Перейти к содержанию
справочник 12 марта 2027 По состоянию на 12 марта 2027

Обезличенные ПДн по ст. 13.1: 5 методов обезличивания

Обезличенные персональные данные — сведения, по которым без дополнительной информации невозможно определить конкретного субъекта. С 2025 года ст. 13.1 ФЗ-152 регулирует порядок обезличивания, а Приказ РКН устанавливает ровно 5 допустимых методов.
Нарушение установленных методов при обезличивании грозит штрафом по ч. 7 ст. 13.11 КоАП. Для операторов-госорганов применяется отдельная административная ответственность. Оба требования действуют с 01.09.2025.
Если вы юрист и проверяете комплаенс компании — убедитесь, что методы обезличивания в ОРД соответствуют перечню, утверждённому РКН. → Аудит 152-ФЗ выявит несоответствия до проверки РКН.

Ст. 13.1 ФЗ-152 введена ФЗ-233 от 08.08.2024 и вступила в силу в 2025 году. Она закрепила правовой режим обезличенных ПДн: требования к методам, условия передачи в Единую информационную платформу национальной системы управления данными (ЕИП НСУД) и основания для использования обезличенных данных в аналитических и исследовательских целях. Для юриста, сопровождающего оператора, это означает новый обязательный блок в документации и отдельный раздел аудита.

Что такое обезличенные ПДн и чем они отличаются от анонимных?

Обезличенные персональные данные — сведения, прошедшие специальную обработку, после которой принадлежность данных конкретному субъекту не может быть установлена без использования дополнительной информации. Ключевое отличие от полностью анонимных данных: обезличенные данные допускают обратное преобразование при наличии ключа или дополнительного массива. Анонимные данные такого обратного преобразования не предполагают.

По смыслу ст. 3 ФЗ-152 обезличивание — одна из операций обработки ПДн. Сами обезличенные данные выходят из-под полного режима ст. 5–11 ФЗ-152 только при условии, что обезличивание проведено методами, установленными Приказом РКН. Если метод не соответствует утверждённому перечню, данные по-прежнему считаются персональными.

Анонимные данные — сведения, из которых субъект не может быть идентифицирован ни при каких условиях. Такие данные выходят за рамки ФЗ-152 полностью. На практике граница между обезличиванием и анонимизацией размытая: РКН оценивает реальную вероятность повторной идентификации.

«Ст. 3 ФЗ-152 — обезличивание ПДн: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту.»

Каковы 5 методов обезличивания по Приказу РКН?

Приказ РКН (2025 год, точные реквизиты — верифицировать перед публикацией) утвердил исчерпывающий перечень из пяти методов. Использование иных методов не признаётся обезличиванием в смысле ст. 13.1 ФЗ-152.

Метод 1. Введение идентификаторов
Прямые идентификаторы субъекта (ФИО, номер телефона, СНИЛС) заменяются псевдонимами или техническими кодами. Ключ соответствия хранится отдельно от основного массива данных. Метод применяется при построении аналитических систем, где связь с субъектом может потребоваться позднее.
Метод 2. Изменение состава и семантики
Из набора ПДн удаляются или заменяются атрибуты, позволяющие идентифицировать субъекта: точный адрес заменяется районом, дата рождения — возрастным диапазоном, диагноз — кодом МКБ. Метод используется в медицинской аналитике и HR-отчётности.
Метод 3. Декомпозиция
Массив данных разделяется на несколько фрагментов, каждый из которых в отдельности не позволяет идентифицировать субъекта. Фрагменты хранятся в разных базах данных или у разных лиц. Реидентификация возможна только при объединении всех фрагментов.
Метод 4. Перемешивание
Значения отдельных атрибутов случайным образом переставляются между записями разных субъектов. В результате конкретный набор атрибутов перестаёт соответствовать конкретному лицу. Метод применяется при тестировании программного обеспечения на реальных массивах.
Метод 5. Обобщение и агрегация
Точные значения заменяются диапазонами или статистическими агрегатами: вместо точной суммы покупки — категория чека, вместо конкретной геолокации — квадрат карты. Метод наиболее распространён в BI-системах и публичных отчётах.

