- Федеральный закон ФЗ-233 от 8 августа 2024 года («ФЗ-233»)Внес изменения в ФЗ-152 «О персональных данных», добавив ст. 13.1. Эта статья наделяет Минцифры России правом запрашивать у компаний (операторов) обезличенные данные для формирования государственных наборов данных.;
- Постановление Правительства РФ № 966 от 26 июня 2025 года («Постановление № 966»);
- Постановление Правительства РФ № 1154 от 1 августа 2025 года («Постановление № 1154»); и
- Приказ Роскомнадзора № 140 от 19 июня 2025 года («Приказ № 140»).
В настоящем обзоре мы рассказываем, в каких случаях вы обязаны предоставить обезличенные данные, если к вам поступит официальное требование от Минцифры России.
В каких случаях Минцифры России может запросить обезличенные данные
Основания, по которым Минцифры России может запросить обезличенные персональные данные, перечислены в Постановлении Правительства РФ № 538 от 24 апреля 2025 года. К ним относятся:- угроза возникновения чрезвычайных ситуаций природного и техногенного характера на определенной территории;
- реализация государственной политики в области противодействия терроризму;
- введение чрезвычайного положения в стране или в отдельных регионах;
- введение карантина для предотвращения распространения заболеваний.
В требовании должен быть четко указан перечень запрашиваемых обезличенных данных и срок их предоставления (статья 13.1 ФЗ-152).
Что делать при поступлении запроса?
Для обезличивания данных необходимо использовать методы, утвержденные Приказом № 140 и Постановлением № 1154, основные из которых приведены ниже.- Введение идентификаторов (псевдонимизация): замена прямых идентификаторов (Ф. И. О.) на код. Таблица соответствия хранится отдельно и никому не передается (пункт 2 Приказа № 140).
- Изменение состава или семантики: удаление, обобщение (возраст «25» → «20-30»), маскирование части данных (пункт 4 Приказа № 140).
- Декомпозиция: разделение данных на части и их раздельное хранение (пункт 11 Приказа № 140).
- Агрегация (преобразование): предоставление данных в обобщенном, групповом виде (средний возраст по группе, процентное соотношение) (пункт 12 Приказа № 140, пункт 9 Правил из Постановления № 1154).
Каким образом необходимо предоставить данные?
Перед отправкой обезличенный массив данных должен быть подписан усиленной квалифицированной электронной подписью оператора (пункт 4 Постановления № 966). Это подтверждает юридическую силу и источник данных.Данные должны быть предоставлены в течение следующих сроков:
- через личный кабинет или Единый портал: в течение пяти рабочих дней;
- иным способом (почта): в течение 30 рабочих дней (пункт 3 Постановления № 966).
Если Минцифры России выявит недостоверность, неполноту или нарушения в обезличивании, вам направят повторное требование (в течение 15 рабочих дней). Вы должны будете исправить и повторно предоставить данные (пункты 6, 7 Постановления № 966).
На что еще важно обратить внимание?
Важно проверить легитимность требования, а именно исходит ли оно именно от Минцифры России.Целесообразно проверить техническую готовность ваших ИТ-систем к корректному обезличиванию требуемых данных. Минцифры России может предоставить бесплатное программное обеспечивание для интеграции через Единый портал (пункт 2 Постановления № 966).
Следует также проверить разработаны ли локальные акты, описывающие процессы и методы обезличивания. Это требование пунктов 16 и 17 Приказа № 140.
Важно помнить, что даже обезличенные данные, переданные государству, продолжают считаться персональными данными (пункт 9.1 статьи 6 ФЗ-152), и их обработка и защита должны осуществляться в полном соответствии с законом. Нормативные документы также предписывают обеспечить раздельное хранение исходных и обезличенных данных и обеспечить защиту информации при передаче (пункт 2 Постановления № 1154, пункт 1.6 Приказа № 140).
* * *
По ссылке доступна подготовленная юристами Denuo дорожная карта, которая расскажет об оптимальных шагах при поступлении запроса Минцифры России о предоставлении обезличенного массива персональных данных.
