С 1 сентября 2025 года в России вступают в силу поправки в закон о персональных данных № 152-ФЗ, касающиеся обезличивания (анонимизации) информации. Федеральный закон № 233-ФЗ от 08.08.2024 вводит новые правила сбора и использования ПДн.
Что изменится в хранении персональных данных
Главное нововведение – создание «составов данных». Это обезличенные данные, сгруппированные по общим признакам (например, по возрасту, району проживания или покупкам). Проще говоря, это большие массивы информации без конкретных сведений об отдельных людях.
Этим займутся на федеральном уровне. Главным оператором будет Минцифры России. Ведомство может обязать компании предоставить составы обезличенных данных для сбора в систему ФГИС «Единая информационная платформа национальной системы управления данными» (ЕИП НСУД) согласно постановлению Правительства РФ № 740.
Компании и организации (операторы) будут обязаны выполнять эти требования – обезличивать данные по правилам правительства РФ, согласованным с ФСБ. Требования и методы обезличивания описаны в постановлении правительства № 1154 от 01.08.2025. Так, личные и обезличенные сведения начнут хранить раздельно.
Правительство предлагает несколько надежных подходов, чтобы сделать персональные данные анонимными:
- замена части данных уникальными кодами-идентификаторами (создается таблица, которая соотносит эти коды с изначальными данными);
- модификация или упрощение содержания данных (возможна замена статистическими результатами или удаление части информации);
- декомпозиция – разделение данных на части и хранение отдельно друг от друга;
- изменение порядка записей в массиве;
- обобщение данных для создания новой структуры, которая сохраняет основное распределение значений, но делает их анонимными.
Допускается комбинировать эти методы и использовать их одновременно.
Кто получит доступ к данным
Ограниченный доступ предоставят только внутри специальных государственных систем. Скачивать, пересылать или копировать информацию нельзя.
Право на доступ получат две группы:
- Государственные и муниципальные органы, их подведомственные организации и фонды.
- Частные компании и граждане России.
Для получения доступа руководитель компании должен быть гражданином РФ без судимости, а сама компания должна быть:
- внесена в реестр операторов персональных данных;
- российской и не контролироваться иностранцами;
- «чистой» – не числиться в списках экстремистов.
Для данных, полученных от бизнеса, будет действовать «период охлаждения». Если частная компания передала свои обезличенные данные, то другие частные компании смогут получить к ним доступ только через год. А вот государственные органы получат к ним доступ сразу.
Гражданин РФ, желающий получить доступ к обезличенным составам данных, должен соответствовать практически тем же строгим критериям, что и компания.
Условия для граждан России:
- Наличие в Реестре операторов. Гражданин, как ИП или самозанятый, должен быть внесен в реестр операторов Роскомнадзора, если он обрабатывает персональные данные в рамках своей деятельности.
- Только российское гражданство.
- Отсутствие судимости (может быть погашенная или снятая судимость).
- «Чистая» репутация. Гражданин не должен числиться в списках экстремистов и террористов.
- Ключевое и самое строгое требование: непривлечение к уголовной ответственности за информационные преступления за последние 5 лет. У гражданина не должно быть нарушений по ряду статей УК РФ, связанных с нарушением гостайны и неправомерным использованием информации.
Что запрещено
- Обрабатывать данные специальных категорий – расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (есть исключения);
- Обрабатывать биометрические персональные данные;
- Использовать данные во вред людям, их правам, безопасности страны;
- Передавать результаты обработки данных иностранным компаниям, гражданам других стран или лицам без гражданства. Исключения возможны только по решению президента или международному договору.
Закон создает безопасную среду для работы с массивами данных, совмещая технологический прогресс с защитой интересов государства и граждан.
О том, как организовать защиту персональных данных в компании, рассказывают на курсах Инфостарт Обучения.
Онлайн-курс «152-ФЗ: полное руководство по защите персональных данных»
Онлайн-курс «152-ФЗ: комплексная защита ПДн и 1С-серверов на практике»
Комплексный подход к решению проблем с хранением и обработкой ПДн, пошаговые инструкции, 30+ готовых шаблонов документов – записывайтесь на курс и защитите свой бизнес! Начать обучение можно в любое время – доступ откроется сразу после оплаты.
