Как обезличить персональные данные?

Обезличивание — это процесс изменения персональных данных таким образом, чтобы без дополнительной информации нельзя было определить, кому они принадлежат. Такой метод позволяет организациям использовать данные для анализа, статистики или исследований без нарушения ФЗ-152.

Постановлением Правительства Российской Федерации от 1 августа 2025 г. N 1154 утверждены следующие способы обезличивания:

1. Метод введения идентификаторов — замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным персональным данным;
2. Метод изменения состава или семантики — изменение состава или семантики персональных данных, в том числе путем замены результатами статистической обработки или удаления части сведений (значений персональных данных);
3. Метод декомпозиции — разбиение массива персональных данных на несколько частей с последующим раздельным их хранением;
4. Метод перемешивания — перестановка отдельных записей, а также групп записей в массиве персональных данных;
5. Метод преобразования — агрегация массива персональных данных, полученных в результате обезличивания персональных данных, путем обобщения элементов структуры массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения применительно к каждому субъекту персональных данных, а также установления заданного количества их различных значений, позволяющего отобразить исходное распределение каждого значения.

Обоснование по законодательству

• Ст. 3, п. 6 ФЗ-152 — обезличивание персональных данных — это действия, делающие невозможным определить принадлежность данных субъекту без использования дополнительной информации.
• Ст. 5 ФЗ-152 — принцип минимизации: рекомендуется использовать обезличивание, если для целей обработки не требуется установление личности.
• Ст. 6, ч. 1, п. 11 ФЗ-152 — допускает обработку обезличенных данных без согласия субъекта, если они применяются в статистических и исследовательских целях.

Практика проверок Роскомнадзора

• В одной компании обезличили данные клиентов для аналитики, заменив ФИО на ID-коды. Проверка подтвердила, что в такой форме данные не относятся к персональным.
• В другой организации пытались «обезличить» сотрудников, указывая только инициалы и должности. Проверка признала это нарушением: в небольшом коллективе даже инициалы и должность позволяют легко определить личность.

Важный нюанс

Обезличивание должно быть таким, чтобы невозможно было восстановить личность субъекта без специальной информации. Если данные можно «разгадать» по косвенным признакам (например, редкая должность или уникальная дата рождения), Роскомнадзор всё равно признает их персональными.

Рекомендации и выводы

Чтобы законно обезличить персональные данные, организации нужно:

1. Определить цели обработки (например, статистика или аналитика).
2. Выбрать подходящий метод (удаление, кодирование, шифрование, агрегация).
3. Хранить ключи для восстановления личности отдельно, с ограниченным доступом.
4. Прописать порядок обезличивания в комплекте документов по 152-ФЗ.

Компания ICTech поможет вашей организации разработать порядок обезличивания ПДн, внедрить его в работу и включить в пакет документов по 152-ФЗ. Это позволит безопасно использовать данные для исследований и анализа, не нарушая требований закона.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге