аналитика 22 мая 2029 По состоянию на 22 мая 2029

Журнал обезличивания

Журнал обезличивания — обязательный организационный документ оператора, который применяет методы обезличивания персональных данных по требованиям ФЗ-152 и подзаконных актов РКН.

С 01.09.2025 требования к обезличиванию закреплены в ст. 13.1 ФЗ-152 и ведомственном приказе РКН (5 методов). Отсутствие журнала или нарушение методов фиксируется при проверке Роскомнадзора и даёт основание для штрафа по ст. 13.11 КоАП. Для SaaS и ML-продуктов журнал — часть технической документации, связанной с Приказом ФСТЭК №21 и ПП РФ №1119.

Если вы CTO и обезличивание в вашем продукте используется для ML или передачи данных аналитикам — проверьте, оформлен ли журнал и соответствует ли применяемый метод приказу РКН. → Оценить риски по 152-ФЗ

С 01.09.2025 ст. 13.1 ФЗ-152 действует в полную силу: оператор, применяющий обезличивание, обязан использовать один из пяти методов, утверждённых приказом РКН, и документировать каждое действие. Для IT-компаний, SaaS-платформ и команд, обучающих ML-модели на пользовательских данных, это означает конкретный технический и организационный артефакт — журнал обезличивания. В этом материале разберём, что в него входит, как он связан с уровнями защищённости УЗ-1..4 (ПП РФ №1119) и Приказом ФСТЭК №21, и какие риски создаёт его отсутствие при проверке Роскомнадзора.

Что такое журнал обезличивания и когда он обязателен?

Журнал обезличивания — это учётный документ, фиксирующий факты применения методов обезличивания к конкретным массивам персональных данных: дату операции, применённый метод, состав обезличенных полей, ответственное лицо и результат (идентификатор обезличенного набора данных). Требование вести такой журнал прямо не названо единственной нормой, но вытекает из совокупности обязательств оператора по ст. 18.1 ФЗ-152 (обязанность документировать меры обеспечения) и ст. 13.1 ФЗ-152 (регулирование обезличивания с 2025 года).

Обязательность журнала возникает в трёх практических сценариях. Первый — оператор использует обезличивание как правовое основание для дальнейшей обработки данных без согласия субъектов (например, для статистики или аналитики). Второй — данные передаются в обезличенном виде подрядчику или партнёру по поручению (ст. 6 ч. 3 ФЗ-152). Третий — обезличивание применяется для снижения уровня защищённости ИСПДн: переход с УЗ-2 на УЗ-3 или с УЗ-3 на УЗ-4 путём исключения возможности идентификации субъектов.

Для ML-команд журнал — это ещё и внутренний контроль: без него невозможно доказать проверяющему, что датасет, на котором обучена модель, действительно не содержит персональных данных в понимании ст. 3 ФЗ-152.

«Ст. 13.1 ФЗ-152 (введена ФЗ-233 от 08.08.2024, в силе с 2025) устанавливает, что обезличивание персональных данных осуществляется оператором в соответствии с требованиями и методами, утверждёнными уполномоченным органом по защите прав субъектов ПДн. Методы обезличивания: введение идентификаторов, изменение состава или семантики, декомпозиция, перемешивание, обобщение/агрегация.»

Какова структура журнала и как он связан с УЗ-1..4 и Приказом ФСТЭК №21?

Типовой журнал обезличивания включает следующие поля записи: порядковый номер, дата операции, наименование информационной системы или датасета, применённый метод (из перечня приказа РКН), перечень полей, подвергнутых обезличиванию, уникальный идентификатор обезличенного массива, ФИО и должность ответственного, отметка о проверке результата.

Связь с уровнями защищённости (ПП РФ №1119) прямая. Определение уровня защищённости зависит от типа ПДн и возможности идентификации субъекта. Если оператор корректно обезличивает данные до начала обработки в аналитическом контуре — этот контур может выйти из периметра ИСПДн с высоким УЗ. Журнал является доказательной базой того, что обезличивание действительно было проведено в соответствии с установленным методом, а не просто удалены имена из CSV-файла.

Приказ ФСТЭК №21 от 18.02.2013 содержит меры группы ОЦЛ (обеспечение целостности) и РСБ (регистрация событий безопасности). Логирование операций обезличивания — элемент группы РСБ. Таким образом, журнал обезличивания пересекается с журналом событий безопасности: оба фиксируют действия с ПДн, но имеют разный фокус и разных адресатов (РКН vs ФСТЭК).

CTO: ваш продукт использует обезличивание для ML или аналитики?

Если в архитектуре SaaS-продукта или ML-пайплайна используются пользовательские данные в «обезличенном» виде, но метод нигде не задокументирован — при проверке Роскомнадзора это квалифицируется как нарушение ст. 13.1 ФЗ-152. Риск дополнительно усиливается, если данные хранятся в облаке вне РФ или передаются аналитическому подрядчику без оформленного поручения по ст. 6 ч. 3 ФЗ-152. DATUM проведёт аудит технического контура обработки ПДн, проверит корректность применяемых методов и подготовит журнал обезличивания в составе ОРД.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как вести журнал в мультиарендной SaaS и кто является оператором?

В SaaS-продуктах с мультиарендностью (multi-tenancy) вопрос о том, кто является оператором ПДн, решается через анализ фактических отношений. Если платформа обрабатывает данные конечных пользователей по инструкции клиента (tenant) — платформа выступает лицом, осуществляющим обработку по поручению (обработчиком) в понимании ст. 3 и ст. 6 ч. 3 ФЗ-152. Если платформа самостоятельно определяет цели обработки (например, для аналитики продукта или рекламы) — она становится самостоятельным оператором.

В части журнала обезличивания это означает: если tenant поручает платформе обезличить данные перед экспортом — платформа ведёт журнал от имени обработчика, и договор поручения должен содержать требование к формату и срокам хранения журнала. Если платформа сама обезличивает телеметрию для внутреннего ML — она ведёт журнал как оператор.

Для облачной инфраструктуры действует требование ч. 5 ст. 18 ФЗ-152: первичная запись, систематизация, накопление и хранение ПДн граждан РФ должны осуществляться в базах данных на территории РФ. Обезличенные данные после корректного обезличивания формально не являются ПДн — но только если применённый метод исключает возможность деобезличивания без непропорциональных усилий. Журнал обезличивания документирует именно это: необратимость операции и применённый метод.

Что подготовить для корректного ведения журнала обезличивания

Приказ о применении обезличивания с указанием метода (из перечня приказа РКН) и ответственного лица по ст. 22.1 ФЗ-152
Форму журнала обезличивания с обязательными полями: дата, метод, состав полей, идентификатор массива, ответственный
Инструкцию для разработчиков о порядке запуска обезличивания и заполнения журнала в рамках CI/CD или ETL-пайплайна
Договор поручения обработки (ст. 6 ч. 3 ФЗ-152) с подрядчиком, если обезличенные данные передаются во внешний контур
Описание ИСПДн с актуальным уровнем защищённости УЗ-1..4 (ПП РФ №1119), отражающим результат обезличивания

Какие риски создаёт отсутствие журнала при проверке Роскомнадзора?

Роскомнадзор при плановой или внеплановой проверке запрашивает организационно-распорядительную документацию в соответствии со ст. 18.1 ФЗ-152. Если оператор заявляет в уведомлении о реестре (ст. 22 ФЗ-152) или в политике конфиденциальности, что применяет обезличивание, но не может представить журнал — это квалифицируется как несоответствие фактической обработки заявленной.

Последствия зависят от контекста нарушения. Если отсутствие журнала сочетается с передачей данных подрядчику без поручения — добавляется нарушение ст. 6 ФЗ-152, штраф по ч. 1 ст. 13.11 КоАП составляет от 150 000 до 300 000 ₽ для юридического лица (в редакции с 30.05.2025). Если данные хранились за рубежом под видом «обезличенных», но метод некорректен — риск квалификации как нарушения ч. 5 ст. 18 ФЗ-152 (локализация), штраф по ч. 8 ст. 13.11 КоАП от 1 000 000 до 6 000 000 ₽.

Для госорганов ст. 13.11 ч. 7 КоАП прямо предусматривает ответственность за невыполнение требований к методам обезличивания. Для коммерческих операторов санкция применяется через смежные составы, перечисленные выше.

Если CTO понимает, что применяемое в продукте «обезличивание» — это просто удаление поля email из выгрузки — журнала нет, метод не соответствует приказу РКН, а риск штрафа до 6 млн ₽ по ч. 8 ст. 13.11 реален. DATUM проведёт DPIA и проверит технический контур.

Провести DPIA

Как применяется журнал на практике: два сценария

Сценарий 1. ML-команда без журнала. IT-компания (Сибирский ФО, осень 2025) обучала рекомендательную модель на транзакционных данных пользователей. Данные перед передачей в обучающий контур «анонимизировались» скриптом: удалялись имена и телефоны, но сохранялись идентификаторы пользователей и геолокация. При внеплановой проверке РКН установил, что применённый способ не соответствует ни одному из пяти методов приказа РКН, а журнал обезличивания отсутствует. Данные остались в понимании ст. 3 ФЗ-152 персональными. Уровень защищённости ИСПДн был занижен по сравнению с фактическим. Оператору выдано предписание, возбуждено дело по ч. 1 ст. 13.11 КоАП.

