Обезличивание персональных данных: новые подходы (комментарий к изменениям Федерального закона «О персональных данных» вступающим в силу с 1 сентября 2025 года)

1. Для начала рассмотрим правовые аспекты обезличивания персональных данных, как их определяет действующая сегодня редакция Федерального закона «О персональных данных».

1.1. Понятийный аппарат
а) Согласно ст. 3 Федерального закона «О персональных данных» (далее - Закон) устанавливается следующий понятийный аппарат:

• персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

б) Относительно недавно в действующую редакцию Закона введено понятие «персональные данные, полученные в результате обезличивания» - см. ч. 3.1 ст. 4 (введена Федеральным законом от 14.07.2022 № 266-ФЗ); ч. 9.1 ст. 6 (введена Федеральным законом от 02.07.2021 № 331-ФЗ) и ст. 13.1 (введена Федеральным законом от 08.08.2024 г. № 233-ФЗ). Это понятие с точки зрения правового режима приравнивает персональные данные, полученные в результате обезличивания, к необезличенным персональным данным.

Таким образом, в текущей редакции Закона устанавливается следующее:

• обезличивание персональных данных является одним из способов обработки персональных данных. Этот способ не является мерой защиты (обеспечения безопасности) персональных данных, требования к реализации которых установлены ст. 19 Закона;
• Закон прямо устанавливает, что персональные данные, подвергнутые обезличиванию, продолжают оставаться персональными данными со всеми вытекающими последствиями. В том числе это обуславливается тем, что обезличенные данные продолжают быть косвенно связанными с субъектом персональных данных и при использовании дополнительной информации обезличенные данные могут быть полностью восстановлены (деобезличены) и связаны с определённым субъектом персональных данных.

В связи с изложенным, на обезличенные персональные данные в полном объёме распространяется правовой режим, установленный Законом в отношении обработки и защиты необезличенных персональных данных. В том числе это касается необходимости выполнения в полном объеме в отношении обезличенных персональных данных мер защиты, предусмотренных ст. 19 Закона.

1.2. В каких случаях операторы имеют право обезличивать персональные данные и обрабатывать обезличенные персональные данные?
Закрытый набор случаев, когда допускается обезличивание/обработка обезличенных персональных данных установлен ч. 1 ст. 6 Закона, к ним относятся:

• обработка в статистических или иных исследовательских целях (п. 9);
• обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления (п. 9.1);
• обработка в целях экспериментальных правовых режимов, установленных федеральными законами от 24.04.2020 № 123-ФЗ и от 31.07.2020 № 258-ФЗ (п. 9.1).

Целесообразно также отметить, что согласно постановлению Правительства РФ от 21 марта 2012 г. № 211 (распространяется на государственные и муниципальные органы) обезличивание персональных данных этими органами может осуществляться не по желанию соответствующего оператора, а только в случаях, установленных нормативными правовыми актами Российской Федерации.

Важное замечание:
Метод обработки персональных данных, который позволяет преобразовать персональные данные в анонимные, т.е. не связанные с идентифицированным или идентифицируемым физическим лицом, называется «анонимизация» персональных данных. Персональные данные, подвергнутые анонимизации перестают быть персональными данными и на них не распространяется правовой режим, установленный в отношении персональных данных. Однако в настоящее время методы анонимизации персональных данных в Российской Федерации не разработаны и, соответственно, не введены в действие на уровне законодательства. Таким образом, обезличивание персональных данных и их анонимизация это разные понятия.

1.3. Кто устанавливает требования к обезличиванию персональных данных и методам их обезличивания?
Согласно Закону требования к обезличиванию персональных данных и методам их обезличивания устанавливаются:

• Правительством Российской Федерации - при обработке персональных данных в случае, предусмотренном п. 9.1, ч. 1, ст. 6 Закона (см. ч. 3 ст. 13.1 Закона);
• Роскомнадзором - при обработке персональных данных в случае, предусмотренном п. 9, ч. 1, ст. 6 Закона (см. ч. 12 ст. 23 Закона).

2. Порядок обезличивания и использования «составов» обезличенных персональных данных, осуществляемого в целях повышения эффективности государственного или муниципального управления, вводимый с 1 сентября 2025 г.

2.1. Новеллы законодательства в отношении обезличивания персональных данных
Восьмого августа 2024 года подписан Федеральный закон № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных».