Методы обезличивания в ОРД не закреплены или не соответствуют Приказу РКН?

Если юрист при аудите обнаруживает, что политика обработки ПДн не описывает применяемые методы обезличивания, это прямое основание для предписания РКН по ч. 3 ст. 13.11 КоАП (штраф 30–60 тыс. ₽ для юрлица). Исправить документацию нужно до плановой проверки. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как применяются принципы ст. 5 ФЗ-152 к обезличенным данным?

Принципы обработки ПДн по ст. 5 ФЗ-152 — законность, конкретность целей, минимизация объёма, точность, срочность — формально не применяются к данным, прошедшим надлежащее обезличивание. Однако на практике позиция РКН более строгая: обезличенные данные считаются вышедшими из-под режима ФЗ-152 только при одновременном выполнении двух условий.

Первое условие: обезличивание проведено одним из пяти методов, утверждённых Приказом РКН. Второе условие: дополнительная информация, позволяющая провести реидентификацию, хранится отдельно и имеет самостоятельный режим защиты. Если оба условия выполнены, обезличенные данные можно передавать в ЕИП НСУД и использовать без ограничений ст. 6 ФЗ-152 по правовым основаниям. Если хотя бы одно условие нарушено — данные остаются персональными.

«Ст. 5 ФЗ-152 — принцип минимизации: состав и объём обрабатываемых ПДн должны соответствовать заявленным целям. Обезличивание — инструмент соблюдения этого принципа при аналитической обработке.»

Что подготовить юристу при внедрении обезличивания

  • Описание применяемых методов обезличивания в политике обработки ПДн (ч. 2 ст. 18.1 ФЗ-152) с указанием конкретного метода из Приказа РКН для каждой категории данных.
  • Регламент хранения ключей и дополнительной информации для реидентификации — отдельный от основного массива, с ограниченным доступом.
  • Приказ об ответственном за операции обезличивания (ст. 22.1 ФЗ-152) с описанием полномочий.
  • Протоколы тестирования применённого метода — доказательство того, что реидентификация без ключа действительно невозможна.
  • Раздел в уведомлении РКН (ст. 22 ФЗ-152) об операциях обезличивания, если они являются частью обработки.

Что грозит за нарушение требований к обезличиванию?

Административная ответственность за нарушение требований и методов обезличивания предусмотрена ч. 7 ст. 13.11 КоАП в редакции с 30.05.2025. Состав применяется в отношении операторов-госорганов, обязанных обезличивать ПДн по требованию регулятора. Для коммерческих операторов прямой специальный состав в ч. 7 не предусмотрен, однако несоответствие методов обезличивания требованиям РКН создаёт риск переквалификации данных как персональных — со всеми вытекающими последствиями по ч. 1, 2, 12–14 ст. 13.11 КоАП.

На практике наиболее распространённый сценарий: оператор передаёт массив данных третьей стороне, считая его обезличенным, но метод обезличивания не соответствует Приказу РКН. РКН при проверке квалифицирует передачу как передачу ПДн без надлежащего правового основания по ст. 6 ФЗ-152. Это влечёт штраф по ч. 1 ст. 13.11 КоАП — от 150 тыс. до 300 тыс. ₽ для юрлица, а при повторности — по ч. 1.1 от 300 тыс. до 500 тыс. ₽.

Если в переданном массиве содержатся спецкатегории ПДн по ст. 10 ФЗ-152 (медицинские данные, данные о судимости), ненадлежащее обезличивание влечёт ответственность по ч. 2 ст. 13.11 — от 300 тыс. до 700 тыс. ₽.

