Алексей Ветров
Эксперт по защите данных IC-TECH
Да, можно. Если организация работает только с обезличенными данными, то она не является оператором персональных данных и не обязана уведомлять Роскомнадзор. Ведь обезличенные данные — это сведения, из которых невозможно определить личность без дополнительной информации, и они не подпадают под действие ФЗ-152.
Например:
статистические отчёты без ФИО и идентификаторов;
аналитика посещаемости сайта, где данные агрегированы и не позволяют установить конкретного пользователя;
обезличенные медицинские данные для научных исследований.
Но если у оператора сохраняется возможность восстановления связи с конкретным человеком (например, хранится таблица соответствия «ФИО — ID»), такие данные всё равно считаются персональными, и уведомление в Роскомнадзор требуется.
Например:
статистические отчёты без ФИО и идентификаторов;
аналитика посещаемости сайта, где данные агрегированы и не позволяют установить конкретного пользователя;
обезличенные медицинские данные для научных исследований.
Но если у оператора сохраняется возможность восстановления связи с конкретным человеком (например, хранится таблица соответствия «ФИО — ID»), такие данные всё равно считаются персональными, и уведомление в Роскомнадзор требуется.
Обоснование по законодательству
- Ст. 3 ФЗ-152, п. 6 — обезличивание персональных данных делает невозможным определение принадлежности данных конкретному субъекту.
- Ст. 6 ФЗ-152, ч. 1, п. 11 — допускает обработку обезличенных данных без согласия субъекта для статистических и исследовательских целей.
- Ст. 22 ФЗ-152 — уведомление Роскомнадзора требуется только при обработке персональных данных.
Практика проверок Роскомнадзора
- В вузе для отчётности использовались обезличенные данные студентов (без ФИО и контактной информации). Проверка подтвердила, что уведомление в Роскомнадзор не требуется.
- В другой компании заменили имена сотрудников на коды, но таблица соответствия хранилась в отделе кадров. Роскомнадзор признал такие данные персональными и обязал подать уведомление.
Важный нюанс
Если организация собирает персональные данные, а потом обезличивает их, то до момента обезличивания она считается оператором ПДн. Это значит:
- при сборе данных нужно уведомить Роскомнадзор и соблюдать ФЗ-152;
- только после полной и необратимой анонимизации они утрачивают статус персональных.
Рекомендации и выводы
Да, работать только с обезличенными данными можно без уведомления Роскомнадзора, но при условии, что идентификация человека невозможна. Чтобы исключить риски:
- Проверьте, действительно ли данные нельзя соотнести с конкретным лицом.
- Уничтожайте или надёжно защищайте ключи соответствия при псевдонимизации.
- Если хотя бы на одном этапе обрабатываются персональные данные — подайте уведомление в Роскомнадзор.
- Пропишите порядок обезличивания данных в пакете документов по 152-ФЗ, чтобы подтвердить законность ваших действий при проверке.
Компания ICTech поможет вашей организации выполнить требования ФЗ-152 по работе с обезличенными данными. Мы разработаем для вас пакет документов, который защитит компанию от штрафов и упростит взаимодействие с проверяющими органами.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
