Считается ли обезличенная статистика персональными данными?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Нет, обезличенная статистика не считается персональными данными, если в ней полностью исключена возможность определить конкретное физическое лицо. ФЗ-152 распространяется только на сведения, относящиеся к прямо или косвенно определяемому субъекту. Если данные обработаны так, что установить личность невозможно, они выходят за рамки регулирования закона.

Когда статистика НЕ является ПДн:

- если в отчёте отражены только обобщённые показатели (например, «30% клиентов выбрали онлайн-оплату»);
- если информация приведена в виде агрегированных массивов без привязки к конкретным лицам;
- если обезличивание исключает возможность восстановления исходных данных.

Когда статистика остаётся ПДн:

- если обезличивание формальное, и при наличии дополнительных сведений можно восстановить личность (например, набор редких признаков: «мужчина, 42 года, проживает в доме № 5, единственный пользователь тарифа»);
- если оператор хранит как «чистые» персональные данные, так и их статистическую обработку и может связать их между собой.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные — сведения, относящиеся к определяемому лицу.
• Ст. 3, п. 3.1 ФЗ-152 — обезличивание — действия, в результате которых невозможно определить принадлежность данных конкретному субъекту без использования дополнительной информации.
• Ст. 5 ФЗ-152 — обрабатываемые данные должны соответствовать целям обработки; после достижения целей данные подлежат уничтожению или обезличиванию.

Практика и позиция Роскомнадзора

Роскомнадзор в разъяснениях указывает: обезличенные данные не являются персональными. Однако если оператор хранит ключ к обратной идентификации (например, связывает статистику с исходными данными), такая информация всё ещё подпадает под ФЗ-152.

Пример: при проверке маркетинговой компании Роскомнадзор установил, что «обезличенные» данные клиентов на деле можно было связать с конкретными людьми через внутренние идентификаторы. В результате их квалифицировали как ПДн.

Важный момент для компаний

Чтобы статистика считалась не персональными данными, необходимо обеспечить реальное обезличивание:

• исключить идентификаторы (ФИО, телефоны, e-mail, IP, адреса);
• агрегировать данные по группам;
• уничтожить или надёжно хранить ключи, исключающие обратную идентификацию.

Рекомендации и выводы

Обезличенная статистика не является персональными данными, если исключена возможность идентификации личности. Чтобы работать корректно, компании нужно:

1. Правильно применять методы обезличивания (обобщение, агрегация, шифрование без возможности восстановления).
2. Установить порядок обезличивания в локальных актах.
3. Исключить хранение «ключей» для обратной идентификации, если цель — обработка только статистики.
4. Включить эти процедуры в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации разработать регламенты по обезличиванию данных, подготовить документы по ФЗ-152 и избежать ошибок при проверках Роскомнадзора.

Title: Считается ли обезличенная статистика персональными данными?
Description: Нет, если идентификация исключена. Но при хранении «ключей» или связке с исходными данными статистика продолжает считаться ПДн по ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге