Леушина Ольга Специалист по управлению персоналом

10 сентября 2025 2 440

Обработка обезличенных персональных данных

Размер шрифта:

Защита персональных данных — одна из первоочередных задач государства. Поэтому ежегодно принимаются поправки в законодательство, ужесточаются санкции за утечку сведений, внедряются новые способы защиты. Но иногда ценные сведения всё же оказываются в руках мошенников. Сегодня узнаем, как защитить личные данные путем обезличивания, разберемся, как это правильно сделать и как обрабатывать полученные данные.

Коротко о главном: 5 пунктов

Обезличенные данные — это информация о людях в зашифрованном виде.
Шифрование данных делает их непонятными без специального ключа.
Существуют разные способы сделать информацию безымянной, например, перемешивание.
Перед обработкой данные должны быть зашифрованы, а потом их можно использовать.
С сентября 2025 года обезличенные данные нужно передавать по правилам от Минцифры.

Что такое обезличенные персональные данные

Обезличенные персональные данные — это электронные сведения о гражданах, которые хранятся в информационных системах организаций в зашифрованном виде, ключ к которому есть у строго ограниченного круга лиц. Тем, кто не имеет ключа, определить принадлежность данных конкретному физическому лицу невозможно. Самый простой вид обезличивания: вместо полных фамилии, имени, отчества указывать первые буквы.

Пример: вместо Пэпэтэшин Петр Петрович указывают П.П.П.

Мы можем наблюдать этот способ защиты, когда читаем в средствах массовой информации публикации:

«Гражданин С. нарушил ПДД».

Обезличивание применяется и в других случаях:

если уничтожать информацию нельзя, а организовать ее правильное хранение невозможно или затратно (ФЗ № 152-ФЗ «О персональных данных»);
необходимо ответить на запрос, жалобу или обращение, в которой для понимания сути вопроса необходимо сослаться на участие в процессе других физических лиц;
требуется раскрыть обобщенные статистические данные без указания личных данных и др.

Обезличиванию подлежат все персональные данные, которые могут привести к идентификации конкретных лиц: ФИО, адрес, номер телефона, электронная почта, номер паспорта, информация о трудовой деятельности и данные, связанные с финансовыми операциями.

Надо знать: какая информация относится к персональным данным

Как происходит обезличивание персональных данных

Пошаговый алгоритм обезличивания данных физических лиц состоит из трех шагов:

Шаг 1

Выберите одну из техник, с помощью которой осуществляется обезличивание персданных.

Какой метод подойдет для той или иной организации — можно выяснить, воспользовавшись рекомендациями Роскомнадзора и приказом № 996.

Существуют 4 вида техник обезличивания личных данных:

1. Введение идентификаторов. Эта техника позволяет заменить условными обозначениями — идентификаторами значения персональных данных. Для этого создается таблица соответствия идентификаторов исходным данным.

Например, букве «А» соответствует цифра 9, букве «Б» цифра 8 и т. д.

Доступ к ключу для расшифровки выдается лицам, назначенным ответственными за обработку персданных в организации приказом руководителя.

2. Изменение состава или семантики. Данная техника позволяет заменить, обобщить или удалить часть ПД, которые не несут практической пользы. Например:

удаляются фамилия, имя, отчество, остается год рождения;
адрес проживания сокращается до наименования города;
неизменной остается информация, представляющая ценность.

Год рождения	Адрес проживания	Профессия
1975	Москва	Инженер-проектировщик
1985	Санкт-Петербург	Инженер ОТК

3. Декомпозиция. В этом случае происходит разделение информации на блоки, которые хранятся отдельно. Использовать такие блоки по отдельности третьим лицам невозможно, так как это бесполезно и не несет практического смысла. Например, в отдельную таблицу собираются ФИО, в другую — даты рождения, в третью — паспортные данные и т.д. Ключ к таким данным представляет из себя таблицу соответствия блоков. Например:

	Номер строки таблицы 1	Номер строки таблицы 2	Номер строки таблицы 3
1	3	2	1
2	2	1	3
3	1	3	2

4. Перемешивание. При использовании данной техники отдельные части личных данных перемешивают так, чтобы в результате установить принадлежность тому или иному человеку было невозможно.

