Как обезличивать персональные данные работников
Эксперты Системы Кадры совместно с Роскомнадзором подготовили рекомендацию, как по новым правилам обезличивать персданные сотрудников и избежать ответственности. В материале также образцы от экспертов Системы, которые согласовал Роскомнадзор, и видеоинструкции, как их заполнить в зависимости от ситуации.
Когда и какие персданные нужно обезличивать
Обезличивание персональных данных – это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность этих данных конкретному человеку. То есть обезличивание – это зашифровка сведений в целях их защиты. После такой обработки определить, к кому именно относятся сведения, без специального «ключа» или дополнительной информации невозможно (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Анастасия Синицына
главный редактор Системы Кадры, эксперт по трудовому законодательству
Когда и какие персданные нужно обезличивать
Обезличивание персональных данных – это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность этих данных конкретному человеку. То есть обезличивание – это зашифровка сведений в целях их защиты. После такой обработки определить, к кому именно относятся сведения, без специального «ключа» или дополнительной информации невозможно (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Пример
Как обезличить Ф. И. О. сотрудника
Имя, отчество и фамилия сотрудника – Сергей Николаевич Соколов. После обезличивания эти персональные данные превращают в короткие инициалы – С. Н. С. По набору букв невозможно точно установить личность их обладателя. Для этого нужен специальный ключ, а им после обезличивания располагает ограниченное количество сотрудников, например специалист по информационной безопасности, ответственный за обработку персональных данных.
Обезличить персональные данные нужно в двух случаях — по решению работодателя, если это необходимо для внутренних задач компании, или для предоставления данных по требованию в Минцифры.
Обезличивание по решению работодателя. Работодатель может обезличить персональные данные, вместо того чтобы их уничтожить, если достигнуты цели обработки или необходимость в достижении этих целей отпала. Такое обезличивание данных является добровольным, так как работодатель сам принимает решение, какие данные уничтожить, а какие обезличить (ч. 7 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ).
Необходимость обезличить данные может возникнуть, например, при работе с персданными уволенных работников. Когда сотрудник увольняется, работодатель достигает цели обработки сведений о работнике – трудовые отношения прекращаются. Это означает, что данные нужно либо уничтожить, либо обезличить, если нет других правовых оснований для их обработки.
При этом уничтожать или обезличивать кадровые документы, которые закон требует длительно хранить, не нужно. Требования по уничтожению или обезличению их не касаются. Данные и в кадровых, и в бухгалтерских системах также можно хранить, если они связаны с исполнением обязательств перед уволенным работником. К примеру, личные дела уволенных сотрудников нужно хранить 50 или 75 лет в соответствии с приказом Росархива от 20.12.2019 № 236. Эти персданные можно хранить в кадровых и бухгалтерских системах для обеспечения прав бывших работников.
Однако нередко персданные сотрудников остаются в других цифровых средах – базах данных, CRM, корпоративных мессенджерах, на корпоративном портале. Их удаление может нарушить связность информации и нарушить работу внутренних систем. В этих случаях единственный законный путь – не уничтожать, а обезличить информацию, чтобы исключить возможность идентифицировать конкретного человека, но сохранить структуру и полезность массива данных.
С 1 сентября обезличивать персданные по решению работодателя нужно с учетом требований и методами, установленными приказом Роскомнадзора от 19.06.2025 № 140. Подробнее о порядке обезличивания данных для внутренних задач работодателя читайте в разделе ниже.
Обезличивание по требованию Минцифры. С 1 сентября 2025 года все работодатели обязаны обезличивать и передавать персданные по запросу в Минцифры. Ведомство формирует из них составы данных в Единой информационной платформе национальной системы управления данными — ЕИП НСУД. Информацию могут запросить, например, при угрозе или возникновении чрезвычайных ситуаций, для мероприятий по борьбе с терроризмом, предупреждения эпидемий и отравлений, проведения исследований в экономической, социальной сферах, в сфере туризма и миграционной политики и др. (постановление Правительства от 24.04.2025 № 538).
Какие именно данные нужно обезличить и передать, Минцифры укажет в требовании, которое поступит в вашу компанию. При этом работодатель должен исключить из персданных информацию, доступ к которой ограничен федеральными законами. Например, сведения о гостайне. Такую информацию в Минцифры не передают. Также Минцифры не вправе запрашивать биометрические данные, например отпечатки пальцев, а также специальные категории персданных, например сведения о национальности, политических взглядах. Исключение – сведения о состоянии здоровья (ч. 1, 3 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Правила, требования и методы обезличивания данных для предоставления их по требованию Минцифры закрепили в постановлении Правительства от 01.08.2025 № 1154. Подробнее об обезличивании данных по требованию Минцифры читайте в разделе ниже.
По каким правилам обезличивать персданные
Порядок обезличивания персональных данных зависит от того, с какой целью работодатель это делает – для своих внутренних задач, то есть по своему желанию или чтобы предоставить эти данные по требованию в Минцифры.
Порядок обезличивания по решению работодателя. Когда работодатель сам принимает решение обезличить персданные сотрудников, то использовать какие-либо свои методы обезличивания нельзя. Нужно все равно соблюдать требования и методы обезличивания, которые Роскомнадзор утвердил в приложении 2 к приказу от 19.06.2025 № 140. Всего методов пять:
Применять эти методы можно как по отдельности, так и вместе. Исключение – метод преобразования. Его можно использовать только в дополнение к остальным.
