18 сентября на CDI Conf 2025 вместе с HFLabs обсуждали обезличивание персональных данных (ПД). Главный вывод: обезличивание дает бизнесу немного свободы, и только если много постараться — внедрить не только бумажные и организационные, но и технологические меры.
Свои мысли об обезличивании ПД в России мы уже не раз высказывали тут и тут. С того момента был принят горячо обсуждаемый Приказ РКН № 140, который наделил бизнес правом добровольно обезличивать обрабатываемые ПД.
«А раньше разве было нельзя?» — спросите вы. «По-разному», — ответим мы. Вот, например, старая запретительная позиция РКН, а тут уже разрешительная.
Где и как обезличивание реально снижает риски бизнеса
- Бонусное правовое основание. Больше оснований обработки ПД всегда лучше, чем меньше, особенно если речь идет об альтернативе согласию, думаем мы. Вот и РКН взял курс на отказ от культа согласий. При обезличивании в качестве основания обработки ПД можно руководствоваться п. 9 ч. 1 152-ФЗ — «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Но можно ли считать обучение LLM-моделей исследовательской целью? Хотелось бы, но хорошо, чтобы РКН и практика это валидировали.
- Митигация последствий утечки. Обезличенные ПД по определению сложно, хоть и не невозможно, связать с конкретным субъектом, а значит и ущерб им может быть нанесен существенно ниже, чем если бы утекли «сырые» ПД. Разумеется, от ответственности за утечку обезличивание вряд ли убережет, поскольку обезличенные данные остаются персональными. Однако обезличивание может стать основанием как минимум для снижения размера штрафа.
Что предусмотреть при работе с обезличенными данными
Придется разработать минимум такие документы, как:
- перечень ПД, подлежащих обезличиванию, включая состав ПД и перечень субъектов, чьи данные подлежат обезличиванию;
- порядок обработки ПД, полученных в результате обезличивания;
- порядок обезличивания, включающий методики, закрепленные в Приказе № 140;
- оценку достаточности применяемых методов.
Приказ № 140 не содержит конкретных разъяснений или примеров такой оценки. В то же время при ее проведении нужно учитывать категории субъектов ПД, категории ПД и правовые основания обработки — что бы это ни значило. РКН не предложил оператору какие-либо метрики для оценки эффективности обезличивания. Придется придумывать самим!
Также оператор обязан:
- использовать информационные системы и ПО, обеспечивающие безопасность и конфиденциальность (хотя непонятно, как это отличается от ныне существующих требований 152-ФЗ и подзаконных актов);
- обеспечить раздельное хранение исходных и обезличенных данных;
- вести учет действий по обезличиванию и работе с обезличенными данными (тоже неясно, как это должно выглядеть. Вероятно, в виде истории изменения исходных ПД по одной из методик РКН);
- соблюдать иные общие требования к обработке ПД, предусмотренные статьей 19 152-ФЗ и иными подзаконными актами.
Имеет смысл также предусмотреть в документах и локальных актах оператора фиксацию момента перехода ПД из одного состояния в другое. Так у вас будут доказательства, что в конкретной ситуации утекли уже обезличенные ПД. Описание применяемых методик и процедур в дальнейшем может стать важным аргументом в споре с РКН или в суде — чтобы подтвердить, например, факт отсутствия рисков для субъектов.
Так где же помогут «обезличенные данные»?
Если ли профит бизнесу? Да уж, это не щит (русское слово, без транскрибаций!) от штрафов, но подспорье — его эффективность скоро поймем на практике. И как-никак — дополнительное основание обработки. Но чтобы этими профитами наслаждаться придется «и саночки возить» — внедрить регламенты, журналы и даже технические меры. Красота — в деталях, а ответственность — в мелочах.
