Что изменится в обработке персональных данных с 1 сентября?

Официально опубликован приказ Роскомнадзора от 19.06.2025 № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9-1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Какие изменения скрывает приказ №140? Разобрали новые правила обезличивания

1. В соответствии с приказом оператор обязан выполнять ряд новых требований при обезличивании персональных данных, например:

• использовать для обезличивания только те ИС и ПО, которые обеспечивают безопасность и конфиденциальность персональных данных;
• исключить совместное хранение массива ПДн, подлежащих обезличиванию, а также ПДн, полученных в результате обезличивания;
• вести учет осуществляемых действий по обезличиванию ПДн.

2. Приказ обязывает принять локальные нормативные акты по обезличиванию персональных данных, исключить доступ к этим актам, к используемым для обезличивания ИС и ПО, а также другой информации по процедуре проведения обезличивания ПДн.
3. Основные методы обезличивания, указанные в новом приказе, не отличаются от методов, установленных в приказе Роскомнадзора от 05.09.2013 № 996 (введение идентификаторов, изменение состава или семантики, перемешивание и декомпозиция).
4. Приказ вводит новый метод преобразования массива персональных данных, который можно использовать дополнительно к используемым ранее методам в целях исключения связи между атрибутами ПДн и субъектами ПДн.

Приказ № 140 вступает в силу с 1 сентября 2025 года и отменяет действие приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Также наш эксперт Анастасия Калиничева подготовила обзор нововведений в законодательстве, касающихся вопроса обезличивания ПДн.

Минцифры России опубликовали проект Постановления Правительства РФ «Об установлении требований к обезличиванию ‎персональных данных, методов и правил обезличивания персональных данных». Документ устанавливает требования к обезличиванию ПДн при получении оператором ПДн.

• Проект определяет пять методов обезличивания: метод введения идентификаторов, метод изменения состава или семантики, метод декомпозиции, метод перемешивания, метод преобразования.
• Сравнивая проект с приказом РКН от 05.09.2013 г. № 996 метод преобразования является новым методом, описанным в законодательстве.
• Также проект регламентирует порядок обезличивания ПДн оператором ПДн, получившим ‎от Минцифры России требование о предоставлении ПДн, полученных в результате обезличивания ПДн.
• В декабре 2024 года была новость, что Минцифры России планирует создать сервис сбора и обработки обезличенных геотреков абонентов от операторов мобильной связи, на основании этой новости мы можем предполагать, какие данные будут запрашиваться в первую очередь.

С 1 сентября 2025 года вступает в силу Постановление Правительства РФ от 24.04.2025 № 538.

• Постановление устанавливает перечень случаев формирования составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн.
• Случаи, определенные в данном постановлении: угроза или возникновение ЧС для защиты населения, охраны порядка, реализация политики противодействия терроризму, при введение чрезвычайного положения в РФ или ее регионах для защиты населения, охраны порядка, введение карантина в субъектах РФ для предотвращения распространения заболеваний, исследования для развития туризма и для учета туристов, исследования для реализации миграционной политики и для учета населения, исследования для прогнозирования санитарно-эпидемиологической обстановки.

Также с 1 сентября 2025 г. вступят в силу изменения в Федеральный закон от 27.07.2006 №152-ФЗ, а именно статья 13.1, в которой:

• вводится термин «составы данных» — ПДн, полученные в результате обезличивания ПДн, сгруппированные по определенному признаку, при условии, что последующая обработка таких данных не позволит определить их принадлежность конкретному субъекту ПДн;
• закреплен порядок направления Минцифры России требования о предоставлении ПДн, полученных в результате обезличивания ПДн, в ГИС ЕИП НСУД, требование должно содержать перечень ПДн и сроки их предоставления;
• закреплены действия оператора после получения требования о предоставлении ПДн;
• закреплены пользователи, имеющие доступ в ГИС ЕИП НСУД (порядок проверки соответствия пользователей требованиям, указанным в статье, устанавливается Правительством РФ по согласованию с ФСБ России):
  o государственные, муниципальные органы, органы государственных внебюджетных фондов и подведомственные им организации;
  o граждане РФ и российские юридические лица, которые соответствуют указанным в статье требованиям.
• определен порядок доступа пользователей в ГИС ЕИП НСУД;
• закреплен порядок обработки составов данных, граничные условия и порядок получения результатов обработки составов данных.

Ещё с 1 сентября 2025 года вступает в силу Постановление Правительства РФ от 28.05.2025 № 740, которое регламентирует порядок организации работы ГИС ЕИП НСУД.

Рекомендуем операторам ознакомиться подробно с изменениями в законодательстве о ПДн, а также скорректировать свои организационно-распорядительные документы в части обезличивания и взаимодействия с Минцифры России.