Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19.06.2025 № 140 Официальное опубликование правовых актов
МЕНЮ
Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей
ТЕМЫ
Новости ИИ
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Искусственный интеллект
Слежка за людьми
Угроза ИИ
ИИ теория
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Психология ИИ
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Промпты. Генеративные запросы
Распознавание лиц
Распознавание образов
Распознавание речи
Творчество ИИ
Техническое зрение
Чат-боты
Авторизация
2025-08-16 11:05
Новый приказ Роскомнадзора об обезличивании персональных данных: содержание, ключевые изменения и меры ответственности
19 июня 2025 года Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) издала приказ № 140, утвердивший обновлённые правила и методы обезличивания персональных данных.
Документ разработан во исполнение части 12 статьи 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и начнёт применяться с 1 сентября 2025 года.
Прежний приказ Роскомнадзора от 5 сентября 2013 г. № 996 утратит силу.
Приказ закрепляет обязательные для операторов требования к процессу обезличивания персональных данных (ПДн), кроме ситуаций, перечисленных в пункте 9? части 1 статьи 6 Закона о ПДн (например, статистическая или научная обработка при условии обязательного обезличивания).
Структурно документ состоит из двух приложений:
• первое фиксирует комплекс требований к организации процедуры;
• второе перечисляет допустимые способы обезличивания.
Основная цель — исключить возможность восстановления исходных сведений о субъекте без привлечения дополнительной информации и обеспечить гарантии соблюдения его прав.
Основные обязанности оператора
Оператор, применяющий обезличивание, обязан выполнить ряд действий, среди которых:
• определить, какие именно данные и в отношении каких субъектов будут обезличиваться;
• оценить, насколько выбранные методы позволяют достичь цели обработки и исключить возможность идентификации личности;
• обеспечить раздельное хранение исходных и обезличенных массивов;
• при автоматизированной обработке внедрить средства защиты, исключающие несанкционированный доступ и утечку информации;
• вести журнал учёта всех операций, связанных с обезличиванием и использованием полученных данных;
• принять локальные нормативные акты, регулирующие порядок применения методов, хранение ключей и защиту служебной информации.
Доступ к ключам сопоставления и внутренним регламентам, содержащим алгоритмы обезличивания, должен быть закрыт для третьих лиц.
Методы, закреплённые в приказе
В документе перечислены пять способов, которые могут использоваться как самостоятельно, так и в комбинации:
1. Присвоение идентификаторов — замена информации, позволяющей прямо идентифицировать субъект, на код или номер, при этом ключ сопоставления хранится отдельно.
2. Изменение состава или содержания данных — удаление, искажение или замена значений на условные, усреднённые или случайные.
3. Перемешивание — перестановка атрибутов между разными записями.
4. Декомпозиция — разделение массива ПДн на отдельные части с последующим раздельным хранением.
5. Агрегация — укрупнение показателей, округление или установление пределов значений.
Каждый метод направлен на снижение риска установления связи между субъектом и его данными.
Риски нарушения и административная ответственность
Несоблюдение требований приказа и законодательства о ПДн может привести к привлечению к административной ответственности по КоАП РФ, а также к мерам надзорного реагирования со стороны Роскомнадзора.
Так, обработка данных без согласия либо с нарушением установленных условий образует состав правонарушения, предусмотренный частью 1 статьи 13.11 КоАП РФ. Для юридических лиц штраф может достигать 100 000 рублей; к этому могут быть добавлены предупреждение или внеплановая проверка.
Нарушение обязанности уведомить Роскомнадзор об обработке данных (часть 2 статьи 13.11) влечёт штраф до 50 000 рублей с одновременным требованием подать уведомление.
Если оператор не обеспечивает должный уровень безопасности при обработке, включая автоматизированные системы (часть 3 статьи 13.11), ему грозит штраф до 75 000 рублей и предписание модернизировать средства защиты либо приостановить работу информационной системы.
Отсутствие мер по обезличиванию, когда это обязательно (часть 5 статьи 13.11), влечёт штраф до 100 000 рублей и предписание устранить нарушения.
Повторное правонарушение (часть 7 статьи 13.11) карается строже — штраф может достигнуть 300 000 рублей для организаций.
Отдельно стоит учитывать санкции за невыполнение предписаний надзорного органа (статья 19.5 КоАП РФ) — штраф до 200 000 рублей и возможная передача материалов в суд.
Помимо прямых штрафов, к рискам относятся усиленный контроль Роскомнадзора, включение в план проверок, блокировка отдельных информационных ресурсов и значительные репутационные потери.
До вступления приказа в силу операторам рекомендуется:
• провести внутренний аудит всех процедур, связанных с обработкой и обезличиванием ПДн;
• обновить локальные регламенты и политики с учётом новых норм;
• доработать программные и технические средства;
• обучить сотрудников, имеющих доступ к данным;
• наладить документирование всех этапов обезличивания, чтобы при проверке подтвердить их выполнение.
Приказ № 140 задаёт более высокий стандарт работы с персональными данными, делая акцент на технической и организационной защите, а также на предотвращении повторной идентификации субъектов.
Его выполнение — это не просто формальная обязанность, а элемент долгосрочной стратегии информационной безопасности.
Несоблюдение норм повлечёт не только финансовые санкции, но и репутационные риски, что особенно критично для организаций, работающих с большими объёмами персональных данных.
Источник: publication.pravo.gov.ru