать технические задачи для поставщиков мастер-систем по интеграции методов обезличивания.

Результат проекта — полностью автоматизированная система, которая охватывает весь ИТ-ландшафт оператора и полностью соответствует требованиям 152-ФЗ. Операции обезличивания выполняются быстро, согласованно и без участия сотрудников на уровне отдельных записей, что исключает риск человеческой ошибки.

Как должна работать система автоматизации обезличивания

Опыт проекта с «Триколор» показывает, что эффективная система автоматизации обезличивания должна решать несколько задач одновременно:

  • Прежде всего, она должна охватывать весь ИТ-ландшафт компании — от основных мастер-систем до аналитических хранилищ и архивов. Обезличивание в одной системе при сохранении персональных данных в другой — это не обезличивание, а иллюзия.
  • Система должна поддерживать все утвержденные методы обезличивания и позволять гибко настраивать правила под конкретные категории данных. Важно, чтобы реестр операций велся автоматически — с фиксацией всех параметров, которые требует статья 13.1. 
  • Система должна уметь формировать обезличенные наборы для передачи в ГИС, чтобы при поступлении запроса от Минцифры компания могла оперативно отреагировать.

Изменения в 152-ФЗ — это не разовое событие, а начало тренда. Минцифры уже прорабатывает запрет на использование иностранных облачных сервисов для хранения ПДн крупным бизнесом (планируемый срок — 1 сентября 2027 года). Требования будут только ужесточаться.

Компаниям, которые работают с большими объемами персональных данных, стоит уже сейчас задуматься об автоматизации обезличивания как о системном решении, а не как об авральной мере после первого предписания регулятора. Опыт «Триколор» показывает, что такой проект вполне реализуем в разумные сроки, если к нему подойти системно: начать с обследования, понять где и какие данные хранятся, и выстроить прозрачный процесс обезличивания, интегрированный во все ключевые системы