Сценарий 2. SaaS-платформа с поручением (case_generic_subpodryad). SaaS-провайдер (Центральный ФО, начало 2026) передавал обезличенную аналитику tenants-клиентов в BI-систему стороннего подрядчика. Журнал вёлся, метод (обобщение/агрегация) задокументирован, но договор поручения обработки между провайдером и BI-подрядчиком не был заключён. При проверке РКН квалифицировал ситуацию как передачу ПДн третьему лицу без правового основания, применив позицию: ответственность оператора не снимается из-за действий подрядчика. Штраф — в диапазоне сотен тысяч рублей по ч. 1 ст. 13.11 КоАП. Корректный журнал обезличивания смягчил позицию оператора, но не заменил договор поручения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка технического контура обработки ПДн, включая методы обезличивания и ОРД
DPIA (оценка воздействия) — оценка рисков для SaaS и ML-продуктов с обработкой ПДн
Комплект ОРД под ключ — разработка журнала обезличивания, приказов, инструкций и политики в едином пакете

Частые вопросы

1. Какой УЗ выбрать для SaaS?

Уровень защищённости определяется по ПП РФ №1119 через три параметра: тип обрабатываемых ПДн (общие, специальные, биометрические), тип актуальных угроз (1, 2 или 3) и число субъектов (порог — 100 000). Большинство SaaS-продуктов при обработке общих ПДн и угрозах 3-го типа попадают в УЗ-3. Если число субъектов превышает 100 000 и угрозы 2-го типа — УЗ-2. Правильно задокументированное обезличивание позволяет вывести аналитический контур из-под требований высокого УЗ: обезличенные данные не являются ПДн и не попадают под требования ПП РФ №1119.

2. Можно ли использовать иностранные облака?

Нет — для первичной записи, систематизации, накопления, хранения, уточнения и извлечения ПДн граждан РФ. Требование ч. 5 ст. 18 ФЗ-152 о локализации в базах данных на территории РФ действует с 01.09.2015 и было дополнительно ужесточено в 2025 году. Исключение: если данные корректно обезличены по методам приказа РКН до передачи за рубеж — они формально перестают быть ПДн. Но это требует безупречного документирования через журнал обезличивания. Штраф за нарушение локализации — от 1 000 000 до 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП.

3. Что такое обезличивание для ML?

Обезличивание для ML — это применение одного из пяти методов приказа РКН к датасету с ПДн таким образом, чтобы итоговый массив не позволял идентифицировать субъекта без непропорциональных усилий. Наиболее применимые методы для ML: обобщение/агрегация (замена точных значений диапазонами), введение идентификаторов (псевдонимизация с отдельным хранением ключа) и изменение семантики (замена значений синтетическими). Простое удаление поля с именем или телефоном обезличиванием не является, если оставшиеся поля позволяют де-анонимизировать субъекта через перекрёстный анализ.

4. Кто оператор в мультиарендной SaaS?

Ответ зависит от того, кто определяет цели обработки. Если SaaS-платформа обрабатывает данные конечных пользователей исключительно по инструкции клиента (tenant) и в его интересах — платформа является обработчиком по ст. 6 ч. 3 ФЗ-152, и между ними должен быть заключён договор поручения обработки. Если платформа самостоятельно использует данные для аналитики продукта, рекомендаций или рекламы — она соооператор или самостоятельный оператор по отношению к этим целям и несёт все обязательства ст. 18.1 ФЗ-152, включая ведение журнала обезличивания.

5. Какие СЗИ обязательны?

Состав обязательных средств защиты информации определяется уровнем защищённости ИСПДн (ПП РФ №1119) и базовым набором мер по Приказу ФСТЭК №21 от 18.02.2013. Для УЗ-3 и УЗ-4 набор включает меры идентификации и аутентификации (ИАФ), управления правами доступа (УПД), защиты носителей (ЗНИ), антивирусной защиты (АВЗ), обнаружения вторжений (СОВ) и регистрации событий (РСБ). Последняя группа — РСБ — напрямую связана с журналом обезличивания: фиксация операций с ПДн, включая обезличивание, является обязательной мерой. Конкретные продукты класса СЗИ должны быть сертифицированы ФСТЭК.

Итог

Журнал обезличивания — не бюрократический артефакт, а технически значимый документ, определяющий правовой статус данных в аналитическом и ML-контурах. Его отсутствие превращает «обезличенный датасет» в массив ПДн со всеми вытекающими требованиями по уровню защищённости, локализации и согласиям субъектов.

Практика DATUM охватывает аудит технических контуров обработки ПДн для IT-компаний и SaaS-продуктов, разработку полного пакета ОРД, включая журнал обезличивания и инструкции для разработчиков, а также сопровождение взаимодействия с Роскомнадзором при проверках.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Специализация — техническая сторона 152-ФЗ: уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, логирование, защита SaaS-инфраструктуры, реагирование на утечки, ст. 272.1 УК.