Перейти к содержанию
справочник 28 июля 2026 По состоянию на 28 июля 2026

Псевдонимизация vs обезличивание: разница

Псевдонимизация и обезличивание — два разных правовых режима обработки персональных данных по 152-ФЗ. Путаница между ними создаёт риски: псевдонимизированные данные остаются персональными данными, а значит, на оператора распространяются все требования закона.
С 2025 года обезличивание регулируется отдельной ст. 13.1 ФЗ-152 (ФЗ-233 от 08.08.2024). Методы обезличивания закреплены приказом РКН. Нарушение требований к обезличиванию для госоператоров влечёт санкции по ч. 7 ст. 13.11 КоАП.
→ Если вы юрист и выстраиваете правовую архитектуру обработки ПДн — разграничение этих режимов определяет, какие нормы 152-ФЗ применяются к вашей системе.

Два термина нередко используют как синонимы — в технической документации, договорах с подрядчиками, внутренних регламентах. Это ошибка с правовыми последствиями. Псевдонимизированные данные по-прежнему идентифицируют субъекта при наличии ключа соответствия. Обезличенные данные утрачивают связь с субъектом — при надлежащем применении методов. Разница определяет, нужно ли согласие субъекта, уведомление РКН и какие организационные меры обязателен оператор.

Что такое персональные данные и как закон определяет обезличивание?

Персональные данные по ст. 3 ФЗ-152 — любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу (субъекту персональных данных). Ключевой признак — возможность идентификации.

Обезличивание по ст. 3 ФЗ-152 — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Если это условие выполнено, данные выходят за пределы регулирования 152-ФЗ: они перестают быть персональными.

Псевдонимизация как термин в ФЗ-152 прямо не закреплена, однако используется в правоприменительной практике и технической документации. Под ней понимают замену идентифицирующих атрибутов (имя, email, телефон) на искусственный идентификатор при сохранении ключа соответствия. Такие данные остаются персональными по ст. 3 ФЗ-152: оператор, располагающий ключом, способен восстановить связь с субъектом.

«Ст. 3 ФЗ-152: обезличивание — это действия, делающие невозможным без дополнительной информации определение принадлежности данных конкретному субъекту. Псевдонимизированные данные такого эффекта не достигают — ключ соответствия сохраняется у оператора.»

Чем псевдонимизация отличается от обезличивания по правовому режиму?

Различие носит не техническое, а правовое значение. Псевдонимизированные данные подпадают под все нормы 152-ФЗ без исключения.

Псевдонимизированные данные — режим 152-ФЗ сохраняется:

  • Нужно правовое основание обработки по ст. 6 ФЗ-152 (согласие, договор, законный интерес и иные).
  • Принципы ст. 5 ФЗ-152 применяются в полном объёме: цель, минимизация, соответствие объёма целям, точность, срок хранения.
  • Субъект вправе реализовывать права по ст. 14–21 ФЗ-152: запрашивать информацию, требовать уточнения, блокирования, уничтожения.
  • Оператор обязан принимать технические и организационные меры по ст. 19 ФЗ-152, включая определение уровня защищённости по ПП РФ №1119.
  • Уведомление РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 обязательно (если нет исключений).

Обезличенные данные — режим 152-ФЗ не применяется (при надлежащем обезличивании):

  • Согласия субъекта не требуется.
  • Уведомление РКН в части обезличенных данных не нужно.
  • Права субъекта по ст. 14–21 не распространяются.
  • Ограничения по трансграничной передаче по ст. 12 ФЗ-152 не применяются.
  • Требования к локализации по ч. 5 ст. 18 ФЗ-152 на обезличенные данные не распространяются.

Нужно разграничить режимы обработки в вашей системе?

Если юрист компании выстраивает правовую архитектуру и выясняет, какие данные остаются персональными после псевдонимизации, — это часть аудита соответствия 152-ФЗ. Неверная квалификация режима означает пробел в правовых основаниях обработки по ст. 6 и риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ за первичное нарушение). Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие методы обезличивания признаются законными по 152-ФЗ?

С 2025 года обезличивание регулируется отдельно. ФЗ-233 от 08.08.2024 ввёл в ФЗ-152 ст. 13.1, установившую правовую основу для обработки обезличенных данных, в том числе их передачи в Единую информационную платформу национальной системы управления данными (ЕИП НСУД) по требованию Минцифры.

Приказ РКН закрепил пять методов обезличивания, признаваемых методологически допустимыми:

  • Введение идентификаторов — замена прямых идентификаторов на искусственные без сохранения таблицы соответствия.
  • Изменение состава и семантики — удаление или замена атрибутов, которые позволяют идентифицировать субъекта.
  • Декомпозиция — разбиение датасета на части, каждая из которых не позволяет идентифицировать субъекта.
  • Перемешивание — изменение порядка записей с разрывом связей между атрибутами.
  • Обобщение и агрегация — замена точных значений диапазонами или агрегированными показателями.

Ключевой критерий: после применения метода оператор не должен располагать информацией, позволяющей восстановить связь с субъектом. Если такая информация сохраняется у оператора или третьего лица — данные остаются персональными независимо от применённого метода.

Что проверить при квалификации данных как обезличенных

  • Отсутствует таблица соответствия (ключ) между псевдонимом и реальным идентификатором субъекта.
  • Применён один из пяти методов, признанных приказом РКН.
  • Ни оператор, ни связанные лица не располагают дополнительной информацией, позволяющей идентифицировать субъекта.
  • Процедура обезличивания задокументирована: метод, дата, ответственный, перечень атрибутов.
  • Обезличенные данные хранятся отдельно от исходных персональных данных (если исходные не уничтожены).

Когда псевдонимизация применяется на практике и что требует закон?

Псевдонимизацию используют в ситуациях, когда оператору нужно снизить риск компрометации данных, сохраняя при этом возможность обратного преобразования: тестирование информационных систем, аналитика на обезличенных выборках с последующей персонализацией, передача данных внутри группы компаний для обработки по поручению.

С правовой точки зрения псевдонимизация не меняет статус данных. Для неё действуют те же нормы, что для любой другой обработки персональных данных:

  • Правовое основание по ст. 6 ФЗ-152: согласие субъекта по ст. 9, исполнение договора, выполнение обязанности оператора или иное основание из перечня ч. 1 ст. 6.
  • Принципы обработки по ст. 5 ФЗ-152: цель обработки должна быть определена до начала, объём данных — соответствовать цели, срок хранения — не превышать необходимого.
  • При передаче псевдонимизированных данных третьему лицу — поручение на обработку по п. 3 ст. 6 ФЗ-152 с требованиями к содержанию договора-поручения.
  • При трансграничной передаче — уведомление РКН и соблюдение требований ст. 12 ФЗ-152.

Если правовая архитектура обработки ПДн строится на псевдонимизации без отдельного правового основания по ст. 6 ФЗ-152 — это нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Юристы DATUM соберут комплект ОРД, включая правовые основания и регламент обезличивания.

Заказать аудит 152-ФЗ

Типовые ситуации применения норм

Ситуация 1. ML-модель на клиентских данных. Компания передаёт датасет с данными клиентов (имя, возраст, история покупок) команде разработки ML-модели, заменив имя и email на числовые идентификаторы. Ключ соответствия хранится в основной базе. Данные псевдонимизированы, а не обезличены: команда разработки действует как обработчик по поручению (п. 3 ст. 6 ФЗ-152). Необходим договор-поручение с требованиями по ст. 6. При его отсутствии — риск штрафа по ч. 1 ст. 13.11 КоАП в диапазоне 150 000–300 000 ₽.

Ситуация 2. Тестирование информационной системы. Подрядчик получает копию базы клиентов для тестирования. Оператор применил метод обобщения: точные даты рождения заменены диапазонами, имена удалены, телефоны и email исключены из выгрузки, ключ соответствия не создавался. Если идентификация субъекта действительно невозможна — данные обезличены, требования 152-ФЗ к передаче не применяются. Если хотя бы один атрибут (например, уникальный идентификатор заказа) позволяет восстановить связь с субъектом через другие базы — данные остаются персональными.

Ситуация 3. Публикация аналитики. Компания публикует аналитический отчёт на основе данных пользователей: агрегированные показатели по регионам, возрастным группам, категориям товаров. Если данные агрегированы до уровня, исключающего идентификацию отдельного субъекта, — публикация не является обработкой или распространением ПДн. Если выборки малы и позволяют выделить конкретное лицо — применяется ст. 10.1 ФЗ-152 (распространение только при отдельном согласии).

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Псевдонимизация как действие с данными подпадает под это определение. Простое хранение зашифрованного файла тоже является обработкой.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 закрепляет 11 правовых оснований. Наиболее распространённые: согласие субъекта по ст. 9, исполнение договора с субъектом, выполнение возложенной на оператора обязанности, защита жизни или здоровья. Псевдонимизация данных не создаёт самостоятельного основания — нужно одно из перечисленных в ч. 1 ст. 6.

3. Что грозит за нарушение 152-ФЗ?

Основной состав — ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024), 18 частей. Обработка без правового основания — ч. 1, 150 000–300 000 ₽ для юрлица. Обработка без согласия при его обязательности — ч. 2, 300 000–700 000 ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. С 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование, передача или хранение компьютерной информации с ПДн — до 10 лет лишения свободы (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

По ст. 22 ФЗ-152 уведомление обязательно для всех операторов, кроме случаев из ч. 2 ст. 22. Исключения: обработка данных работников оператора в кадровых целях, данные членов общественных объединений, данные только с явного согласия для единовременной сделки и ряд других. Малый бизнес под автоматическое исключение не подпадает — нужно проверять каждое основание. Неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 прямо не устанавливает возрастной порог дееспособности для согласия. По общему правилу согласие дееспособного субъекта действительно с 18 лет. Для несовершеннолетних до 14 лет согласие дают родители или иные законные представители. С 14 до 18 лет практика неоднородна: ряд операторов применяет ст. 26 ГК РФ об ограниченной дееспособности. В образовательном контексте согласие на обработку ПДн несовершеннолетнего требует подписи родителя вне зависимости от возраста ребёнка.

Итог

Псевдонимизация снижает риск компрометации данных при инциденте, но не выводит оператора из-под действия 152-ФЗ. Обезличивание при надлежащем применении одного из пяти методов, закреплённых приказом РКН, освобождает от большинства требований закона — но только при отсутствии у оператора возможности обратного преобразования. Ошибочная квалификация режима создаёт пробелы в правовых основаниях обработки и основания для привлечения по ч. 1 ст. 13.11 КоАП.

Юристы DATUM специализируются на правовой архитектуре обработки ПДн: разграничение режимов, выбор оснований по ст. 6 ФЗ-152, подготовка регламентов обезличивания и комплекта ОРД под требования 2025–2026 года.

Услуги DATUM по теме

Смотрите также

АГ
Антон Громов
Аналитик · Технологии и ИБ
Аналитик DATUM по технологиям и ИБ. Специализация — УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

28 июля 2026 года