Перейти к содержанию
справочник 9 сентября 2026 По состоянию на 9 сентября 2026

Обезличенные ПДн по ст. 13.1 152-ФЗ

Обезличенные персональные данные — сведения, из которых невозможно без дополнительной информации установить принадлежность конкретному субъекту. Ст. 13.1 ФЗ-152 введена ФЗ-233 от 08.08.2024 и регулирует обезличивание как самостоятельный режим обработки ПДн.
С 2025 года операторы, передающие обезличенные ПДн в государственные информационные системы по требованию Минцифры, обязаны соблюдать утверждённые методы обезличивания. Нарушение режима обезличивания квалифицируется по ч. 7 ст. 13.11 КоАП.
Если вы юрист и проверяете комплаенс компании — ниже разбор понятийного аппарата, правовых оснований и рисков применительно к ст. 13.1 ФЗ-152. → Оценить риски по 152-ФЗ

Регулирование обезличенных ПДн до 2024 года оставалось пробелом в ФЗ-152: закон упоминал обезличивание как допустимый способ прекращения обработки, но не устанавливал методов или требований к результату. ФЗ-233 от 08.08.2024 заполнил этот пробел, введя ст. 13.1 и установив, что оператор обязан применять конкретные методы обезличивания, утверждённые регулятором. Для юриста, проверяющего комплаенс, это означает новый раздел в аудите: наличие регламента обезличивания, соответствие применяемых методов приказу РКН, порядок передачи обезличенных данных в ЕИП НСУД.

Что такое обезличивание ПДн и чем оно отличается от анонимизации?

Обезличивание — действия, в результате которых из набора данных становится невозможным без применения дополнительной информации определить принадлежность ПДн конкретному субъекту. Определение закреплено в ст. 3 ФЗ-152 как один из видов обработки персональных данных.

«Ст. 3 ФЗ-152 включает обезличивание в перечень действий, составляющих обработку ПДн. Обезличенные ПДн — данные, не позволяющие без дополнительной информации идентифицировать субъекта.»

Ключевое разграничение: обезличивание обратимо — существует «ключ» (дополнительная информация), позволяющий восстановить связь с субъектом. Анонимизация необратима — идентификация субъекта исключена технически и организационно. Анонимизированные данные выходят из-под действия ФЗ-152, обезличенные — нет: они по-прежнему считаются ПДн и требуют соблюдения принципов ст. 5 ФЗ-152.

Это различие критично для юриста при проверке ML-проектов и аналитических систем: если разработчик называет данные «анонимными», необходимо убедиться, что идентификация субъекта действительно невозможна, а не просто затруднена. В противном случае правовой режим ПДн сохраняется в полном объёме.

Какие методы обезличивания установлены регулятором?

Ст. 13.1 ФЗ-152, введённая ФЗ-233, обязала оператора применять методы обезличивания, утверждённые уполномоченным органом. Регулятор — Роскомнадзор — утвердил пять методов обезличивания в подзаконном акте (приказ РКН, реквизиты акта уточняйте в актуальной редакции на rkn.gov.ru).

«Пять методов обезличивания по приказу РКН: введение идентификаторов (замена прямых идентификаторов псевдонимами), изменение состава и семантики (удаление или замена отдельных атрибутов), декомпозиция (разделение набора данных на части без возможности их совместного использования), перемешивание (изменение порядка значений), обобщение и агрегация (замена точных значений диапазонами или групповыми показателями).»

Выбор метода зависит от целей последующей обработки. Введение идентификаторов (псевдонимизация) сохраняет аналитическую ценность данных, но требует строгого контроля над «ключом». Агрегация и обобщение применимы для статистических задач, где индивидуальные атрибуты не нужны. Декомпозиция используется при необходимости разграничить доступ нескольких систем к разным фрагментам набора.

Для юриста при аудите важно проверить: закреплён ли выбранный метод во внутреннем регламенте, соответствует ли он утверждённому перечню, есть ли порядок хранения «ключа» при псевдонимизации и кто имеет к нему доступ.

