Утверждены новые требования к обезличиванию персональных данных

Основные положения приказа Роскомнадзора

С 1 сентября 2025 года вступают в силу новые требования к обезличиванию персональных данных, утвержденные приказом Роскомнадзора от 19.06.2025 №140. Документ устанавливает:

1. Требования к процедуре обезличивания.

2. Методы обезличивания персональных данных.

3. Правила учета и хранения обезличенных данных.

Обезличивание - это процесс, в результате которого невозможно определить принадлежность данных конкретному субъекту без использования дополнительной информации (п.9 ст.3 закона №152-ФЗ).

Ключевые требования к обезличиванию

Операторы персональных данных обязаны:

1. Определить состав данных для обезличивания и соответствующих субъектов.

2. Оценить достаточность выбранных методов обезличивания.

3. Обеспечить невозможность определения субъекта данных без дополнительной информации.

4. Гарантировать безопасность при использовании информационных систем.

5. Исключить совместное хранение исходных и обезличенных данных.

6. Вести учет всех действий по обезличиванию.

Необходимые локальные нормативные акты

Для соответствия новым требованиям операторам необходимо разработать и утвердить:

- Порядок обработки данных, подлежащих обезличиванию

- Правила оценки достаточности методов обезличивания

- Процедуры обработки обезличенных данных

- Регламенты изменения, перемешивания и хранения данных

Важно: ЛНА должны храниться отдельно от обезличенных данных и быть недоступными третьим лицам.

Утвержденные методы обезличивания

Роскомнадзор разрешает использовать следующие методы (по отдельности или в комбинации):

1. Метод введения идентификаторов

- Замена персональных данных на коды, номера или иные обозначения

- Идентификаторы присваиваются по алгоритмам оператора

2. Метод изменения состава данных

- Изменение, искажение или удаление атрибутов данных

- Качественные и количественные преобразования

3. Метод перемешивания данных

- Перестановка значений атрибутов между собой

- Изменение порядка данных в массиве

4. Метод декомпозиции

- Разделение массива данных на части

- Раздельное хранение фрагментов данных

5. Метод преобразования массива

- Дополнительное преобразование для разрыва связей

- Применяется в сочетании с другими методами

Практические рекомендации для организаций

1. До 1 сентября 2025 года:

   - Провести аудит имеющихся персональных данных

   - Разработать необходимые ЛНА

   - Определить подходящие методы обезличивания

   - Обучить ответственных сотрудников

2. После вступления требований в силу:

   - Внедрить утвержденные процедуры

   - Организовать раздельное хранение данных

   - Наладить систему учета операций обезличивания

   - Регулярно проверять эффективность методов

3. При работе с информационными системами:

   - Обеспечить защиту данных на всех этапах

   - Реализовать контроль доступа

   - Вести журналы операций

Заключение

Новые требования Роскомнадзора к обезличиванию персональных данных требуют от организаций серьезной подготовительной работы. Особое внимание следует уделить разработке локальных нормативных актов и выбору эффективных методов обезличивания, соответствующих специфике обработки данных в конкретной организации.

Для получения дополнительной информации о применении новых требований на практике рекомендуем обратиться к специалистам по защите персональных данных.

Источник: информационная система 1С:ИТС

Заказать помощь по 1С Наши успешные кейсы