Приложение N 1

к приказу Федеральной службы

по надзору в сфере связи,

информационных технологий

и массовых коммуникаций

от 19.06.2025 N 140

ТРЕБОВАНИЯ
К ОБЕЗЛИЧИВАНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЗА ИСКЛЮЧЕНИЕМ СЛУЧАЕВ,
УКАЗАННЫХ В ПУНКТЕ 9.1 ЧАСТИ 1 СТАТЬИ 6 ФЕДЕРАЛЬНОГО ЗАКОНА
ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"

1. При обезличивании персональных данных <1> оператор <2> должен обеспечить:

--------------------------------

<1> Пункт 9 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

<2> Пункт 2 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

1) использование методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", предусмотренных в приложении N 2 к настоящему приказу <3>;

--------------------------------

<3> Далее - методы обезличивания персональных данных, предусмотренные в приложении N 2 к настоящему приказу.

2) определение перед началом осуществления действий по обезличиванию персональных данных состава персональных данных, подлежащих обезличиванию, субъектов, персональные данные которых подлежат обезличиванию <4>;

--------------------------------

<4> Далее - массив персональных данных, подлежащих обезличиванию.

3) оценку достаточности выбранного метода (методов) обезличивания персональных данных для достижения целей обработки персональных данных, полученных в результате обезличивания, на основании категорий субъектов, персональные данные которых подлежат обезличиванию, категорий персональных данных, подлежащих обезличиванию, и правовых оснований обработки персональных данных, подлежащих обезличиванию;

4) невозможность без использования дополнительной информации определения принадлежности персональных данных, полученных в результате обезличивания, субъекту персональных данных путем применения методов обезличивания персональных данных, предусмотренных в приложении N 2 к настоящему приказу;

5) использование информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обезличивания персональных данных <5>, в которых обеспечиваются безопасность и конфиденциальность персональных данных, подлежащих обезличиванию и персональных данных, полученных в результате обезличивания, в случае обезличивания персональных данных с использованием средств автоматизации <6>;

--------------------------------

<5> Статья 7 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

<6> Пункт 3 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

6) исключение совместного хранения массива персональных данных, подлежащих обезличиванию, и персональных данных, полученных в результате обезличивания;

7) учет осуществляемых действий по обезличиванию персональных данных, действий (операций), совершаемых с персональными данными, полученными в результате обезличивания, в определенной оператором форме, позволяющей обеспечить подтверждение осуществленных оператором действий, по обезличиванию персональных данных, действий (операций), совершаемых с персональными данными, полученными в результате обезличивания.

2. Деятельность по обезличиванию персональных данных обеспечивается оператором в том числе путем:

1) принятия локальных актов, определяющих порядок обработки персональных данных, подлежащих обезличиванию, осуществления деятельности по обезличиванию персональных данных, оценки достаточности применяемого метода (методов) обезличивания персональных данных, обработки персональных данных, полученных в результате обезличивания персональных данных <7>;

--------------------------------

<7> Далее - локальные акты.

2) исключения доступа третьих лиц к принятым им локальным актам или информации об используемом методе (методах) обезличивания персональных данных, используемых информационных системах и (или) программах для электронных вычислительных машин для обезличивания персональных данных, а равно иной информации о процедуре проведения обезличивания персональных данных;

3) принятия локального акта, устанавливающего правила изменения состава или семантики персональных данных путем удаления, искажения и (или) изменения атрибутов персональных данных, в случае использования метода обезличивания персональных данных, указанного в пункте 4 методов обезличивания персональных данных, предусмотренных в приложении N 2 к настоящему приказу;

4) принятия локального акта, устанавливающего правила перемешивания персональных данных, предусматривающие алгоритм перестановки каждого отдельного значения атрибута персональных данных и (или) групп значений атрибутов персональных данных на заданное оператором количество позиций, в случае использования метода обезличивания персональных данных, указанного в пункте 10 методов обезличивания персональных данных, предусмотренных в приложении N 2 к настоящему приказу;

5) принятия локального акта, устанавливающего правила разбиения массива персональных данных, подлежащих обезличиванию, и определения места хранения его частей, в случае использования метода обезличивания персональных данных, указанного в пункте 11 методов обезличивания персональных данных, предусмотренных в приложении N 2 к настоящему приказу;

6) обеспечения хранения локальных актов, предусмотренных подпунктами 3 - 5 пункта 2 настоящих требований отдельно от персональных данных, полученных в результате обезличивания с использованием соответствующего метода (методов) обезличивания персональных данных и исключения доступа к ним третьих лиц;

7) выделения при использовании метода обезличивания персональных данных, предусмотренного пунктом 12 методов обезличивания персональных данных, предусмотренных в приложении N 2 к настоящему приказу, субъектов персональных данных, атрибуты персональных данных которых подлежат обобщению, определения правил вычисления значений, на которые будет осуществляться замена исходных атрибутов персональных данных субъектов персональных данных, и способов их группировки по полученным значениям атрибутов персональных данных.