Федеральный закон № 233-ФЗ и новые требования к обезличиванию персональных данных с 1 сентября 2025 года

В последнее время активизировалась законодательная работа по части обезличивания персональных данных. Минцифры России определило требования к ФГИС обработки обезличенных данных, а Роскомнадзор подготовил проект приказа об утверждении требований и методов обезличивания. Что происходит? Отвечают аналитики УЦСБ.

1. Введение
2. Проект постановления Правительства о ФГИС для обезличенных данных
3. Кто и как будет запрашивать обезличенные ПДн: обязанности операторов и сроки
4. Проект приказа Роскомнадзора о требованиях и методах обезличивания ПДн
5. Как подготовиться к новому порядку обезличивания ПДн: документы и действия операторов
6. Выводы

Введение

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), которые вносит Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон “О персональных данных” и Федеральный закон “О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных»”» (далее — 233-ФЗ), направлены на регулирование обращения с обезличенными персональными данными (далее — ПДн), а также предусматривают создание государственной информационной системы (далее — ГИС), содержащей обезличенные ПДн.

Эти изменения, принятые 08.08.2024 и вступающие в силу 01.09.2025, стали предпосылкой для изменений в сфере регулирования и обработки обезличенных персональных данных. Министерство цифрового развития, связи и массовых коммуникаций РФ (далее — Минцифры России) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) представили проекты нормативных актов, которые определяют новую ГИС, а также определяют требования по обезличиванию ПДн. Планируемые изменения напрямую затронут как государственные органы, так и коммерческие структуры, работающие с ПДн.

Изменения пока не окончательные, их следует рассматривать в рамках мероприятий по реализации 233-ФЗ, направленных на обеспечение благоприятных правовых условий для сбора, хранения и обработки данных с использованием новых технологий, в части установления порядка обезличивания ПДн, порядка получения согласия на обработку ПДн, а также регулирования оборота больших объемов данных с учетом необходимости защиты прав и свобод человека и гражданина при обработке его ПДн.

Проект постановления Правительства о ФГИС для обезличенных данных

Минцифры России представило для общественного обсуждения проект Постановления Правительства Российской Федерации «О государственной информационной системе, предназначенной ‎для обработки персональных данных, полученных в результате обезличивания персональных данных, и внесении изменений ‎в постановление Правительства РФ ‎от 14 мая 2021 № 733» (далее — проект Постановления).

Цель проекта Постановления — реализация норм 233-ФЗ.

Проект Постановления определяет федеральную ГИС «Единая информационная платформа национальной системы управления данными» (далее — ЕИП НСУД) в качестве ГИС, предназначенной для обработки ПДн, полученных в результате обезличивания, и предоставления доступа к ним, а также вносит в Положение о ЕИП НСУД, утвержденное Постановлением Правительства РФ от 14.05.2021 № 733 «Об утверждении Положения о федеральной государственной информационной системе “Единая информационная платформа национальной системы управления данными” и о внесении изменений в некоторые акты Правительства Российской Федерации» ряд изменений.

Проектом Постановления уточняются цели и задачи ЕИП НСУД, а также создается новая подсистема — подсистема обработки обезличенных данных, что обусловлено закреплением новых функций за ЕИП НСУД.

Перечень задач ЕИП НСУД расширяется сбором и иной обработкой обезличенных данных, формированием составов данных и предоставлением доступа к ним, обеспечением соответствия составов данных и полученных результатов обработки составов данных требованиям статьи 13.1 152-ФЗ.

Проект Постановления вносит в Положение о ЕИП НСУД термины:

• «состав данных», под которым подразумеваются сгруппированные обезличенные ПДн, последующая обработка которых не позволит определить их принадлежность конкретному субъекту ПДн;
• «обезличенные ПДн», под которыми подразумеваются ПДн, обезличенные в соответствии со статьей 13.1 152-ФЗ (статья вступит в силу 01.09.2025).

В части подсистемы обработки обезличенных данных конкретизируются роли участников и их функции. Так, участники единой информационной платформы выступают в одной из следующих ролей:

• обладатели государственных данных;
• пользователи государственных данных;
• участники подсистемы обработки обезличенных данных ЕИП НСУД.

В роли обладателей и пользователей государственных данных выступают органы и организации государственного сектора. Также в качестве пользователей ЕИП НСУД могут выступать иные организации, чьи информационные системы участвуют в единой системе межведомственного электронного взаимодействия (далее — СМЭВ). Перечень категорий участников СМЭВ опубликован на портале федерального ситуационного центра электронного правительства.

