1 сентября 2025 года вступает в силу Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных», который вносит очередные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Новые законодательные нормы направлены на регулирование обращения с обезличенными персональными данными (ПДн), а также предусматривают создание государственной информационной системы (ГИС), содержащей обезличенные ПДн.
Для реализации требований закона 233-ФЗ Минцифры России представило проект Постановления Правительства Российской Федерации «О государственной информационной системе, предназначенной для обработки персональных данных, полученных в результате обезличивания персональных данных, и внесении изменений в постановление Правительства РФ от 14 мая 2021 № 733». Этим документом вводятся новые понятия:
— «Состав данных» — сгруппированные обезличенные ПДн, последующая обработка которых не позволит определить их принадлежность конкретному субъекту ПДн;
— «Обезличенные персональные данные», под которыми подразумеваются ПДн, обезличенные в соответствии со статьёй 13.1 152-ФЗ.
Роскомнадзор, в свою очередь, представил проект приказа «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных». Согласно документу, который сейчас находится на рассмотрении, операторам ПДн будет необходимо:
- Использовать методы обезличивания ПДн;
- Определять перед началом осуществления действий по обезличиванию ПДн состав данных, подлежащих обезличиванию, и состав субъектов, персональные данные которых подлежат обезличиванию;
- Осуществлять оценку достаточности выбранных методов обезличивания ПДн;
- Исключить совместное хранение массива ПДн, подлежащих обезличиванию, и ПДн, полученных в результате обезличивания;
- Вести учёт осуществляемых действий по обезличиванию ПДн;
- Принять внутренние нормативные документы, определяющие порядок обработки данных, подлежащих обезличиванию, осуществления деятельности по обезличиванию ПДн, оценки достаточности применяемого метода обезличивания ПДн, обработки ПДн, полученных в результате обезличивания ПДн;
- Исключить доступ третьих лиц к внутренним документам, информации о используемом методе обезличивания ПДн, используемых информационных системах и программах для электронных вычислительных машин для обезличивания ПДн.
Департамент защиты персональных данных ЦИБИТ оказывает услугу по приведению процессов обработки персональных данных в соответствие требованиям законодательства.
Результатом проведения работ является организация процесса обработки персональных данных, соответствующего актуальным требованиям закона.