ГрамотаИБ ГрамотаИБ

Новые правила обезличивания персональных данных с 1 сентября 2025 года

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Что изменилось в обезличивании персональных данных с 1 сентября 2025 года: обновлённые требования к обезличиванию, обработка обезличенных данных для формирования составов данных в государственной информационной системе и обязанности оператора по обезличиванию и предоставлению данных по требованию уполномоченного органа. Что это значит для операторов на практике.

С 1 сентября 2025 года вступили в силу изменения в правилах обезличивания персональных данных. Разберём, что такое обезличивание, что именно поменялось и что это значит для операторов.

Что такое обезличивание

Обезличивание — это действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту (пункт 9 статьи 3 152-ФЗ). Данные остаются пригодными для использования (например, для аналитики), но перестают указывать на конкретного человека. Базовый разбор — в статье об обезличивании персональных данных.

Что изменилось с 1 сентября 2025 года

Изменения внесены Федеральным законом от 08.08.2024 №233-ФЗ (введена статья 13.1 152-ФЗ), ключевые положения действуют с 1 сентября 2025 года; подзаконный порядок установлен постановлением Правительства РФ от 01.08.2025 №1154.

  • Требования к обезличиванию. Уточнены требования и методы обезличивания персональных данных; порядок устанавливается уполномоченными органами (по общему правилу — Роскомнадзором, а для случаев статьи 13.1 — Правительством по согласованию с ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России).
  • Составы данных в государственной системе. Предусмотрена обработка обезличенных данных для формирования составов данных в государственной информационной системе; уполномоченный орган в этой сфере — Минцифры России.
  • Обязанности оператора. Оператор обязан по требованию уполномоченного органа обезличивать обрабатываемые персональные данные и предоставлять их в установленном порядке для формирования составов данных.

Изменения продолжают линию на регулируемое использование обезличенных данных: они позволяют применять такие данные для аналитики и развития технологий, но задают правила их получения и обработки.

Что делать оператору

  • учитывать обновлённые требования к методам обезличивания при подготовке данных для аналитики и тестовых сред;
  • быть готовым к требованиям о предоставлении обезличенных данных в установленном порядке;
  • помнить, что обезличивание — законный способ снизить риски и объём хранимых персональных данных, наряду с их уничтожением по достижении цели (см. сколько хранить ПДн).

Главное

С 1 сентября 2025 года обновлены правила обезличивания персональных данных: уточнены требования и методы обезличивания, предусмотрена обработка обезличенных данных для формирования составов данных в государственной информационной системе, а оператор обязан по требованию уполномоченного органа обезличивать и предоставлять данные в установленном порядке. Обезличивание остаётся полезным инструментом для аналитики и снижения рисков, но теперь с более чёткими правилами.

Частые вопросы

Что изменилось в обезличивании персональных данных с 1 сентября 2025 года?

Уточнены требования и методы обезличивания, предусмотрена обработка обезличенных данных для формирования наборов данных в государственной информационной системе, а оператор обязан по требованию уполномоченного органа обезличивать и предоставлять данные в установленном порядке.

Обезличивание заменяет уничтожение персональных данных?

Это альтернатива: по достижении цели обработки данные можно не только уничтожить, но и обезличить — так они остаются пригодными для аналитики, но перестают указывать на конкретного человека.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Биометрия и ЕБС: сбор, хранение и согласие по 152-ФЗ и 572-ФЗ

Как организации законно работать с биометрическими персональными данными: биометрия как отдельная категория ПДн (статья 11 152-ФЗ), письменное согласие и добровольность, Единая биометрическая система (ЕБС) и Федеральный закон №572-ФЗ, требования к носителям биометрии (ПП-512). Когда вправе собирать биометрию и что нельзя делать.

Персональные данные: итоги 2025 и что делать в 2026

Что изменилось в регулировании персональных данных в 2025 году и что нужно сделать оператору в 2026: крупные и оборотные штрафы за утечки (с 30 мая 2025), новые правила обезличивания (с 1 сентября 2025), уведомление Роскомнадзора об инцидентах, локализация и уведомление об обработке. Сводка изменений и практический чек-лист.

Достаточность и обоснованность персональных данных: как понять, сколько собирать

Что такое достаточность и обоснованность персональных данных с точки зрения Роскомнадзора: принципы статьи 5 152-ФЗ (соответствие объёма целям и недопустимость избыточности, достаточность данных для цели) и как оператору понять, в каком объёме собирать данные. Практический алгоритм определения состава под цель, частые ошибки избыточного сбора и как обосновать состав документально.

Сколько хранить персональные данные

Сколько времени оператор должен хранить персональные данные: почему единого срока в 152-ФЗ нет, как срок зависит от цели обработки, основания и требований других законов (налоговых, бухгалтерских, кадровых), ориентиры по типам данных (кадры по перечню Росархива, бухгалтерия и налоги — 5 лет, договоры — срок исковой давности), что делать по истечении срока (уничтожение или обезличивание) и как составить номенклатуру сроков.