Согласно вносимым этим законом изменениям, глава 1 Закона «О персональных данных» дополнена новой статьёй 13.1 «Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним». Требования этой статьи должны вступить в силу с 1 сентября 2025 года.

Статья 13.1 Закона и принятые в соответствии с ней нормативные правовые акты устанавливают порядок обработки (обезличивания) персональных данных в случае, предусмотренном п. 9.1, ч. 1, ст. 6 Закона.

Эта статья вводит порядок формирования «составов» персональных данных и порядок доступа к ним. Заявленной целью формирования этих «составов» являются повышение эффективности государственного и муниципального управления, а также содействие развитию искусственного интеллекта и цифровой экономики.

Что такое «состав» персональных данных? Это понятие определяется как: «составы персональных данных, полученных в результате обезличивания персональных данных, сгруппированные по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных».

В настоящее время установлено, что «составы» персональных данных, полученных в результате обезличивания, могут формироваться Минцифрой России в следующих случаях:

• при угрозе возникновения или возникновении чрезвычайных ситуаций природного и техногенного характера;
• при выработке и реализации государственной политики в области противодействия терроризму;
• при введении чрезвычайного положения на всей территории Российской Федерации или в ее отдельных местностях;
• при введении ограничительных мероприятий (карантина) на территориях субъектов Российской Федерации;
• при проведении статистических или иных исследований в целях выработки и реализации государственной политики в сфере туризма;
• при проведении исследований в экономической и социальной сферах в целях реализации государственной миграционной политики;
• при проведении статистических, научных или иных исследований в области обеспечения санитарно-эпидемиологического благополучия населения.

Эти «составы» могут формироваться из персональных данных, обрабатываемых любыми операторами, по требованию, направляемому Минцифрой России соответствующим операторам персональных данных.

Операторы персональных данных после получения такого требования будут обязаны:

• сформировать массив персональных данных, необходимый для формирования «состава» путем их обезличивания в соответствии с требованиями к обезличиванию персональных данных, методами обезличивания и порядком обезличивания, которые устанавливаются Правительством Российской Федерации по согласованию с ФСБ России. Обезличивание персональных данных должно будет осуществляться оператором с использованием безвозмездно предоставляемой Минцифрой России программы, реализующей методы обезличивания;
• предоставить сформированный пакет обезличенных данных в специальную государственную информационную систему (ГИС), создаваемую Минцифрой России.
• Минцифра России после поступления от операторов пакета персональных данных, полученных в результате их обезличивания, формирует «составы» данных в специально создаваемой ГИС, в соответствии с порядком, устанавливаемым Правительством Российской Федерации по согласованию с ФСБ России.

Доступ к сформированным в этой ГИС «составам» для их использования (обработки) будет предоставляться государственным органам и подведомственным им организациям, муниципальным органам и подведомственным им организациям, органам государственных внебюджетных фондов, юридическим лицам и гражданам Российской Федерации с учётом ограничений и сроков, установленных этой статьёй.

Устанавливается, что обработка этих «составов» может производиться только в упомянутой ГИС Минцифры России.

2.2. Комплекс новых подзаконных актов, регламентирующих порядок обезличивания
Для практической реализации перечисленных нововведений уже разработан пакет подзаконных актов, вступающих в силу с 1 сентября 2025 г., к ним относятся:

• Постановление Правительства Российской Федерации от 28 мая 2025 г. № 740 «О государственной информационной системе федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, указанной в статье 13.1 Федерального закона «О персональных данных»;
• Постановление Правительства Российской Федерации от 24 апреля 2025 г. № 538 «Об утверждении перечня случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных»;
• Постановление Правительства Российской Федерации от 26 июня 2025 г. № 961 «О формировании составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, и предоставлении доступа к составам таких данных»;
• Постановление Правительства Российской Федерации от 26 июня 2025 г. № 966 «Об утверждении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы, определенной в соответствии с частью 2 статьи 13.1 Федерального закона «О персональных данных», и информационных систем операторов»;
• Постановление Правительства Российской Федерации от 22 мая 2025 г. № 702 «О правилах проверки пользователей ГИС для обработки обезличенных персональных данных»;
• Постановление Правительства Российской Федерации от 1 августа 2025 г. № 1154 «Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных»;
• Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 июня 2025 г. №140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».