Обнаружили пробел в регламенте обезличивания?

Если юрист при проверке комплаенса не находит в ОРД регламента обезличивания или применяемые методы не соответствуют приказу РКН — это нарушение ст. 13.1 ФЗ-152 и основание для предписания при проверке Роскомнадзора. Устранить нарушение после начала проверки сложнее: РКН оценивает состояние документации на дату проверки, а не на дату получения предписания. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как ст. 13.1 связана с принципами обработки ПДн из ст. 5 ФЗ-152?

Обезличивание прямо предусмотрено ст. 5 ФЗ-152 как один из способов исполнения принципа хранения данных не дольше, чем необходимо для достижения целей обработки. Оператор обязан уничтожить или обезличить ПДн, когда цель достигнута или отпала необходимость в их обработке.

«Ст. 5 ФЗ-152 — принцип ограничения хранения: ПДн не могут храниться дольше, чем требует цель их обработки. По достижении цели оператор обязан уничтожить данные или обезличить их в срок, установленный законом или договором.»

На практике это означает: обезличивание — не опция, а обязанность в случаях, когда уничтожение данных технически невозможно (например, резервные копии) или нецелесообразно (аналитика при удалении учётной записи пользователя). Если оператор оставляет в системе ПДн за пределами срока хранения без обезличивания — нарушение ст. 5 ФЗ-152, фиксируемое при проверке РКН.

Принцип ст. 6 ФЗ-152 о правовых основаниях обработки распространяется и на обезличивание: оно само по себе является обработкой ПДн и должно иметь правовое основание — согласие субъекта по ст. 9 ФЗ-152 либо иное из одиннадцати оснований ст. 6. Разграничение целей обработки и цели обезличивания должно быть отражено в политике оператора по ч. 2 ст. 18.1 ФЗ-152.

Какова ответственность за нарушение требований обезличивания?

Ч. 7 ст. 13.11 КоАП устанавливает ответственность за невыполнение государственным органом — оператором ПДн — обязанности по обезличиванию либо за несоблюдение требований и методов обезличивания. Санкция по ч. 7 предусмотрена для должностных лиц; для юридических лиц применяются иные части ст. 13.11 в зависимости от конкретного нарушения.

«Ст. 13.11 ч. 7 КоАП — невыполнение государственным оператором обязанности по обезличиванию ПДн или несоблюдение установленных методов. Санкция — для должностных лиц. Редакция действует с 30.05.2025 (ФЗ-420 от 30.11.2024).»

Для коммерческих операторов нарушение режима обезличивания квалифицируется иначе: если данные, которые должны были быть обезличены, оказались обработаны или переданы без надлежащего обезличивания — это обработка ПДн с нарушением требований закона по ч. 1 ст. 13.11 КоАП (штраф 150 000 — 300 000 ₽ для юрлиц в редакции с 30.05.2025). При повторности — ч. 1.1 (300 000 — 500 000 ₽).

Если в результате ненадлежащего обезличивания произошла утечка данных, позволяющая идентифицировать субъектов, — дополнительно применяются ч. 12–14 ст. 13.11 КоАП: от 3 до 15 млн ₽ в зависимости от числа затронутых субъектов. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Если юрист выявил, что обезличивание в компании не регламентировано или применяются нестандартные методы — это основание для штрафа при первой же проверке РКН. Юристы DATUM соберут документальный пакет ОРД и регламент обезличивания под требования ст. 13.1 ФЗ-152.

Заказать аудит 152-ФЗ

Типовые ситуации: как нарушения по ст. 13.1 выявляются на практике

Ситуация 1. Аналитический отдел торговой компании (Центральный ФО, осень 2025) использовал «псевдонимизированные» данные покупателей для построения предиктивных моделей. При проверке РКН выяснилось, что «ключ» для деанонимизации хранился в той же системе без разграничения доступа. Регулятор квалифицировал это как обработку ПДн без надлежащего обезличивания по ч. 1 ст. 13.11 КоАП. Штраф — в диапазоне минимального по части. После получения предписания компания выстроила отдельное хранилище ключей с журналом доступа и закрепила порядок в регламенте обезличивания.

