Документ
Постановление Правительства РФ от 01.08.2025 № 1154
Комментарий
Под обезличиванием персональных данных понимаются действия, в результате которых без дополнительной информации нельзя определить принадлежность персональных данных их субъекту (п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).
Приказом от 19.06.2025 № 140 Роскомнадзор утвердил требования к обезличиванию персональных данных, а также методы их обезличивания, которые применяются с 01.09.2025 (далее – Приказ № 140). Также постановлением от 01.08.2025 № 1154 Правительство России утвердило требования к обезличиванию персональных данных, методы и правила их обезличивания (далее – Постановление № 1154).
В отличие от Приказа № 140, положения которого применяются во всех случаях обезличивания персональных данных, нормы Постановления № 1154 распространяются на случаи, когда оператор персональных данных обязан обезличить по требованию Минцифры России для последующей передачи этих данных в Единую информационную платформу национальной системы управления данными (ЕИП НСУД).
Напомним, с 2023 года в России действует механизм, при котором государственные органы и организации, обрабатывающие персональные данные, могут обязать передать их ЕИП НСУД. Однако такая передача возможна только после обезличивания информации, то есть удаления всех сведений, с помощью которых можно идентифицировать конкретное лицо. Такая обязанность закреплена в части 2 статьи 13.1 Федерального закона № 152-ФЗ и возникает, если от Минцифры оператор получил соответствующее требование. Требование может распространяться не только на государственные структуры, но и на частные компании, особенно на те из них, которые обрабатывают большие объемы персональных данных, это операторы связи, банки, онлайн-ретейлеры, ИТ-сервисы.
ЕИП НСУД – это единая инфраструктура для сбора, хранения и анализа больших данных. Она создана с целью повышения эффективности управления социально-экономическими процессами. Для этого требуются данные из различных сфер – здравоохранения, транспорта, образования, торговли. Минцифры запрашивает такие сведения у операторов персональных данных, если они необходимы для наполнения платформы.
Так, например, в Москве сейчас проходит эксперимент по анализу транспортных потоков, загруженности общественных пространств, эффективности работы служб. Для обучения искусственного интеллекта нужны реальные данные, при этом важно не нарушить права граждан. Для этого Минцифры вправе потребовать от операторов связи, транспортных сервисов, городских систем и прочих организаций обезличить и передать соответствующие данные.
Если оператор персональных данных не передает сведения в ЕИП НСУД, ему достаточно соблюдать общие требования Приказа № 140. Если передача состоялась, следует соблюдать также специальные требования, закрепленные в Постановлении № 1154.
Разберем положения Постановления № 1154.
Требования к обезличиванию персональных данных
Оператор персональных данных должен обеспечить (п. 2 Требований, утв. Постановлением № 1154):
- раздельное хранение персональных данных и обезличенных данных;
- меры безопасности обезличенных данных в соответствии с Законом № 152-ФЗ;
- исключение из обезличенных данных информации, доступ к которой ограничен федеральными законами (коммерческая тайна, государственная тайна, врачебная тайна и т. д.);
- использование для обезличивания данных алгоритмы и программы, обеспечивающие возможность предоставления обезличенных данных без потери или изменения;
- возможность внесения изменений и дополнений в обезличенные данные, поддержку их актуальности и возможность применения методов обезличенных персональных данных, утв. Постановлением № 1154, без возможности их преобразования к исходному виду, позволяющему определить принадлежность конкретному субъекту персональных данных.
Таким образом, требования Постановления № 1154 более жесткие по сравнению с требованиями Приказа № 140, который предусматривает возможность проведения в отношении обезличенных данных обратную процедуру, сделав их снова персональными данными конкретного лица, при наличии ключей и дополнительных сведений.
Методы обезличивания персональных данных
Операторы персональных данных обязаны использовать следующие методы обезличивания персональных данных (п. 2 Методов, утв. Постановлением № 1154):
- метод введения идентификаторов – замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным персональным данным;
- метод изменения состава или семантики – изменение состава или семантики персональных данных, в том числе путем замены результатами статистической обработки или удаления части сведений (значений персональных данных);
- метод декомпозиции – разбиение массива персональных данных на несколько частей с последующим раздельным их хранением;
- метод перемешивания – перестановка отдельных записей, а также групп записей в массиве персональных данных;
- метод преобразования – агрегация массива персональных данных, полученных в результате обезличивания персональных данных, путем обобщения элементов структуры массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения применительно к каждому субъекту персональных данных, а также установления заданного количества их различных значений, позволяющего отобразить исходное распределение каждого значения.
Таким образом, методы обезличивания персональных данных, утв. Постановлением № 1154, аналогичны методам, перечисленным в Приказе № 140.
Правила обезличивания персональных данных
После получения требования от Минцифры России об обезличивании персональных данных и предоставлении обезличенных данных оператор обязан совершить следующие действия.
- Обезличить персональные данные, применив перечисленные выше методы обезличивания (п. 6 Правил, утв. Постановлением № 1154).
- При обезличивании можно использовать безвозмездно предоставленное Минцифры России программное обеспечение либо иные программы, позволяющие производить обезличивание с применением перечисленных выше методов. Для использования собственной программы необходимо получить в Минцифры России подтверждение правомерности ее использования (п. 7 Правил, утв. Постановлением № 1154).
- После проведения обезличивания персональных данных оператор персональных данных обязан предоставить обезличенные данные в ЕИП НСУД (п. 8, 9 Правил, утв. Постановлением № 1154).