Какие данные нужно обезличивать в аналитике для соблюдения ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

В аналитических системах (CRM, веб-аналитика, BI-отчёты, метрики) часто используется информация, которая напрямую или косвенно позволяет идентифицировать человека. Чтобы снизить риски нарушений 152-ФЗ, такие данные должны проходить процедуру обезличивания.

Какие категории данных подлежат обезличиванию

1. Прямые идентификаторы: ФИО, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН.
2. Уникальные цифровые идентификаторы: IP-адреса, MAC-адреса, ID пользователя в системе, cookie-файлы.
3. Контактные данные: адрес проживания, геолокация, корпоративные и личные e-mail.
4. Финансовые сведения: номера карт, реквизиты договоров, история транзакций.
5. Поведенческие данные: история заказов, посещений сайта, клики и действия, если они могут быть привязаны к конкретному человеку.

Такая информация в аналитике должна храниться либо в обезличенном виде (через коды, токены, хэши), либо в агрегированном (сбор статистики без возможности выделить конкретное лицо).

Обоснование по законодательству

• Ст. 3 ФЗ-152 — обезличивание определяется как действия, при которых без дополнительной информации невозможно установить принадлежность данных субъекту.
• Ст. 5 ФЗ-152 — хранение ПДн не дольше, чем это необходимо; допускается их обезличивание.
• Постановление Правительства РФ № 1154 от 01.08.2025 — утверждены методы обезличивания: введение идентификаторов, изменение состава или семантики, декомпозиция, перемешивание, преобразование (агрегация).

Позиция Роскомнадзора

В методических рекомендациях Роскомнадзор указывает, что компании могут использовать аналитические сервисы только при условии удаления или кодирования идентификаторов пользователей. В ряде проверок выявлялись нарушения, когда в отчётах хранились реальные e-mail клиентов или телефоны — такие случаи расцениваются как незаконная обработка без согласия.

Что важно учитывать в работе

• В аналитике должны оставаться только статистические или агрегированные данные.
• Для внутреннего анализа можно использовать токенизацию: вместо имени или телефона сохраняется уникальный код, связанный с базой в отдельном защищённом хранилище.
• Для веб-аналитики рекомендуется отключать сбор IP-адресов в «чистом виде» и хранить только сокращённые маски (например, первые три октета).
• Хранение персональных идентификаторов в отчётах должно быть исключено.

Вывод

Обезличиванию подлежат любые данные, которые позволяют идентифицировать пользователя: контакты, уникальные ID, IP-адреса, история заказов. В аналитике лучше хранить токены, маскированные значения и агрегированные отчёты.

Компания ICTech поможет настроить обезличивание данных в аналитике, разработать внутренние регламенты и включить порядок деперсонализации в пакет документов по 152-ФЗ. Это снизит риски штрафов и обеспечит законность работы систем.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге