Бизнес получит доступ к большим массивам обезличенных персональных данных, и в то же время будет обязан отправлять такие данные в ГИС. Изменения действуют с 1 сентября. Расскажем, как обезличивать персданные по всем правилам, чтобы не нарушить права клиентов и сотрудников на конфиденциальность.
⌛ Самое важное, если нет времени читать:
— 1 сентября 2025 года вступил в силу приказ Роскомнадзора № 140. Он утверждает новые требования и методы обезличивания персональных данных.
— Среди методов: создание идентификаторов, изменение состава и семантики, перемешивание, декомпозиция.
— Операторы обязаны отправлять обезличенные данные в государственную информационную систему (ГИС), если придет запрос от Минцифры.
— Для сбора обезличенных ПДн не нужно получать отдельное согласие клиента или сотрудника.
Что нового для компаний и ИП в сфере персданных
С 1 сентября компании и ИП должны передавать обезличенные персональные данные в государственную информационную систему (ГИС), если поступит такой запрос от Минцифры. Передать данные нужно не позже 15 дней после поступления запроса. Важно запомнить: обезличивание становится обязанностью только если пришел запрос, в остальных случаях оператор сам решает, обезличивать ему данные или нет.
Изучать обезличенные персданные смогут госорганы, муниципалитеты и внебюджетные фонды. Компаниям и ИП тоже откроют доступ, но только если те зарегистрируются в РКН в качестве операторов персональных данных. Работать с обезличенными данными можно только на государственной платформе — это значит, что их не получится скопировать, скачать, перенести на другие площадки.
В связи с этими изменениями Роскомнадзор выпустил приказ № 140, в котором утверждаются новые требования и методы обезличивания.
❗ Кроме того, в сентябре операторов обязали по-новому оформлять согласие на обработку персданных, его больше нельзя включать в состав других документов.
Зачем нужно обезличивание персональных данных
Обезличивание персональных данных — это процедура, при которой шифруется или удаляется всё, что позволяет установить личность человека. По итогу получается массив сведений, который можно использовать для аналитики, статистики, обучения искусственного интеллекта, рекламных кампаний. Брать отдельное разрешение на обезличивание у клиента или сотрудника не нужно — достаточно взять согласие на обработку ПДн, это закреплено в 152-ФЗ.
Обезличивание позволяет сохранить важные данные, но при этом защитить личную информацию от утечки и компрометации. Расшифровать данные не получится без дополнительного «ключа», который есть только у ограниченного числа сотрудников. Например, только ответственный специалист будет знать, что под ID_156 скрывается конкретный сотрудник отдела продаж.
Специальные категории данных обезличивать нельзя. К ним относится всё, что перечислено в статье 10 закона 152-ФЗ: национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь. Есть строгие ограничения при обезличивании биометрии и данных, которые составляют тайну: государственную, медицинскую, профессиональную и другие.
Сервис 152DOC создан специально для операторов персональных данных. В сервисе можно быстро подготовить полный комплект документов по персданным, сформировать уведомление в Роскомнадзор, проверить сайт на соответствие требованиям закона. Узнайте больше и оставьте заявку на подключение
По каким правилам обезличивать персональные данные
Требования к обезличиванию касаются всех, кто собирает и обрабатывает личную информацию. Чтобы всё было законно, оператор должен:
✔️ Выяснить, какие именно и чьи персданные необходимо обезличить.
✔️ Подобрать подходящие методы обезличивания из тех, кто прописаны в приказе РКН. Главное, чтобы эти методы подходили для целей обработки ПДн.
✔️ После обезличивания проверить, что по персданным действительно не получается установить личность человека.
✔️ Использовать только те программы, которые способны обеспечить полную защищенность и конфиденциальность данных: исходных и обезличенных.
✔️ Хранить исходные данные и обезличенные отдельно друг от друга.
✔️ Фиксировать все действия по обезличиванию и работе с такими данными. Вести учет можно в журнале или другом документе.
Как правильно работать с персональными данными клиентов, сотрудников, посетителей сайта. Какие требования предъявляет Роскомнадзор, как подать уведомление и какие документы выложить на сайте компании. Читайте больше полезных статей и инструкций в нашем блоге.
Как обезличить персданные: 5 методов от Роскомнадзора
Компаниям и ИП не нужно самим разрабатывать способы шифрования данных — РКН в новом постановлении прописал методы, которые можно использовать вместе или по отдельности. Что именно использовать — оператор решает сам.
✔️ Создание идентификаторов
Суть в том, чтобы придумать для каждой категории данных свои условные обозначения — номера или коды. Чтобы понимать, какой код к каким данным относится, создают таблицу соответствия. Таблицу нужно хранить отдельно и дополнительно защитить ее от взлома, так как в ней хранятся настоящие персональные данные.
Допустим, клинике нужно зашифровать номера медицинских полисов пациентов. Для номера полиса создается специальный шифр, например — MED_138. В обезличенных данных фигурировать будет именно этот шифр, а не настоящий номер, что защищает личные сведения от утечки. Похожим образом можно зашифровать ФИО. Например, вместо Иванова Александра Юрьевича будет И.А.Ю.
✔️ Изменение состава или семантики
Такой метод подразумевает обобщение, искажение, удаление части данных — тех, что не несут ключевой важности. Оператор может заменить настоящие данные средним значением, чтобы нельзя было установить личность человека.
Приведем пример. Служба доставка обезличивает данные о возрасте покупателей и времени заказа. Вместо точных цифр указывает диапазон: не «27 лет», а «от 20 до 30 лет». Вместо точного времени заказа пишут приблизительное «от 20:00 до 23:00 часов». Эта методика позволяет получить массив данных для анализа, но не раскрывать личные сведения.
✔️ Перемешивание данных
При этом методе персданные перемешиваются между собой. Благодаря этому разрушаются связи между ними — сами данные остаются теми же, но уже перестают друг другу соответствовать.
К примеру, колледжу нужно зашифровать информацию о посещаемости и оценках своих студентов. Есть список с ФИО, оценками и количеством пропусков — всё это персональные данные, которые нельзя разглашать. Колледж перемешивает фамилии, оценки и прогулы так, что они перестают соответствовать реальным. Петров П.П. — отличник, который никогда не пропускает занятия, но после перемешивания все его данные меняются и уже нельзя сделать точные выводы о его успеваемости.
✔️ Декомпозиция
Оператор разделяет персональные данные на несколько частей и хранит каждую отдельно. Например, в одной таблице хранятся фамилии, в другой — номера телефонов, в третьей — почтовые адреса.
В дополнение к этим четырем методам РКН предлагает метод преобразования. Оператор может использовать его вместе с другими, чтобы дополнительно убрать связи между персданными и их владельцами.
Сервис 152DOC — ваша надежная защита от проверок и миллионных штрафов Роскомнадзора
152DOC поможет собрать полный комплект документов по персданным и на их основе сформировать уведомление в Роскомнадзор. Не нужно разбираться в тонкостях законодательства — всё уже готово. Заполняйте формы по шаблону, скачивайте и отправляйте в РКН. А заодно проверьте сайт на соответствие актуальным требованиям: хостинг, сбор cookies, метрические системы.
Итог: полная защита вашего бизнеса от рисков и штрафов, работа без стресса и уверенность в том, что вы всё делаете по закону.
В блоге рассказали о возможностях сервиса и объяснили, и как он помогает защититься от больших штрафов. Узнайте больше о возможностях 152DOC и оставьте заявку на подключение
Иллюстрация от freepik на freepik.com
