Требования к обезличиванию ПД и методы обезличивания утверждены приказом Роскомнадзора
Регулятор утвердил требования к обезличиванию персональных данных (ПД) и методы обезличивания ПД.
При обезличивании ПД оператор должен обеспечить использование методов обезличивания, оценку достаточности выбранного метода (методов) обезличивания, невозможность без использования дополнительной информации определения принадлежности персональных данных, полученных в результате обезличивания, субъекту персональных данных и пр.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Источник: Федеральный закон «О персональных данных» (152-ФЗ)
Оператор должен исключить доступ третьих лиц к принятым им локальным актам или информации об используемом методе (методах) обезличивания персональных данных, используемых в информационных системах и (или) программах для электронных вычислительных машин для обезличивания персональных данных, а равно иной информации о процедуре проведения обезличивания персональных данных.
Для обезличивания ПД можно использовать такие методы, как введение идентификаторов, изменение состава или семантики, перемешивания, декомпозиции. Дополнительно может применяться метод преобразования массива персональных данных.
По действие приказа не подпадают «московские» ПД (т.е. полученные в результате эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве), а также ПД, полученные в результате экспериментальных правовых режимов в сфере цифровых инноваций.
Приказ Роскомнадзора от 5 сентября 2013 года №996 признан утратившим силу. Новый приказ вступит в силу с 1 сентября 2025 года.
В августе 2024 года, напомним, президент подписал закон о создании федеральной и региональной ГИС обезличенных ПД.
В июне 2025 постановлением правительства ФГИС «Единая информационная платформа национальной системы управления данными» (ЕИП НСУД) установлена в качестве государственной информационной системы, предназначенной для обработки ПД, полученных в результате обезличивания ПД, и предоставления доступа к ним.
С 1 сентября 2025 года передача обезличенных ПД будет осуществляться операторами по требованию Минцифры в ГИС министерства.