аналитика 28 сентября 2026 По состоянию на 28 сентября 2026

Обезличивание vs псевдонимизация: правовые последствия

Обезличенные данные выведены из-под действия 152-ФЗ. Псевдонимизированные — нет: оператор сохраняет правовую ответственность в полном объёме.

С 2025 года обезличивание регулируется ст. 13.1 ФЗ-152 и отдельным приказом РКН с пятью обязательными методами. Псевдонимизация как самостоятельный термин в российском праве отсутствует, что порождает системные ошибки в ОРД.

Если вы юрист и разграничиваете режимы обработки ПДн в документах — неправильная квалификация метода обнуляет правовую защиту. → Разберём, где проходит граница.

С сентября 2025 года российское право разграничивает не два, а три режима: полноценные персональные данные, обезличенные данные (ст. 13.1 ФЗ-152) и технические псевдонимы, которые формально остаются ПДн. Для юриста, формирующего ОРД или сопровождающего ML-проект, это разграничение определяет, применяются ли требования ст. 6, ст. 9, ст. 19 ФЗ-152 и нормы Приказа ФСТЭК №21 — или нет. Ошибка в квалификации метода означает либо избыточную нагрузку (полный комплаенс там, где он не нужен), либо незащищённость (мнимое обезличивание, за которым следует ответственность по ст. 13.11 КоАП).

Что такое обезличивание по российскому праву?

Определение закреплено в ст. 3 ФЗ-152: обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Ключевое слово — «невозможным». Не «затруднённым», не «требующим значительных ресурсов», а именно невозможным при обычных условиях.

С введением ст. 13.1 ФЗ-152 (ФЗ-233 от 08.08.2024, действует с 2025 года) обезличивание приобрело нормативное содержание. Приказ РКН устанавливает пять методов: введение идентификаторов, изменение состава или семантики, декомпозиция набора данных, перемешивание записей, обобщение и агрегация. Применение иного метода — или сочетания методов, не достигающего стандарта невозможности идентификации, — не создаёт режима обезличенных данных.

«Ст. 3 ФЗ-152: обезличивание — действия, после которых определить принадлежность ПДн конкретному субъекту без дополнительной информации невозможно. Ст. 13.1 ФЗ-152 (ред. 2025): методы обезличивания утверждаются уполномоченным органом — Роскомнадзором.»

Обезличенные данные, отвечающие этому стандарту, перестают быть ПДн в юридическом смысле. К ним не применяются принципы ст. 5, требования к согласию ст. 9, нормы о правовых основаниях ст. 6, уровни защищённости по ПП РФ №1119 и меры по Приказу ФСТЭК №21. Это принципиально меняет архитектуру комплаенса для аналитических платформ, ML-систем и архивов.

Чем псевдонимизация отличается от обезличивания?

Термин «псевдонимизация» в ФЗ-152 и подзаконных актах Роскомнадзора отсутствует. Он пришёл из европейского права — GDPR определяет его как замену прямых идентификаторов псевдонимами при сохранении возможности повторной идентификации по дополнительному ключу. В российской правовой системе такой режим не имеет собственного нормативного статуса.

Псевдонимизированные данные — в терминах 152-ФЗ — остаются ПДн, поскольку идентификация субъекта возможна: у оператора или третьего лица есть ключ сопоставления. Следовательно, к ним применяются все требования закона: принципы обработки ст. 5, правовые основания ст. 6, согласие ст. 9 (если оно является основанием), меры защиты ст. 19, уведомление РКН ст. 22. Никаких исключений псевдонимизация не создаёт.

«Ст. 5 ФЗ-152: обработка ПДн должна ограничиваться конкретными, заранее определёнными и законными целями; не допускается объединение баз данных, если их цели несовместимы. Эти принципы применяются к псевдонимизированным данным в полном объёме.»

Практическое следствие: компания, передающая партнёру или ML-подрядчику данные с заменой ФИО на суррогатные идентификаторы, но с сохранением ключа у себя, передаёт ПДн. Это требует либо поручения обработки по п. 3 ст. 6 ФЗ-152 с договором, либо иного самостоятельного правового основания у получателя. Отсутствие такого оформления — нарушение ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом), штраф для юрлица 150 000 — 300 000 ₽, при повторности по ч. 1.1 — до 500 000 ₽.

Как правильно квалифицировать метод в ОРД?

Ошибка в квалификации метода обработки — одна из наиболее частых при аудите. Если в договоре с ML-подрядчиком или во внутреннем регламенте написано «передаём обезличенные данные», а фактически данные псевдонимизированы — оператор обрабатывает ПДн без надлежащего основания. Это фиксируется при плановой проверке РКН как нарушение ч. 1 ст. 13.11 КоАП. Стандартный аудит ОРД DATUM выявляет такие расхождения в 60% случаев при первичной проверке.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие правовые последствия влечёт каждый режим?

Разграничение режимов определяет набор применимых обязанностей оператора. Для юриста, формирующего ОРД или оценивающего риски, это означает следующее.

Режим 1. Полноценные ПДн. Применяются все нормы 152-ФЗ: правовые основания ст. 6, согласие ст. 9 (если выбрано как основание), специальные категории ст. 10, меры защиты ст. 19, уровни защищённости ПП РФ №1119, меры ФСТЭК (Приказ №21), уведомление РКН ст. 22, ответы субъектам в 10 рабочих дней ст. 20. Нарушения — ст. 13.11 КоАП до 500 млн ₽ (ч. 15, оборотный), ст. 272.1 УК до 10 лет (ч. 5).

Режим 2. Псевдонимизированные данные. Юридически — полноценные ПДн. Весь комплаенс режима 1 сохраняется. Единственное практическое следствие: при утечке псевдонимизированного массива без ключа фактический вред субъектам меньше, что может учитываться судом при назначении штрафа в порядке ст. 4.1 КоАП как смягчающее обстоятельство. Но это не освобождает от ответственности.

Режим 3. Обезличенные данные (ст. 13.1 ФЗ-152). Данные выведены из-под действия закона при условии применения утверждённых РКН методов и достижения стандарта невозможности идентификации. Требования ст. 5, 6, 9, 19, 22 ФЗ-152 не применяются. Передача третьим лицам — без ограничений по 152-ФЗ. Остаётся ответственность по ст. 13.1 ФЗ-152: если оператор является госорганом и не исполняет обязанность по обезличиванию или нарушает требования к методам — ответственность по ч. 7 ст. 13.11 КоАП.

Что проверить при квалификации метода

Применяется ли один из пяти методов РКН или их сочетание, достигающее стандарта невозможности идентификации
Хранится ли ключ сопоставления у оператора или доступен третьему лицу — если да, данные остаются ПДн
Включены ли условия об обезличивании или поручении обработки в договор с подрядчиком (ML, аналитика, архивация)
Отражён ли выбранный метод в политике обработки ПДн и внутренних регламентах (ст. 18.1 ФЗ-152)
Соответствует ли фактическая практика обработки тому, что задекларировано в уведомлении РКН по ст. 22 ФЗ-152

Как работает разграничение в типовых ситуациях?

Ситуация 1. ML-подрядчик получает датасет с суррогатными ID.
Ситуация: оператор заменяет ФИО и email на случайные идентификаторы, передаёт датасет внешней ML-компании для обучения модели. Ключ сопоставления хранится у оператора.
Квалификация: псевдонимизация. Данные остаются ПДн. Передача без поручения по п. 3 ст. 6 ФЗ-152 — нарушение. Штраф по ч. 1 ст. 13.11 КоАП: 150 000 — 300 000 ₽ для юрлица.
Стратегия: оформить договор поручения обработки с перечнем действий, запретом передачи третьим лицам и требованием уничтожить данные после завершения работ.

Ситуация 2. Аналитическая платформа с агрегированными отчётами.
Ситуация: оператор применяет метод обобщения и агрегации по приказу РКН, передаёт платформе только агрегированные показатели (средний возраст покупателей по городу, распределение по полу). Привязка к конкретному субъекту исключена.
Квалификация: обезличивание по ст. 13.1 ФЗ-152. Данные не являются ПДн. Нормы 152-ФЗ не применяются.
Стратегия: закрепить в политике обработки и техническом регламенте, что на выходе формируется только агрегированный массив; провести внутреннюю проверку на исключение возможности де-агрегации.

Ситуация 3. Архив кадровых данных с заменой ФИО на номер личного дела.
Ситуация: HR-система заменяет ФИО уволенных сотрудников на номер личного дела. Реестр сопоставления хранится в архиве.
Квалификация: псевдонимизация. Данные остаются ПДн. Срок хранения личного дела — 75 лет по Перечню Росархива. Все требования ст. 19 ФЗ-152 и ПП РФ №1119 сохраняются.
Стратегия: не снижать уровень защищённости ИСПДн для таких архивов; при желании снизить нагрузку — применить полноценное обезличивание по утверждённым методам с уничтожением ключа сопоставления (с учётом требований архивного законодательства).

Если в документах компании псевдонимизация квалифицирована как обезличивание — каждый такой договор создаёт основание для протокола по ч. 1 ст. 13.11 КоАП. Проверьте ОРД до плановой проверки РКН: срок включения в реестр после уведомления — 30 дней (ч. 4 ст. 22 ФЗ-152), и проверка может последовать сразу после регистрации.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. IT-компания из Приволжского ФО (осень 2025) передала аналитическому подрядчику датасет с заменой email-адресов на хэш SHA-256. Договор поручения обработки отсутствовал; в политике обработки ПДн значилось «передача обезличенных данных». При плановой проверке РКН установил, что SHA-256 хэш является обратимым при наличии словаря адресов, ключ которого хранился у оператора. Данные квалифицированы как ПДн, передача — как обработка без надлежащего основания по ч. 1 ст. 13.11 КоАП. Штраф составил сотни тысяч рублей; дополнительно компании выдано предписание переработать ОРД в течение 30 дней.

Кейс 2. Медицинская лаборатория (Северо-Западный ФО, начало 2026) внедрила обезличивание результатов анализов для внутренней аналитики методом агрегации по приказу РКН: выходные данные содержали только статистику по нозологиям без привязки к пациентам. Внутренняя аналитическая система работала с агрегатами, исходный массив ПДн хранился в отдельном контуре с УЗ-3. При внеплановой проверке РКН подтвердил соответствие применённого метода требованиям ст. 13.1 ФЗ-152; нарушений в части аналитической системы не зафиксировано. Это позволило лаборатории не распространять режим ИСПДн на аналитический контур и снизить издержки на техническую защиту.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка квалификации методов обработки, оценка ОРД, отчёт с планом устранения
Комплект ОРД под ключ — разработка политики, регламентов обезличивания, договоров поручения
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Действие может быть автоматизированным или неавтоматизированным. Важно: просмотр базы данных, содержащей ПДн, — уже обработка (извлечение). Передача данных подрядчику — тоже обработка, требующая правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 устанавливает 11 правовых оснований: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение возложенных на оператора обязанностей (п. 2), судопроизводство (п. 3) и другие. Поручение обработки третьему лицу — основание по п. 3 ст. 6 с обязательным договором. Обработка без применимого основания — нарушение ч. 1 ст. 13.11 КоАП: штраф 150 000 — 300 000 ₽ для юрлица.

3. Что грозит за нарушение 152-ФЗ?

Ответственность многоуровневая. Административная — ст. 13.11 КоАП в редакции с 30.05.2025: 18 частей, штрафы от 30 000 ₽ (ч. 3, отсутствие политики) до оборотного штрафа 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15, повторная утечка). Уголовная — ст. 272.1 УК (действует с 11.12.2024): незаконные операции с ПДн в компьютерных системах, максимум по ч. 5 — 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомление обязательно до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22: обработка исключительно в связи с трудовыми отношениями, обработка для заключения и исполнения договора с субъектом, обработка общедоступных данных и ряд других. Малый бизнес подпадает под исключения, только если его обработка строго вписывается в один из закрытых случаев. При любом сомнении — уведомить РКН: неуведомление по ч. 10 ст. 13.11 грозит штрафом 100 000 — 300 000 ₽ для юрлица.

5. С какого возраста нужно согласие на ПДн?

По ст. 9 ФЗ-152 согласие на обработку ПДн вправе давать лицо с полной дееспособностью — по общему правилу с 18 лет. За несовершеннолетних до 14 лет согласие дают законные представители (родители, усыновители, опекуны). Подростки от 14 до 18 лет могут давать согласие самостоятельно в отдельных случаях, предусмотренных законом. Для образовательных и медицинских организаций это требование критично: обработка ПДн ребёнка без согласия родителя — нарушение ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽.

Итог

Обезличивание и псевдонимизация не взаимозаменяемы. Первое выводит данные из-под действия 152-ФЗ при соблюдении требований ст. 13.1 и применении утверждённых РКН методов. Второе — техническая мера защиты, которая не меняет правового статуса данных: они остаются ПДн со всем сопутствующим комплаенсом. Ошибка в квалификации метода в ОРД создаёт скрытое нарушение, которое выявляется при первой же проверке РКН.

DATUM сопровождает операторов при разработке регламентов обезличивания, квалификации методов обработки в ML-проектах и формировании ОРД, соответствующего требованиям ст. 13.1, ст. 18.1 и ст. 22 ФЗ-152.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и ИБ. Специализация — уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

28 сентября 2026 года