Обзор требований и утвержденных методов обезличивания ПДн в соответствии с Приказом РКН №140.
Прошло больше полугода с момента вступления в силу Приказа Роскомнадзора №140. Но тема обезличивания персональных данных по-прежнему остается актуальной для бизнеса и государственных организаций. По данным Роскомнадзора, за последний год ведомство получило более 100 тысяч обращений, связанных с защитой прав субъектов персональных данных. Среди частых нарушений – обработка данных без правовых оснований, избыточный сбор информации и отсутствие документов, которые регулируют работу с персональными данными.
В сентябре 2025 года вступили в силу требования Приказа Роскомнадзора №140, который ужесточил правила и методы обезличивания персональных данных (ПДн). Документ обязал операторов пересмотреть подход к процессу удаления связи между информацией и конкретным субъектом. Ключевое требование регулятора – обезличивание должно лишать ПДн свойств, позволяющих идентифицировать субъекта ПДн.
Требования приказа распространяются на всех операторов ПДн. За базовые нарушения предусмотрены штрафы до 300 тысяч рублей, за повторные – до 500 тысяч. Для соблюдения требований компаниям необходимо выполнить ряд организационных и технических мер: провести аудит процессов обработки ПДн, применять утвержденные регулятором методы обезличивания и обеспечивать доказуемость и необратимость процедуры. Также операторам требуется ограничить доступ третьих лиц к методикам обезличивания, вести логирование операций и поддерживать локальные нормативные акты в актуальном состоянии.
Приказ РКН №140 устанавливает пять разрешенных методов обезличивания персональных данных. Эксперты отмечают, что выбор метода зависит от целей обработки и архитектуры информационной системы. При этом регулятор требует не только формального применения одного из способов, но и доказательства необратимости обезличивания. На практике это означает, что простой маскировки или хэширования без контроля таблиц соответствия может быть недостаточно для соблюдения действующих требований.
Для автоматизации процессов обезличивания на рынке уже представлены специализированные решения. Например, «Гарда Data Masking» использует утвержденные приказом методы, поддерживает автоматический поиск ПДн с помощью ИИ, обеспечивает прозрачность всех этапов, аудит операций и формирование отчетности по требованиям регулятора. Система создает копию базы, в которой реальные данные заменяются сгенерированными правдоподобными значениями с сохранением структуры и связей.
Чтобы проверить готовность к выполнению требований Приказа РКН №140, разработчик решения по обезличиванию персональных данных предлагает ознакомиться с чек-листом соответствия. В нем собраны основные организационные и технические меры, а также примеры реализации пяти методов обезличивания.