Ситуация 2. IT-компания (Северо-Западный ФО, начало 2026) передала партнёру датасет для обучения ML-модели, полагая данные анонимными. Партнёр установил принадлежность части записей конкретным пользователям по косвенным признакам (сочетание геолокации, временных меток и категории покупок). Правовая проверка показала: применённый метод — простое удаление имени и телефона — не соответствует ни одному из пяти утверждённых методов. Передача квалифицирована как трансграничная передача ПДн без уведомления РКН по ст. 12 ФЗ-152 в совокупности с нарушением ст. 13.1. ⚠️ Конкретные номера дел и точные суммы штрафов по этим ситуациям менеджер уточняет при публикации.

Что проверить юристу при аудите режима обезличивания

  • Наличие регламента обезличивания с указанием применяемых методов из утверждённого перечня РКН
  • Разграничение хранения «ключей» деанонимизации и обезличенного массива данных
  • Отражение целей обезличивания в политике обработки ПДн по ч. 2 ст. 18.1 ФЗ-152
  • Порядок передачи обезличенных данных третьим лицам и в ЕИП НСУД (если применимо)
  • Журнал операций обезличивания и журнал доступа к «ключам» для последующей идентификации

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка ПДн — любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Перечень закреплён в ст. 3 ФЗ-152 и является открытым по существу, но обезличивание прямо включено в него. Это означает, что запуск процедуры обезличивания — уже обработка ПДн, требующая правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает одиннадцать правовых оснований обработки: согласие субъекта (п. 1), исполнение международного договора (п. 2), осуществление правосудия (п. 3), исполнение полномочий госоргана (п. 4), исполнение договора с субъектом или в его интересах (п. 5) и другие. Обезличивание как вид обработки требует одного из этих оснований. Наиболее универсальное для коммерческих операторов — согласие по ст. 9 ФЗ-152; с 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025).

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции ФЗ-420, действует с 30.05.2025) — от 30 000 ₽ (ч. 3) до оборотного штрафа 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15 при повторной утечке). Уголовная ответственность — по ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024): незаконное использование, передача, сбор или хранение компьютерной информации с ПДн; максимальное наказание по ч. 5 — до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить Роскомнадзор о намерении осуществлять обработку ПДн установлена ст. 22 ФЗ-152 для всех операторов, включая малый бизнес. Исключения перечислены в ч. 2 ст. 22: в частности, освобождены операторы, обрабатывающие ПДн только работников в рамках трудового договора или получившие данные в связи с заключением договора с субъектом. Если обработка выходит за рамки исключений — уведомление обязательно. За неуведомление с 30.05.2025 — штраф 100 000 — 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Итог

Ст. 13.1 ФЗ-152, введённая ФЗ-233 от 08.08.2024, сформировала самостоятельный правовой режим для обезличенных ПДн: установлены обязательные методы, порядок передачи обезличенных данных и ответственность за их несоблюдение. Для юриста это означает необходимость проверять не только наличие согласий и политики, но и соответствие применяемых методов обезличивания утверждённому перечню, наличие регламента и организацию хранения «ключей».

Практика DATUM охватывает аудит обезличивания в составе комплексной проверки соответствия 152-ФЗ — от анализа применяемых методов до разработки регламента и формирования пакета ОРД. Сопровождение ведётся с 2014 года в рамках сети «Ветров и партнёры».

Услуги DATUM по теме

Смотрите также

Есть вопросы по режиму обезличивания или проверке РКН?

Юристы DATUM оценят соответствие вашей компании требованиям ст. 13.1 ФЗ-152 и подготовят план устранения нарушений. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года — более 300 операторов сопровождено.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

9 сентября 2026 года