ГрамотаИБ ГрамотаИБ

Обезличивание персональных данных: что это, зачем и как сделать

22.06.2026

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.

Обезличивание — недооценённый, но очень полезный инструмент работы с персональными данными. Оно позволяет законно использовать данные для аналитики и тестирования, снижает ущерб при утечке и помогает закрыть требование об удалении. Разберём, что это такое, зачем нужно и как сделать правильно.

Что такое обезличивание

По пункту 9 статьи 3 152-ФЗ обезличивание — это действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Проще говоря, данные остаются, но перестают указывать на конкретного человека.

Важно отличать обезличивание от соседних понятий:

  • Удаление — данные уничтожаются полностью. При обезличивании сами данные остаются и могут использоваться дальше.
  • Псевдонимизация — замена данных идентификатором, но с сохранением таблицы соответствия. Пока такая таблица существует и доступна, данные по-прежнему считаются персональными, и их нужно защищать.

Зачем это нужно бизнесу

  • Аналитика и статистика. Обезличенные данные можно использовать для отчётов, BI и исследований без согласия субъектов и без жёстких требований к защите.
  • Тестовые среды. Тестировать и обучать сотрудников на боевой базе с реальными ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). нельзя — для этого готовят обезличенный набор.
  • Снижение ущерба при утечке. Если утёкший массив обезличен, вред субъектам и риски оператора резко ниже.
  • Исполнение требования об удалении. По достижении цели обработки данные нужно удалить или обезличить — обезличивание законная альтернатива удалению, когда массив ещё нужен для статистики.

Как обезличивать: методы

Роскомнадзор в приказе №996 от 05.09.2013 закрепил основные методы обезличивания. На практике применяют:

  • Метод идентификаторов — замена части данных условным идентификатором; таблица соответствия хранится отдельно и под усиленной защитой.
  • Изменение состава и обобщение — замена точных значений диапазонами: вместо даты рождения возраст, вместо адреса регион.
  • Декомпозиция — разбиение единого массива на части, хранящиеся раздельно.
  • Перемешивание — перестановка значений между записями так, чтобы разорвать связь с конкретным человеком.

Риск обратной идентификации

Главная ошибка — мнимое обезличивание. Если по косвенным признакам (редкая должность, точный возраст плюс город, уникальная комбинация полей) человека всё равно можно вычислить, данные не обезличены и остаются ПДн. Обезличивание должно быть устойчивым к реидентификации, а если вы используете таблицу соответствия — это псевдонимизация, и её нужно защищать как обычные персональные данные.

Главное

Обезличивание — это способ продолжать пользоваться данными, сняв с них статус персональных. Оно полезно для аналитики, тестирования и снижения рисков, но требует, чтобы личность нельзя было восстановить. ГрамотаИБ помогает встроить обезличивание в процессы и корректно оформить его в документах — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Биометрия в фитнес-клубе: вход по лицу или отпечатку — что требует закон

Что обязан сделать фитнес-клуб, если пускает клиентов по отпечатку пальца или распознаванию лица. Пошагово: почему это биометрические персональные данные, зачем отдельное письменное согласие, как биометрия поднимает уровень защищённости до УЗ-3 по ПП-1119, требования 572-ФЗ и ЕБС, документы и меры. И почему многим клубам проще обойтись картой или браслетом.

Персональные данные в салоне красоты и барбершопе: пошаговый алгоритм

Минимальный, но полный алгоритм для салона красоты, барбершопа или студии: как небольшому бизнесу с онлайн-записью и CRM законно работать с персональными данными клиентов. По шагам — от 152-ФЗ и оснований обработки до расчёта уровня защищённости по ПП-1119 (обычно УЗ-4), уведомления Роскомнадзора, документов, мер по приказу ФСТЭК №21 и поручений сервисам записи.

Персональные данные в стоматологии: пошаговый алгоритм для частной клиники

Полный алгоритм действий частной стоматологической клиники по защите персональных данных пациентов: от признания себя оператором (152-ФЗ) и определения уровня защищённости по ПП-1119 (спецкатегория «здоровье» даёт УЗ-3) до уведомления Роскомнадзора, комплекта документов, мер по приказу ФСТЭК №21, поручений обработчикам и врачебной тайны. Характерный пример для малого бизнеса в медицине.

Утечка персональных данных: пошаговый алгоритм действий

Что делать оператору при утечке персональных данных: как зафиксировать инцидент, уведомить Роскомнадзор в течение 24 часов и о результатах расследования за 72 часа (статья 21 152-ФЗ), провести внутреннее расследование, устранить последствия и зафиксировать всё в журнале. Пошаговый план, чтобы не получить отдельный штраф за молчание.