Если юрист выявил передачу данных с ненадлежащим обезличиванием — нужно действовать до проверки РКН. Срок реакции ограничен плановым циклом надзора и индикаторами риска РКН. Юристы DATUM соберут пакет ОРД, включая регламент обезличивания, за фиксированный срок.

Собрать ОРД под ключ

Типовые ситуации: как обезличивание применяется на практике

Ситуация 1. IT-компания, ML-модель на клиентских данных. Оператор электронной коммерции (Центральный ФО, осень 2025) передал подрядчику по ML массив транзакций с заменой ФИО на хэш-суммы. РКН при проверке установил, что хэш вычислен без соли, уникален для каждого клиента и позволяет восстановить связь с субъектом. Метод не соответствовал ни одному из пяти установленных Приказом РКН. Данные переквалифицированы как персональные, передача признана нарушением ст. 6 ФЗ-152. Оператор получил предписание и штраф в диапазоне сотен тысяч рублей по ч. 1 ст. 13.11 КоАП. После консультации юриста были применены метод введения идентификаторов с внешним ключом и метод изменения семантики для категории покупок.

Ситуация 2. Медицинская организация, аналитический отчёт. Сеть клиник (Приволжский ФО, начало 2026) подготовила публичный отчёт об эффективности лечения с агрегированными данными пациентов. Применён метод обобщения и агрегации: диагнозы — группами МКБ, возраст — пятилетними диапазонами, регион — федеральным округом. Отчёт прошёл проверку юриста на реидентификацию: для редких диагнозов в малых группах применили дополнительное подавление клеток (k-anonymity). Метод соответствует Приказу РКН, дополнительная информация для реидентификации не хранилась — данные вышли из-под режима ФЗ-152. Претензий от РКН не последовало.

Услуги DATUM по теме

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка ПДн — любое действие с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Обезличивание прямо входит в этот перечень, поэтому операции по ст. 13.1 ФЗ-152 — это тоже обработка, требующая правового основания по ст. 6 ФЗ-152 до момента выхода данных из режима персональных.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 содержит 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), выполнение обязанности оператора по законодательству (п. 2). Обезличивание в целях аналитики, как правило, проводится на основании п. 1 (согласие) или п. 7 (осуществление профессиональной деятельности оператора). После надлежащего обезличивания дальнейшее использование данных не требует отдельного основания по ст. 6 — данные перестают быть персональными.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024): от 30 тыс. ₽ (ч. 3, отсутствие политики) до 500 млн ₽ (ч. 15, оборотный штраф при повторной утечке). За ненадлежащее обезличивание, повлёкшее незаконную передачу данных, — ч. 1 ст. 13.11 (150–300 тыс. ₽ для юрлица) или ч. 2 (300–700 тыс. ₽ при спецкатегориях). Уголовная ответственность по ст. 272.1 УК (введена с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 — да, любой оператор обязан уведомить РКН до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22 ФЗ-152: обработка ПДн работников только для трудовых отношений, обработка в рамках договора с субъектом без передачи третьим лицам и ряд других. Малый бизнес подпадает под исключения чаще, но при наличии сайта с формой сбора данных, CRM или программы лояльности — уведомление, как правило, обязательно.

Итог

Ст. 13.1 ФЗ-152 и Приказ РКН (2025) закрепили исчерпывающий перечень из пяти методов обезличивания: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение и агрегация. Применение иных методов не освобождает данные от режима ФЗ-152. Для юриста, сопровождающего оператора, это означает обязательный раздел в политике обработки ПДн и отдельный регламент хранения ключей реидентификации.

Практика DATUM включает аудит методов обезличивания как отдельный модуль общего аудита соответствия 152-ФЗ, разработку регламентов по ст. 13.1 и сопровождение взаимодействия с РКН при проверках, затрагивающих аналитические системы и ML-проекты.

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и информационной безопасности. Специализация — уровни защищённости УЗ-1..4 (ПП РФ № 1119), Приказ ФСТЭК № 21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

12 марта 2027 года