Можно ли хранить обезличенные данные без согласия субъекта?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, обезличенные персональные данные могут храниться и использоваться без согласия субъекта. Это связано с тем, что после обезличивания данные перестают относиться к конкретному физическому лицу и не подпадают под действие ограничений, установленных для обработки персональных данных. Однако есть важные условия: обезличивание должно быть выполнено корректно, а оператор обязан доказать, что по этим данным нельзя установить личность субъекта.

Что это значит на практике:

- компания вправе хранить обезличенные данные для статистики, аналитики, научных и исследовательских целей;
- согласие субъекта не требуется, если данные невозможно «сопоставить» с конкретным человеком;
- если обезличивание формальное (например, удалили только фамилию, но оставили паспортные данные), то это всё ещё ПДн, и согласие будет необходимо.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — обезличивание определяется как действия, делающие невозможным без использования дополнительной информации определить принадлежность данных конкретному субъекту.
• Ст. 5, ч. 7 ФЗ-152 — допускается хранение ПДн в обезличенной форме после достижения целей обработки.
• Ст. 6, ч. 1, п. 11 ФЗ-152 — согласие субъекта не требуется, если данные используются для статистических и исследовательских целей при условии их обязательного обезличивания.
• Ст. 13.11 КоАП РФ — нарушение требований обработки и хранения ПДн влечёт штраф.

Позиция Роскомнадзора и примеры

Роскомнадзор подчёркивает, что обезличенные данные не являются персональными и могут использоваться без согласия, если обезличивание действительно исключает идентификацию личности. В одной из проверок оператор заявил, что данные клиентов «обезличены», однако в выборке сохранялись адреса электронной почты. РКН указал, что такой набор по-прежнему относится к ПДн.

Другой пример: образовательная организация сохраняла обезличенные анкеты выпускников для статистики трудоустройства. Проверка подтвердила законность такого подхода, так как восстановить личность выпускников было невозможно.

Важный момент

Хранение обезличенных данных без согласия допустимо только в том случае, если оператор способен подтвердить, что процесс обезличивания выполнен корректно. Для этого желательно использовать методы, закреплённые во внутренних регламентах, и оформлять акты об обезличивании.

Рекомендации и выводы

Да, хранить обезличенные данные можно без согласия субъекта, если:

1. Данные действительно исключают возможность идентификации личности.
2. У компании есть процедура и документы, подтверждающие факт обезличивания.
3. Обезличенные сведения используются строго для статистики, исследований или аналитики.
4. В комплекте документов по 152-ФЗ закреплён порядок обезличивания и хранения таких данных.

Компания ICTech поможет вашей организации разработать регламенты по обезличиванию ПДн, подготовить акты и встроить процесс в пакет документов по ФЗ-152. Это позволит безопасно использовать обезличенные данные и снизить риски претензий со стороны Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге