аналитика 19 октября 2027 По состоянию на 19 октября 2027

Статистическая обработка ПДн: обезличивание

Обезличивание персональных данных — единственный способ использовать массивы данных для статистики и аналитики без нарушения 152-ФЗ.

С 2025 года методы обезличивания регулируются отдельным приказом РКН: пять методов, конкретные требования к результату. Нарушение порядка обезличивания при передаче данных в ЕИП НСУД влечёт административную и уголовную ответственность.

Если вы юрист компании и проверяете, может ли аналитический отдел работать с массивами ПДн без согласий субъектов, — этот разбор поможет определить правовое основание и допустимые методы.

Статистическая обработка персональных данных — типовая задача для бизнеса: оценка клиентской базы, когортный анализ, обучение моделей машинного обучения, внутренняя HR-аналитика. До 2025 года законодательство не давало чёткого ответа на вопрос, когда обезличенные данные перестают быть персональными. ФЗ-233 от 08.08.2024 и подзаконные акты РКН закрыли этот пробел. Теперь у юриста есть нормативная основа, чтобы разграничить допустимую статистическую обработку и нарушение 152-ФЗ, — но вместе с этим появилась и новая зона ответственности.

Что такое обезличивание персональных данных по 152-ФЗ?

По ст. 3 ФЗ-152 обезличивание — это действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту. Ключевое слово — «невозможно». Если оператор сохранил ключ идентификации, псевдоним или иной способ восстановить связь с субъектом, такие данные не считаются обезличенными и остаются в сфере регулирования 152-ФЗ.

Принципы обработки по ст. 5 ФЗ-152 требуют, чтобы данные хранились не дольше, чем необходимо для достижения целей обработки. Если цель — статистика, то данные в идентифицированном виде не нужны дольше, чем время формирования выборки. После этого оператор обязан либо уничтожить данные, либо провести обезличивание. Это не рекомендация, а требование закона.

Статья 13.1 ФЗ-152, введённая ФЗ-233 от 08.08.2024, устанавливает, что обезличенные персональные данные могут передаваться Министерству цифрового развития в Единую информационную платформу НСУД. Оператор при этом действует по требованию Минцифры. Важно: в этой ситуации данные уже должны быть обезличены до передачи — оператор несёт ответственность за качество обезличивания.

«Ст. 3 ФЗ-152 — обезличивание: действия, в результате которых без дополнительной информации невозможно определить принадлежность данных конкретному субъекту. Ст. 13.1 ФЗ-152 (введена ФЗ-233 от 08.08.2024) — правовое основание для работы с обезличенными ПДн, включая передачу в ЕИП НСУД.»

Какие методы обезличивания допустимы при статистической обработке?

Приказ РКН, принятый в 2025 году, закрепляет пять методов обезличивания персональных данных. Юрист обязан понимать не только их перечень, но и область применимости каждого.

Введение идентификаторов. Прямые идентификаторы (ФИО, СНИЛС, номер телефона) заменяются на условные коды. Ключ соответствия хранится отдельно, доступ к нему ограничен. Метод подходит для псевдонимизации внутри одной системы, но результат не является полностью обезличенным: при наличии ключа данные восстановимы.

Изменение состава и семантики. Из набора данных удаляются или замещаются атрибуты, позволяющие идентифицировать субъекта: дата рождения заменяется возрастной группой, адрес — районом, точная сумма дохода — диапазоном. Метод эффективен для аналитики, где точность индивидуальных записей не нужна.

Декомпозиция. Набор данных разделяется на несколько частей так, что каждая часть в отдельности не позволяет идентифицировать субъекта. Части хранятся раздельно и объединяются только для авторизованных операций. Метод применяется в распределённых аналитических системах.

Перемешивание. Значения отдельных атрибутов случайным образом переставляются между записями. Связь атрибута с конкретным субъектом разрывается, статистические распределения при этом сохраняются. Метод подходит для обучения моделей машинного обучения на данных без смещения выборки.

Обобщение и агрегация. Данные агрегируются до уровня, при котором отдельный субъект неразличим: вместо записей о конкретных покупках — суммарный объём продаж по группе. Наиболее радикальный метод обезличивания с точки зрения необратимости.

Проверяете, можно ли обрабатывать массив данных без согласий субъектов?

Ответ зависит от того, применён ли допустимый метод обезличивания и зафиксирован ли он в ОРД. Если в компании нет регламента обезличивания, статистическая обработка ведётся на правовом основании, которое не выдержит проверки РКН. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

На каком правовом основании допускается статистическая обработка ПДн?

Статья 6 ФЗ-152 устанавливает 11 правовых оснований обработки персональных данных. Для статистической обработки наиболее часто используются три из них.

Согласие субъекта (п. 1 ст. 6). Если данные собирались с явного согласия, оператор вправе обрабатывать их в том числе для статистических целей — при условии, что эта цель прямо указана в согласии. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом: включить статистическую цель в трудовой договор или оферту уже нельзя.

Публичный интерес и научные исследования. Ряд операторов (государственные органы, научные организации) вправе обрабатывать данные в обезличенном виде без согласия субъекта, если это предусмотрено специальным законом. Коммерческим компаниям это основание недоступно без специальных оговорок.

Законный интерес оператора. ФЗ-152 прямо не закрепляет «законный интерес» как самостоятельное основание, в отличие от GDPR. Попытка сослаться на него при проверке РКН, как правило, не принимается. Для коммерческой аналитики надёжным основанием остаётся согласие с явно указанной статистической целью либо полное обезличивание до начала обработки.

Принципы обработки по ст. 5 ФЗ-152 требуют, чтобы цель обработки была определена до начала работы с данными. Это означает: нельзя сначала собрать данные «на будущее», а потом решить использовать их для статистики. Цель — статистическая аналитика — должна быть зафиксирована в уведомлении РКН по ст. 22 ФЗ-152 и в локальных актах оператора.

Что подготовить для правомерной статистической обработки

Зафиксировать цель «статистическая обработка» в уведомлении РКН (ст. 22 ФЗ-152) и в политике обработки ПДн
Выбрать и задокументировать метод обезличивания из пяти, утверждённых приказом РКН
Оформить регламент обезличивания как часть пакета ОРД: порядок применения метода, ответственное лицо, контроль результата
Разграничить доступ: ключи идентификации (при методе введения идентификаторов) — отдельно от аналитической базы
Проверить согласия: если статистическая цель не указана явно, получить новые согласия по требованиям ФЗ-156 от 24.06.2025

Какие риски несёт юрист, если обезличивание проведено с нарушениями?

Если оператор заявляет, что обрабатывает обезличенные данные, но фактически они восстановимы — РКН квалифицирует это как обработку персональных данных без надлежащего правового основания. Ответственность наступает по ч. 1 ст. 13.11 КоАП: штраф для юридического лица составляет от 150 000 до 300 000 рублей (в редакции с 30.05.2025). При повторном нарушении по ч. 1.1 — от 300 000 до 500 000 рублей.

Для специальных категорий данных (ст. 10 ФЗ-152: состояние здоровья, биометрия, судимость) ставки существенно выше. Утечка данных, которые оператор считал обезличенными, но которые фактически позволяют идентифицировать субъекта, квалифицируется как утечка персональных данных. В зависимости от числа субъектов штраф составит от 3 до 15 млн рублей по ч. 12–14 ст. 13.11 КоАП. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн рублей и не более 500 млн рублей.

Уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421, действует с 11.12.2024) наступает за незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные. Если сотрудник аналитического отдела передаёт базу, которую компания считает обезличенной, а суд признаёт её содержащей ПДн — уголовный состав возможен. Максимальное наказание по ч. 5 — лишение свободы до 10 лет.

Если в компании уже ведётся аналитика на данных клиентов или сотрудников, а регламента обезличивания нет — это прямой риск по ч. 1 ст. 13.11 КоАП при ближайшей проверке РКН. До составления протокола у юриста есть время устранить нарушение. Юристы DATUM соберут ОРД под ключ, включая регламент обезличивания.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. ИТ-компания Сибирского федерального округа (весна 2025) обучала модель машинного обучения на базе транзакций клиентов. Данные не были обезличены: записи содержали телефоны и email в исходном виде. При внеплановой проверке РКН обнаружил несоответствие: в уведомлении оператора цель «обучение ML-моделей» не была указана, согласия субъектов не предусматривали такую обработку. Протокол составлен по ч. 1 ст. 13.11 КоАП. Юрист компании оспорил штраф, ссылаясь на ст. 4.1.1 КоАП (замена на предупреждение для субъектов МСП при первичном нарушении), — и добился замены. После этого компания разработала регламент обезличивания с применением метода перемешивания и зафиксировала статистическую цель в уведомлении РКН.

Кейс 2. В деле арбитражного суда Северо-Западного федерального округа (осень 2025) оператор — медицинская организация — передал обезличенную базу пациентов сторонней аналитической компании для исследования. Проверка РКН установила, что применённый метод — замена ФИО на порядковый номер без изменения прочих атрибутов (дата рождения, диагноз, адрес) — позволяет повторно идентифицировать значительную часть субъектов. Передача была признана трансграничной передачей персональных данных без соблюдения требований ст. 12 ФЗ-152. Штраф составил несколько сотен тысяч рублей; дополнительно выдано предписание об устранении нарушений в течение 30 дней.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка правовых оснований и методов обезличивания по чек-листу из 38 пунктов
Комплект ОРД под ключ — регламент обезличивания, политика обработки ПДн, приказы и журналы
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентской основе

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже хранение данных без активной работы с ними является обработкой. Статистическая аналитика входит в понятие «использование» и «систематизация». Если в базе есть идентифицируемые субъекты — 152-ФЗ применяется в полном объёме.

2. На основании чего можно обрабатывать ПДн для статистики?

Надёжное основание по ст. 6 ФЗ-152 — согласие субъекта с явно указанной статистической целью. С 01.09.2025 (ФЗ-156) согласие оформляется отдельным документом: включить его в договор или оферту нельзя. Альтернатива — полное обезличивание данных до начала статистической обработки с применением одного из пяти методов, утверждённых приказом РКН. В этом случае нормы 152-ФЗ об основаниях обработки к обезличенным данным не применяются.

3. Что грозит за нарушение 152-ФЗ при статистической обработке?

При обработке данных без надлежащего правового основания — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 рублей (с 30.05.2025). Если данные признаны ненадлежащим образом обезличенными и произошла утечка — ответственность по ч. 12–14 ст. 13.11 от 3 до 15 млн рублей в зависимости от числа субъектов. За повторную утечку применяется оборотный штраф по ч. 15 — 1–3% годовой выручки, не менее 20 млн рублей. Уголовная ответственность по ст. 272.1 УК РФ действует с 11.12.2024.

4. Нужно ли уведомлять РКН малому бизнесу при статистической обработке?

По общему правилу ст. 22 ФЗ-152 любой оператор обязан уведомить РКН о намерении обрабатывать персональные данные. Исключения перечислены в ч. 2 ст. 22 (например, данные работников для исполнения трудового договора). Статистическая обработка клиентских данных под исключения не подпадает: уведомление обязательно вне зависимости от размера компании. Цель «статистическая аналитика» должна быть прямо указана в уведомлении.

5. С какого возраста нужно согласие на обработку ПДн?

По ст. 9 ФЗ-152 согласие субъекта ПДн должно быть получено лично от него. Для лиц, не достигших 14 лет, согласие дают родители или законные представители. С 14 до 18 лет субъект даёт согласие самостоятельно, однако ряд специальных норм требует участия законного представителя. При статистической обработке данных несовершеннолетних следует исходить из более строгих требований: согласие законного представителя обязательно, пока возраст субъекта не подтверждён.

Итог

Статистическая обработка персональных данных правомерна при двух условиях: надлежащее правовое основание по ст. 6 ФЗ-152 (как правило — согласие с явно указанной целью) и применение одного из пяти методов обезличивания, утверждённых приказом РКН. Оба условия должны быть задокументированы до начала обработки. Псевдонимизация без уничтожения ключа идентификации не является обезличиванием по смыслу ст. 3 ФЗ-152 и не освобождает оператора от ответственности.

DATUM сопровождает операторов при разработке регламентов обезличивания, проверке правовых оснований статистической обработки и подготовке пакета ОРД. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и информационной безопасности. Специализация — УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.