Какие требования с 1 сентября 2025 года следует учитывать при обезличивании персональных данных

По общему правилу оператор обязан обезличить персональные данные (далее ПДн), если достигнуты цели их обработки или утрачена необходимость в достижении этих целей и при этом ПДн не уничтожены. Обезличивание персональных данных - это действия, в результате которых становится невозможным определить принадлежность ПДн конкретному субъекту без использования дополнительной информации.

Во исполнение положений Федерального закона от 08.08.2024 N 233-ФЗ, вступающих в силу с 1 сентября 2025 года, Приказом Роскомнадзора от 19.06.2025 N 140 вводятся требования к обезличиванию персональных данных.

Установлено, что при обезличивании ПДн оператор должен обеспечить:

• использование утвержденных методов обезличивания (за некоторыми исключениями);
• определение массива ПДн, подлежащих обезличиванию;
• оценку достаточности выбранного метода (методов) обезличивания для достижения целей обработки ПДн;
• невозможность без использования дополнительной информации определения принадлежности ПДн, полученных в результате обезличивания, субъекту персональных данных путем применения методов обезличивания;
• использование информационных систем и (или) программ, которые предназначены или используются для обезличивания ПДн, в которых обеспечиваются безопасность и конфиденциальность ПДн;
• исключение совместного хранения массива ПДн, подлежащих обезличиванию, и ПДн, полученных в результате обезличивания;
• учет осуществляемых действий по обезличиванию ПДн, а также действий (операций), совершаемых с ПДн, полученными в результате обезличивания.

Оператору также необходимо принять локальные акты, определяющие порядок:

- обработки ПДн, подлежащих обезличиванию,

- осуществления деятельности по обезличиванию ПДн,

- оценки достаточности применяемого метода (методов) обезличивания,

- обработки ПДн, полученных в результате обезличивания.

- разбиения массива ПДн, перемешивания ПДн, изменения состава или семантики ПДн путем удаления, искажения или изменения атрибутов ПДн.

При этом оператору надлежит исключить доступ третьих лиц к указанным локальным актам, к информации об используемых методах обезличивания, информационных системах или программах, а равно иной информации о процедуре проведения обезличивания ПДн. Локальные акты о правилах разбиения массива ПДн, перемешивания ПДн, изменения состава или семантики ПДн путем удаления, искажения или изменения атрибутов ПДн необходимо хранить отдельно от обезличенных данных.

Предусмотрены и иные требования к обезличиванию ПДн.

Приказ Роскомнадзора от 19.06.2025 N 140 вступает в силу 1 сентября 2025 года, с этой же даты признается утратившим силу Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных».

На заметку: напомним также, что с 1 сентября 2025 года вступает в силу ряд иных нормативных актов, регулирующих вопрос обезличивания ПДн. В частности, Постановлением Правительства РФ от 24.04.2025 N 538 определен перечень случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку. Подробнее об этом читайте в материале Последние изменения: Защита персональных данных (КонсультантПлюс, 2025). Также смотрите обзор «Какие изменения в сфере персональных данных вступят в силу с 1 сентября 2025 года? Как к ним подготовиться?» на нашем сайте.