Кроме того, текст проекта Постановления предполагает участие исполнительных органов субъектов РФ, осуществляющих полномочия в сфере информационно-телекоммуникационных технологий и организации информационного взаимодействия с федеральными органами исполнительной власти, в роли обладателя и (или) пользователя государственных данных. 

Иными словами, обладателем или пользователем данных подсистемы обработки обезличенных данных от имени исполнительных органов субъектов могут выступать созданные на уровне субъектов РФ департаменты информационных технологий, управления информационно-телекоммуникационных технологий и иные исполнительные органы субъектов, обладающие полномочиями в сфере информационно-телекоммуникационных технологий субъекта РФ.

В роли участников подсистемы обработки обезличенных данных выступают:

• поставщики подсистемы обработки обезличенных данных ЕИП НСУД — операторы ПДн, получившие требование, указанное в части 2 статьи 13.1 152‑ФЗ;
• пользователи подсистемы обработки обезличенных данных ЕИП НСУД — государственные органы и подведомственные им организации, муниципальные органы и подведомственные им организации, органы государственных внебюджетных фондов, а также граждане РФ и российские юридические лица, соответствующие требованиям, указанным в части 7 статьи 13.1 152-ФЗ.

Часть 2 статьи 13.1 152-ФЗ, вступающая в силу с 01.09.2025, обращается к изменениям в Федеральный закон от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона “О персональных данных”», также вступающим в силу 01.09.2025.

Кто и как будет запрашивать обезличенные ПДн: обязанности операторов и сроки

Требование о предоставлении ПДн, полученных в результате обезличивания, будет направлено либо департаментом информационных технологий города Москвы (для государственных органов города Москвы и органов местного самоуправления внутригородских муниципальных образований города Москвы, подведомственных им организациям, а также организациям, созданным с участием или находящимся под контролем города Москвы или внутригородского муниципального образования города Москвы), либо Минцифры России (для иных операторов ПДн).

При получении требования необходимо выполнить следующие действия:

• обезличить обрабатываемые ПДн в соответствии с требованиями к обезличиванию, методами обезличивания и порядком обезличивания;
• исключить наличие в ПДн, полученных в результате обезличивания, информации, доступ к которой ограничен федеральными законами;
• предоставить ПДн, полученные в результате обезличивания ПДн, в ЕИП НСУД.

Требование направит уполномоченный орган; в нём будет указан перечень ПДн, полученных в результате обезличивания, и сроков предоставления данных. Поставщики подсистемы обработки обезличенных данных ЕИП НСУД должны предоставить перечень ПДн в подсистему обработки обезличенных данных ЕИП НСУД в соответствии с полученным требованием. Пользователи подсистемы обработки обезличенных данных ЕИП НСУД, обрабатывают составы данных и получают результаты обработки составов данных, размещенных в подсистеме обработки обезличенных данных ЕИП НСУД.

В случае принятия Постановление о ФГИС для обезличенных данных вступит в силу с 01.09.2025. Что можно сделать уже сейчас?

Операторам рекомендуется актуализировать, а в случае отсутствия — разработать и утвердить внутренний документ, определяющий порядок обезличивания ПДн и обработки обезличенных ПДн.

Кроме того, необходимо определить и внедрить для практического применения один из методов обезличивания:

• метод введения идентификаторов (замена части сведений (значений ПДн) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
• метод изменения состава или семантики (изменение состава или семантики ПДн путем замены результатами статистической обработки, обобщения или удаления части сведений);
• метод декомпозиции (разбиение множества (массива) ПДн на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
• метод перемешивания (перестановка отдельных записей, а также групп записей в массиве ПДн).

Также участникам ЕИП НСУД уже сейчас можно определить уполномоченных лиц, ответственных за обеспечение работы с ЕИП НСУД и за реализацию обязанностей, предусмотренных Положением о ЕИП НСУД.

Проект приказа Роскомнадзора о требованиях и методах обезличивания ПДн

Роскомнадзор в соответствии с частью 12 статьи 23 152-ФЗ представил проект приказа «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных» (далее — проект Приказа).

Согласно проекту Приказа операторам ПДн необходимо:

• использовать методы обезличивания ПДн;
• определить перед началом осуществления действий по обезличиванию ПДн состав ПДн, подлежащих обезличиванию, и состав субъектов, ПДн которых подлежат обезличиванию;
• осуществлять оценку достаточности выбранных методов обезличивания ПДн;
• исключить совместное хранение массива ПДн, подлежащих обезличиванию, и ПДн, полученных в результате обезличивания;
• вести учет осуществляемых действий по обезличиванию ПДн, действий (операций), совершаемых с ПДн, полученными в результате обезличивания, в определенной им форме, позволяющей обеспечить их подтверждение;
• принять внутренние нормативные документы, определяющие порядок обработки ПДн, подлежащих обезличиванию, осуществления деятельности по обезличиванию ПДн, оценки достаточности применяемого метода (методов) обезличивания ПДн, обработки ПДн, полученных в результате обезличивания ПДн;
• исключить доступ третьих лиц к внутренним документам, информации о используемом методе (методах) обезличивания ПДн, используемых информационных системах и (или) программах для электронных вычислительных машин для обезличивания ПДн, а равно иной информации о процедуре проведения обезличивания ПДн, определенной оператором.