Решение о том, какие средства обезличивания использовать, каждый оператор принимает самостоятельно в зависимости от ситуации. Главное — соблюдать порядок и убедиться, что выбранные методы гарантируют надежную защиту информации.

Шаг 2

Выберите информационную систему для обезличивания персданных. Сегодня на рынке существует несколько информационных средств для обезличивания данных. Например:

система LARVA BD, созданная в соответствии с требованиями Роскомнадзора № 996. В ней реализованы алгоритмы введения идентификаторов, перемешивания, изменения семантики и декомпозиции;
система «Сфера. Обезличивание данных». Коробочное решение для обезличивания персональных данных «под ключ» от Группы Т1. Позволяет создавать обезличенные базы данных (поддержка СУБД Postgres, MS SQL, Oracle) и обезличенные датасеты (поддержка форматов Avro, Parquet, CSV). Также в нем есть функция поиска и классификации атрибутов с персональными данными в автоматическом режиме на основе ML-моделей.

Шаг 3

Закрепите в ЛНА выбранные технологии обезличивания ПД и назначьте ответственных за их обработку и передачу.

Может пригодиться: как составить положение о защите персональных данных

Образец обезличенных персональных данных

Как происходит обработка обезличенных персональных данных

После обезличивания персональные данные поступают в информационную систему и продолжают обрабатываться с соблюдением следующих правил:

нельзя обрабатывать (хранить) обезличенные персональные данные вместе с первоначальными персданными;
обезличивать персданные следует перед внесением в информационную систему с целью последующей обработки;
допускается обработка в информационной системе обезличенных данных, полученных от третьих лиц;
при необходимости обезличенные данные допускается деобезличить с последующим уничтожением полученной информации после обработки;
обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения;
если в организации отсутствует квалифицированный персонал, способный обрабатывать данные, или материально-техническая база не позволяет обрабатывать персданные с соблюдением действующего законодательства, то допускается привлечение сторонних организаций в целях обработки персональных данных на основании договора;
при использовании технологий «облачной» обработки данных физлиц, допускается обработка одним оператором обезличенных данных нескольких подобных организаций. В этом случае следует выделять зоны ответственности организаций, поручивших обработку единому оператору;
при выборе алгоритмов и программных средств для обезличивания данных следует предусмотреть возможность совместимости полученных массивов с разными платформами для обеспечения их надлежащей обработки;
если возникла необходимость внести изменения или дополнения в массив обезличенных действий, то это следует делать в режиме транзакций. Произведенные действия по обработке данных необходимо заносить в специальный журнал;
все запросы на обработку данных следует хранить в архиве;
необходимо обеспечить возможность любому субъекту персданных ознакомиться или получить сведения о них на каждом этапе обработки.

В организации должны быть утверждены и внедрены инструкции по обработке данных, содержащие описание применяемых процедур и их программного обеспечения.

В организации, где я работаю, нет возможности выделить отдельного сотрудника или вменить в обязанности существующим специалистам работу по обеспечению защиты персданных, включая обработку обезличенных данных. Поэтому у нас заключен договор на оказание соответствующих услуг со сторонней организацией. Стоимость таких услуг зависит от многих критериев и варьируется от 100 000 руб. в год и выше.

Передача обезличенных ПД

Обезличенные персональные данные — это по-прежнему личные данные, поэтому их передача должна осуществляться в соответствии с требованиями законодательства о защите ПД.

Читайте об этом: как осуществляется защита персональных данных

Передача третьим лицам личных данных без согласия допускается в исключительных случаях и служит специальным целям. Например, когда это поможет предотвратить угрозу жизни или самочувствию конкретного человека или в иных ситуациях, прямо оговоренных в законодательстве.

Некоторые случаи, когда согласие не требуется:

передача ПД работников в Социальный фонд России, налоговые органы, военные комиссариаты, профсоюзные органы;
передача ПД работника банкам, открывающим и обслуживающим платежные карты для начисления зарплаты, если в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
передача ПД работника для пропускного режима на территорию служебных зданий и помещений работодателя при условии, что работодатель сам организовал этот пропускной режим.

