С 1 сентября 2025 года нужно выполнять требования ведомства, даже если обезличивание проводит компания или ИП, например, вместо уничтожения информации. Среди исключений – случаи, когда оператор персональных данных обязан их обезличить по запросу Минцифры с учетом правительственных норм.
В числе требований Роскомнадзора есть такие:
- принять локальные акты о том, как обезличивать сведения, оценивать достаточность методов выполнения процедуры и т.д.;
- исключить доступ третьих лиц к этим актам, а также к информации о том, какие системы и программы оператор применяет для обезличивания, и пр.;
- хранить обезличенные сведения отдельно от данных, которым только предстоит эта процедура;
- вести учет действий по обезличиванию и операций с его результатами. Форму учета определит оператор. Важно, чтобы с ее помощью можно было подтвердить зафиксированное.
Надо применять один или несколько методов обезличивания:
- вводить номера или другие обозначения на замену данным, которые сами по себе позволяют определить человека;
- менять состав или семантику личной информации;
- перемешивать значения атрибутов персональных сведений;
- разделять данные на части.
Также есть метод преобразования (обобщения). Его можно использовать в дополнение к другим, чтобы исключить связь между атрибутами персональных данных и их субъектами.
Пока действует сходный приказ о требованиях к обезличиванию и его методах. Однако он обязателен только для государственных и муниципальных органов.
Подробнее в документе: Приказ Роскомнадзора от 19.06.2025 N 140
Дополнительно:
Правительством утверждены вступающие в силу с 1 сентября 2025 года требования к обезличиванию персональных данных, методы и правила обезличивания персональных данных (Постановление Правительства РФ от 01.08.2025 N 1154)
Минцифры России разъясняет правила трансграничной передачи персональных данных с 1 июля 2025 года (<Письмо> Минцифры России от 12.05.2025 N П25-44929)