Обязательные требования к процессу обезличивания, указанные в проекте Приказа, соответствуют общим требованиям к осуществлению обработки ПДн, в частности установленным статьями 5, 7, 18, 18.1 и 19 152-ФЗ.

При осуществлении обезличивания ПДн в проекте Приказа описаны и подлежат применению по отдельности или в совокупности следующие методы: введения идентификаторов ПДн, изменения состава или семантики ПДн (способом удаления, искажения, изменения атрибутов ПДн), перемешивания ПДн, декомпозиции ПДн.

Указанные методы не являются новыми и также были описаны в приказе Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Как подготовиться к новому порядку обезличивания ПДн: документы и действия операторов

При выборе соответствующих методов обезличивания ПДн или их комбинации оператору ПДн дополнительно потребуется принять внутренние нормативные документы:

• при выборе метода изменения состава или семантики ПДн, подлежащих обезличиванию — акт, устанавливающий правила изменения состава или семантики ПДн, предусматривающие способы удаления, искажения и (или) изменения атрибутов ПДн;
• при выборе метода перемешивания ПДн, подлежащих обезличиванию — акт, устанавливающий правила перемешивания ПДн, предусматривающие алгоритм перестановки каждого отдельного значения атрибута ПДн и (или) групп значений атрибутов ПДн на заданное оператором количество позиций;
• при выборе метода декомпозиции ПДн, подлежащих обезличиванию, — акт, устанавливающий правила разбиения массива ПДн, подлежащих обезличиванию, и определения места хранения его частей.

При этом, внутренние нормативные документы, содержащие правила применения методов обезличивания ПДн, должны храниться отдельно от ПДн и не должны передаваться третьим лицам.

Также дополнительно к одному или нескольким методам обезличивания возможно применение метода преобразования массива ПДн с целью исключения связи между атрибутами ПДн и соответствующими субъектами ПДн. В этом случае оператор должен выделить субъектов ПДн, атрибуты ПДн которых подлежат обобщению, определить правила вычисления значений, на которые будет осуществляться замена исходных атрибутов ПДн субъектов ПДн, а также определить способы группировки по полученным значениям атрибутов ПДн.

Таким образом, проект Приказа не предлагает новые методы обезличивания ПДн, но устанавливает четкие требования к процессу обезличивания. Если требования, утвержденные ранее приказом Роскомнадзора от 05.09.2013 № 996, содержат подробное описание методов обезличивания, то планируемые требования определяют процесс обезличивания детально от определения действий, предшествующих процессу обезличивания, до установления правил хранения обезличенных ПДн и локальных актов, устанавливающих правила обезличивания.

Также стоит напомнить, что действующим законодательством установлена ответственность операторов ПДн за несоблюдение требований или методов по обезличиванию ПДн в виде привлечения к административной ответственности в соответствии с частью 7 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ.

Предполагаемая дата вступления в силу проекта Приказа — 1 сентября 2025 года.

Выводы

Минцифры России и Роскомнадзор подготовили проекты документов по части обезличивания ПДн, которые вносят ряд дополнений, изменений и уточнений к уже существующим нормативным правовым актам.

Проект постановления о ФГИС для обработки персональных данных, полученных в результате их обезличивания, уточняет цели и задачи Единой информационной платформы национальной системы управления данными, расширяет перечень её задач, конкретизирует роли участников и их функции. Согласно заявлению Минцифры России, доступ к наборам данных будет возможен только в рамках закрытого контура платформы, исключающего их передачу за её пределы. При этом сами данные не будут содержать информации, позволяющей идентифицировать человека.

Проект приказа о требованиях и методах обезличивания ПДн запрещает совместное хранение исходных и уже обезличенных данных. Кроме того, операторы обязаны обеспечить невозможность доступа третьих лиц к внутренним документам, содержащим описание методов обезличивания. Также в обновлённой версии приказа расширены требования к внутренней нормативной документации, регулирующей процедуры обезличивания.

Новые нормы начнут действовать с 1 сентября текущего года, однако уже сейчас можно начать заблаговременную подготовку к их реализации.