Обязанность обезличить - что это?

В один из прекрасных солнечных дней раздался звонок.

— Минцифры прислали запрос на обезличенные ПД...

Мы успокоили клиента, помогли должным образом предоставить данные, но в тоже время задались вопросом: «Сколько еще предпринимателей не знает о том, что такое обезличивание?».

Если не де-юре, то де-факто каждый активный предприниматель является оператором обработки ПД, а соответственно должен соблюдать законодательство в данной сфере.

Согласно части 9 статьи 3 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ (далее — ФЗ «О ПД»):

«обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных».

По своей сути обезличивание персональных данных (далее — «ПД») — это шифрование массива персональных данных с целью исключить связь между данными и конкретным лицом.

Обезличивание ПД может потребоваться в двух случаях:

1. по достижении целей обработки и/или в случае утраты необходимости в достижении этих целей, если оператор выбрал такой способ вместо уничтожения ПД;
2. при обработке ПД без согласия лица в научных, исследовательских и статистических целях.

Если вы достигли цели, для которой обрабатывали персональные данные — у вас есть только два варианта, на выбор: обезличить ПД или уничтожить ПД.

Пункт 7 статьи 5 ФЗ «О ПД»:

«Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом».

Если оператором принято решение обезличить ПД, вместо уничтожения, обезличивание должно производится в соответствии с требованиями, которые установлены Приказом Роскомнадзора от 19.06.2025 N 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — «Приказ»).

Кратко опишите суть проблемы и мы займемся этим (VSL.info@mail.ru).

В приложении № 2 к Приказу утверждены методы, применяя которые можно обезличить ПД. Один из таких методов — метод введения идентификаторов персональных данных.

Метод реализуется путем выделения из состава персональных данных, подлежащих обезличиванию, субъектов, персональные данные которых подлежат обезличиванию, персональных данных, которые без использования дополнительной информации позволяют определить субъекта персональных данных, и их замены на идентификаторы в виде кода.

Фактически, необходимо заменить персональные данные на определенный код, который создан по какому — либо принципу, допустим замена каждой буквы на определенную цифру. Шифровка данных должна быть по определенному принципу, не допускается применение случайных значений. При этом, использование данного метода предполагает, что необходимо сохранить ключ, то есть шифр по которому массив можно будет дешифровать.

!Ключ необходимо хранить отдельно от зашифрованных данных.

Какие существуют риски?

Ответственность за данное правонарушение предусмотрена только для государственных или муниципальных органов (пункт 7 статьи 13 Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (далее —"КоАП РФ")):

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных -

влечет наложение административного штрафа на должностных лиц в размере от шести тысяч до двенадцати тысяч рублей.

При этом, несоблюдение требований или методов по обезличиванию персональных данных может повлечь признание таких данных не обезличенными и предполагает соответствующие штрафы, в случае если с данными, которые изначально считались обезличенными были произведены действия, которые недопустимы для не обезличенных персональных данных.

Кратко опишите суть проблемы и мы займемся этим (VSL.info@mail.ru).

Если поступил запрос от Минцифры?

Обязанность предоставлять обезличенную информацию по запросу от Минцифры установлена пунктом 3 статьи 13.1 ФЗ «О ПД»:

«Оператор после получения требования, указанного в части 2 настоящей статьи, обязан обезличить обрабатываемые им персональные данные в соответствии с требованиями к обезличиванию персональных данных, методами обезличивания персональных данных и порядком обезличивания персональных данных, которые устанавливаются Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (далее — требования к обезличиванию). Выполнение оператором требований к обезличиванию должно исключить наличие в персональных данных, полученных в результате обезличивания, информации, доступ к которой ограничен федеральными законами».

В таком случае, при обезличивании ПД необходимо следовать другим требованиям, которые установлены Постановлением Правительства РФ от 01.08.2025 N 1154 «Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных».

Мы имеем богатый опыт в данной сфере и оказываем услуги по детальной юридической проверке договоров, написанию претензий, исков и разрешению споров в короткие сроки. Кратко опишите суть проблемы и мы займемся этим (VSL.info@mail.ru).