На заметку: передача персональных данных третьим лицам

Обязательства за передачу персданных третьим лицам без согласия субъекта несут организация или конкретное лицо, ответственное за передачу сведений.

С 1 сентября 2025 года передача обезличенных персданных осуществляется операторами по требованию Минцифры в госинформсистему министерства, которую определит правительство РФ. Соответствующие изменения были внесены в Закон о персональных данных в августе 2024 года, появилась новая статья 13.1.

Инициатива направлена на создание механизма формирования обезличенных составов персональных данных (датасетов). По мнению Минцифры, в результате реализации механизма передачи обезличенных ПД никто — ни государство, ни бизнес — не сможет узнать конкретные сведения о человеке.

Правила обезличивания, перечень данных и сроки предоставления установит правительство РФ по согласованию с ФСБ России. Минцифры будет формировать из обезличенных данных, сгруппированных по определенному признаку, наборы персональных данных для их последующей передачи. В составы нельзя включать биометрические и специальные категории персданных — только общие.

И еще на заметку: в каких журналах фиксировать уничтожение ПД

Эксперты КонсультантПлюс разобрали, каков порядок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку. Используйте эти инструкции бесплатно.

Получить бесплатный доступ к материалам КонсультантПлюс

Часто задаваемые вопросы по теме

Что такое обезличенные персональные данные?

Это информация, зашифрованная таким способом, что деобезличивание возможно только с применением специального ключа, доступ к которому есть у ограниченного числа сотрудников.

Как осуществляется обезличивание персональных данных?
Обезличивание персональных данных в результате их обработки происходит при помощи нескольких методов шифрования:
- идентификаторы;
- изменение состава;
- декомпозиция;
- перемешивание.

Как происходит обработка обезличенных персональных данных?

Обработка таких данных осуществляется с соблюдением правил, установленных рекомендациями Роскомнадзора № 996. Например, не допускается обработка (хранение) обезличенных данных вместе с необезличенными.

Как будет производиться передача обезличенных персональных данных?

С 1 сентября 2025 года передача обезличенных персональных данных происходит по требованию Минцифры в составе и в сроки, утвержденные правительством РФ.

Приказ Роскомнадзора от 05.09.2013 N 996

Федеральный закон от 27.07.2006 N 152-ФЗ

Оставить комментарий Распечатать

Леушина Ольга Специалист по управлению персоналом

В 1998 году закончила Академию внешней торговли по направлению "Экономика". Второе высшее образование с сфере управления персоналом получила в 2002 году. С тех пор работаю в сфере занятости и трудовых отношений.

Все статьи автора

Помощник по этой статье

Что это?

Сориентирует по тому, что написано на этой странице — быстро и по делу.

Это автоматический помощник, работающий на основе искусственного интеллекта. Он отвечает только на основе текста этой страницы и размещённых на ней ссылок. Если какого-то факта в статье нет, помощник честно сообщит об этом.

Например: «Каков порядок действий?», «Каковы сроки?», «Какие документы нужны?».

Комментарии

Что-то непонятно? Спрашивайте!

Персональные данные: ответы по темам

1 вопрос 9 сентября 2025

Оформление согласия на обработку персональных данных на сайте

Обсуждаем, как с учетом изменений с 1 сентября оформить согласия на обработку персональных данных на сайте, если нет отдельного раздела про персональные данные.

1 240

1 вопрос 7 июля 2025

Как разрешено пересылать документы с персональными данными в рамках закона о персональных данных РФ?

Обсуждаем, как пересылать внутри и вне компании документы с персональными данными, чтобы не нарушить № 152-ФЗ.

3 308

1 вопрос 17 июня 2025

«Политика конфиденциальности» и «Политика обработки персональных данных» это разные документы?

Разбираемся, «Политика конфиденциальности» и «Политика обработки персональных данных» являются разными документами, или один из них включён в другой?

3 839

1 вопрос 30 апреля 2025

Как составить согласие на обработку персональных данных, чтобы оно соответствовало требованиям ФНС по раскрытию налоговой тайны?

Обсуждаем, что включить в согласие на обработку персональных данных, чтобы оно соответствовало требованиям ФНС по раскрытию налоговой тайны.

2 233

Вам может быть интересно: