справочник 14 мая 2027 По состоянию на 14 мая 2027

Псевдонимизация vs обезличивание: правовые различия

Псевдонимизация и обезличивание — разные правовые режимы по 152-ФЗ. Только обезличенные данные выводятся из-под действия закона; псевдонимизированные — остаются персональными данными.

С 2025 года обезличивание регулируется ст. 13.1 ФЗ-152 и отдельным приказом РКН о методах (5 методов). Путаница между понятиями ведёт к штрафу по ч. 1 ст. 13.11 КоАП — 150 000–300 000 ₽ для юрлица.

Если вы юрист и разграничиваете режимы обработки для клиента — этот справочник даёт точные определения, нормы и практические различия.

Термин «псевдонимизация» отсутствует в ФЗ-152 как самостоятельный правовой институт, тогда как обезличивание прямо поименовано в ст. 3 и ст. 13.1 закона. Это различие имеет практические последствия: данные, замененные на псевдоним, продолжают квалифицироваться как персональные, что означает полное применение требований ФЗ-152 — согласия, политики, уведомления РКН, уровней защищённости по ПП РФ №1119. Ниже — разбор ключевых понятий, норм и типовых ошибок.

Что такое обезличивание по ст. 3 ФЗ-152?

Обезличивание — одно из 11 действий, составляющих понятие «обработка персональных данных» по ст. 3 ФЗ-152, и одновременно самостоятельный термин: это действия, в результате которых становится невозможным определить принадлежность данных конкретному субъекту без использования дополнительной информации.

«Ст. 3 ФЗ-152: обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.»

Ключевое слово — «без использования дополнительной информации». Если такая информация существует и хранится у оператора или третьего лица, данные де-юре не считаются обезличенными в полном смысле. Это разграничение принципиально для понимания псевдонимизации.

С 2025 года ст. 13.1 ФЗ-152 (введена ФЗ-233 от 08.08.2024) устанавливает специальные правила для обезличенных данных: оператор-юрлицо обязан применять методы обезличивания, утверждённые приказом РКН. Регулятор закрепил пять методов: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение и агрегация. Точный номер приказа и дата регистрации в Минюсте подлежат верификации перед использованием в процессуальных документах.

Что такое псевдонимизация и где она упоминается в российском праве?

Псевдонимизация — замена прямых идентификаторов (ФИО, СНИЛС, номер телефона) условными обозначениями (псевдонимами, токенами, хэшами) при сохранении возможности обратного сопоставления через таблицу соответствия или ключ. Термин широко используется в GDPR (ст. 4(5)), технических стандартах и отраслевых методологиях, однако в ФЗ-152 он отсутствует.

Российский регулятор последовательно квалифицирует псевдонимизированные данные как персональные: если оператор или связанное лицо способны восстановить идентичность субъекта, принципы ст. 5 ФЗ-152 применяются в полном объёме. Это означает:

необходимость правового основания обработки по ст. 6 ФЗ-152 (согласие или иное из 11 оснований);
применение требований ст. 9 к форме и содержанию согласия (отдельный документ с 01.09.2025 по ФЗ-156);
обязанность уведомить РКН о намерении обрабатывать по ст. 22 ФЗ-152;
необходимость обеспечить уровень защищённости УЗ-1…УЗ-4 по ПП РФ №1119 в зависимости от категории и объёма данных.

«Ст. 5 ФЗ-152: обработка персональных данных должна осуществляться на законной и справедливой основе, ограничиваться конкретными, заранее определёнными целями, не превышать объём, необходимый для достижения этих целей.»

Нужно разграничить режимы обработки в документах клиента?

Типовая ошибка в ОРД — описать псевдонимизацию как обезличивание и снять с системы требования по уровням защищённости. РКН при проверке квалифицирует это как нарушение ст. 19 ФЗ-152 и ч. 1 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

В чём ключевые правовые различия между псевдонимизацией и обезличиванием?

Различия носят не технический, а правовой характер. Разберём по критериям:

Статус данных по ФЗ-152. Обезличенные данные — за пределами действия ФЗ-152 при условии реального отсутствия возможности идентифицировать субъекта. Псевдонимизированные — персональные данные в полном смысле ст. 3 ФЗ-152.

Требование правового основания. Для обезличенных данных после обезличивания ст. 6 не применяется. Для псевдонимизированных — одно из 11 оснований ст. 6 обязательно на каждом этапе обработки.

Согласие субъекта. Обезличенные данные: согласие по ст. 9 не нужно после завершения обезличивания. Псевдонимизированные: согласие требуется, если иное основание не предусмотрено ст. 6.

Уведомление РКН. Ст. 22 ФЗ-152 устанавливает ряд исключений из обязанности уведомления, в том числе для обезличенных данных. Псевдонимизация таким исключением не является — уведомление обязательно.

Ответственность при утечке. Утечка обезличенных данных, которые невозможно реидентифицировать, не образует состава ч. 12–14 ст. 13.11 КоАП. Утечка псевдонимизированных данных — образует, поскольку данные остаются персональными.

Регулирование методов. Методы обезличивания закреплены приказом РКН (5 методов по ст. 13.1 ФЗ-152). Методы псевдонимизации законом не регламентированы — оператор выбирает их самостоятельно, но это не влияет на правовой статус данных.

Что проверить при классификации данных как обезличенных

Применён один из пяти методов, утверждённых приказом РКН (ст. 13.1 ФЗ-152).
Таблица соответствия (ключ реидентификации) уничтожена или недоступна оператору и аффилированным лицам.
В технической документации и ОРД нет указания на возможность восстановления идентичности субъекта.
Внутренние акты не описывают процедуру «разобезличивания» — это автоматически переводит данные в псевдонимизированные.
Политика обработки ПДн разграничивает массивы обезличенных и псевдонимизированных данных.

Как применяются эти понятия на практике?

Сценарий 1. ML-модель на данных пользователей. IT-компания заменяет user_id на случайный токен перед передачей датасета в модель. Таблица соответствия хранится в БД оператора. Ситуация: данные псевдонимизированы, ФЗ-152 применяется в полном объёме. Доказательства: ст. 3 ФЗ-152 — принадлежность данных конкретному субъекту восстановима через таблицу. Исход: обработка без надлежащего основания по ст. 6 — риск ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Стратегия: либо уничтожить таблицу соответствия и зафиксировать обезличивание актом, либо оформить правовое основание обработки (согласие или иное) и применить меры защиты по УЗ.

Сценарий 2. Аналитика в BI-системе. Ритейлер агрегирует данные о покупках: убирает ФИО, адрес, телефон, оставляет только суммы и категории товаров без каких-либо идентификаторов. Ситуация: при реальной невозможности реидентификации — обезличивание по ст. 3 ФЗ-152. Доказательства: применён метод обобщения/агрегации из приказа РКН, таблица соответствия не существует. Исход: ФЗ-152 на этот массив не распространяется. Стратегия: зафиксировать в ОРД применённый метод, утвердить регламент обезличивания по ст. 13.1.

Сценарий 3. Передача данных подрядчику на аналитику. Оператор хеширует email перед передачей, но подрядчик знает алгоритм хеширования и имеет исходный список адресов. Ситуация: хеш не обеспечивает обезличивание — подрядчик способен восстановить соответствие. Исход: передача квалифицируется как поручение обработки персональных данных по п. 3 ст. 6 ФЗ-152 — требуется договор поручения с перечнем действий и мер защиты. Стратегия: заключить соглашение об обработке по поручению, включить в договор требования по ст. 19 ФЗ-152 и ПП РФ №1119.

Если в ОРД клиента псевдонимизация описана как обезличивание — это основание для предписания РКН. Юристы DATUM соберут корректный комплект документов и устранят несоответствие до проверки.

Собрать ОРД под ключ

Частые вопросы

1. Является ли хеш email-адреса обезличенными данными по ФЗ-152?

Нет, если оператор или связанное лицо способны восстановить соответствие между хешем и исходным адресом. По ст. 3 ФЗ-152 обезличивание — это действия, исключающие возможность определить принадлежность данных конкретному субъекту без дополнительной информации. Хеш-функция обратима при наличии исходного массива или словарной атаки. Данные остаются персональными, ФЗ-152 применяется полностью.

2. Нужно ли согласие субъекта на обезличивание его данных?

Обезличивание само по себе является одним из видов обработки по ст. 3 ФЗ-152, а значит, для его проведения нужно правовое основание по ст. 6. Как правило, это уже имеющееся согласие на обработку или иное основание, в рамках которого обезличивание предусмотрено как действие. После завершения обезличивания (при реальной невозможности реидентификации) дальнейшая работа с данными выходит за пределы ФЗ-152.

3. Как РКН квалифицирует псевдонимизированные данные при проверке?

РКН последовательно квалифицирует псевдонимизированные данные как персональные. Если оператор не может доказать полную невозможность реидентификации (применение методов по ст. 13.1, уничтожение ключа соответствия), инспектор рассматривает данные как персональные и проверяет наличие оснований обработки, согласий, политики и уведомления в реестре по ст. 22 ФЗ-152.

4. Какие методы обезличивания признаются законными по ФЗ-152?

Ст. 13.1 ФЗ-152 (введена ФЗ-233 от 08.08.2024) обязывает операторов применять методы, утверждённые приказом РКН. Регулятор закрепил пять методов: введение идентификаторов, изменение состава и семантики данных, декомпозиция, перемешивание, обобщение и агрегация. Применение нестандартного метода, не включённого в приказ, не гарантирует признания данных обезличенными при проверке.

Итог

Псевдонимизация и обезличивание различаются по единственному, но принципиальному критерию: возможности реидентификации субъекта. Если она существует — данные персональные, ФЗ-152 применяется в полном объёме. Только методы, закреплённые в приказе РКН по ст. 13.1 ФЗ-152, при реальном уничтожении ключа соответствия дают правовой результат обезличивания.

Практика DATUM по сопровождению IT-операторов и разработчиков фиксирует устойчивую ошибку: токенизация и хеширование описываются в ОРД как обезличивание, что снимает с систем требования по уровням защищённости. При проверке РКН это квалифицируется как нарушение ст. 19 ФЗ-152.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка классификации данных, ОРД, уровней защищённости
Комплект ОРД под ключ — разграничение режимов обезличивания и псевдонимизации в документах
DPO-аутсорсинг — ведение функции ответственного за обработку ПДн по ст. 22.1 ФЗ-152

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и ИБ. Специализация — уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

14 мая 2027 года