Чтобы выбрать метод обезличивания, оцените объем и состав персданных, которые планируете обезличивать. Для выбора привлеките специалистов ИТ-отдела, так как именно они отвечают за технический процесс обезличивания персданных. Подробное описание каждого метода обезличивания с примерами, как его применять, и со сравнениями исходных данных и результата обезличивания смотрите ниже.
Метод введения идентификаторов. Суть метода в том, что часть сведений заменяют идентификаторами – условными обозначениями в виде кода, номера или другого обозначения. Например, в базе данных или отчетах можно заменить Ф. И. О. сотрудника на уникальный идентификатор, допустим – CC-2026-76. При этом создают таблицу соответствия идентификаторов исходным данным (ключ), которую нужно хранить отдельно с ограниченным доступом.
Метод изменения состава или семантики. При таком методе часть сведений, которые не представляют практической пользы, удаляют, искажают или изменяют. Например, вместо точной даты рождения можно оставить только год, вместо полного адреса – город, вместо суммы дохода — диапазон. Смысл в том, чтобы изменить данные так, чтобы конкретика пропала, но аналитическая ценность сохранилась.
Для удаления атрибутов персональных данных исключите из массива персональных данных те данные, которые не нужны для достижения цели обработки. Например, для ведения статистики по возрасту работников не нужны Ф. И. О., этот атрибут можно удалить. Удалять можно атрибуты, которые относятся ко всем или к некоторым субъектами персданных. Например, удалить Ф. И. О. только женщин.
Чтобы исказить атрибуты персданных, можно добавить в их атрибуты дополнительную информацию, которая будет препятствовать установлению субъекта персданных, или случайные значения, в том числе полученные в результате вычитания либо добавления заданного числа из значений количественного атрибута персданных. Пример: для искажения возраста из реального возраста работников вычитают пять или десять.
Изменить атрибуты персональных данных можно путем замены значений атрибутов персданных:
Метод декомпозиции. Персональные данные разбивают на несколько частей, которые хранят отдельно друг от друга. К примеру, можно разнести информацию по разным модулям: в одной части оставить должность и задачи, в другой – контакты. При этом между частями не должно быть связи, которая позволит восстановить полную картину о работнике.
Метод перемешивания. При таком методе меняют местами сведения или группу сведений между собой. Например, можно случайным образом перемешать номера телефонов, e-mail или даты рождения между строками – так, чтобы каждая строка больше не соответствовала конкретному работнику.
Метод преобразования. Это дополнительный метод обезличивания персданных. Его можно применять только одновременно с одним из указанных выше методов, чтобы исключить связь между атрибутами персональных данных и их субъектами. Метод преобразования позволяет обобщить элементы структуры массива персданных, которые имеют качественные или количественные значения применительно к каждому субъекту персданных, а также установить заданное количество их различных значений, чтобы отобразить исходное распределение каждого значения. Например, в отчетах о текучести кадров можно указать, что уволились три специалиста 25–35 лет из ИT-отдела, без указания фамилий.
Чтобы использовать в компании обезличивание персданных, разработайте локальный акт, который будет регламентировать порядок их обезличивания, например положение об обезличивании персональных данных. В нем нужно прописать:
Положение храните отдельно от других документов, связанных с обработкой персональных данных, чтобы исключить к нему доступ третьих лиц. Поскольку они не должны знать, какие системы и программы для обезличивания вы применяете.
Чтобы обезличить персональные данные, издайте приказ в произвольной форме. В нем определите состав персданных и сотрудников, чьи персданные планируете обезличивать, укажите выбранный метод обезличивания и ответственных сотрудников.
Сам технический процесс обезличивания проводите совместно со специалистами ИТ-отдела в информационных системах или программах, которые обеспечивают безопасность и конфиденциальность персданных и данных, которые получите в результате обезличивания (под. 5 п. 1 приложения 1 к приказу Роскомнадзора от 01.08.2025 №140).
После того как закончите процедуру обезличивания, задокументируйте ее результаты. Это обязательное требование, но унифицированной формы для этого нет, поэтому можете разработать ее сами. Например, это может быть акт об обезличивании персональных данных или журнал учета операций по обезличиванию персональных данных.
Обезличенные персональные данные храните отдельно от данных, которые только планируете обезличить. Проработайте совместно с ИT-отделом техническое решение для раздельного хранения таких данных.
Порядок обезличивания по требованию Минцифры. Чтобы обезличивать персональные данные по требованию Минцифры, нужно соблюдать требования, методы и правила обезличивания, которые утверждены постановлением Правительства от 01.08.2025 № 1154. Так, при обезличивании данных работодатель должен:
Методы обезличивания данных по запросу Минцифры аналогичны тем, что утвердил Роскомнадзор. Смотрите их в ...
Обезличивание по решению работодателя. Работодатель может обезличить персональные данные, вместо того чтобы их уничтожить, если достигнуты цели обработки или необходимость в достижении этих целей отпала. Такое обезличивание данных является добровольным, так как работодатель сам принимает решение, какие данные уничтожить, а какие обезличить (ч. 7 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ).
Необходимость обезличить данные может возникнуть, например, при работе с персданными уволенных работников. Когда сотрудник увольняется, работодатель достигает цели обработки сведений о работнике – трудовые отношения прекращаются. Это означает, что данные нужно либо уничтожить, либо обезличить, если нет других правовых оснований для их обработки.
При этом уничтожать или обезличивать кадровые документы, которые закон требует длительно хранить, не нужно. Требования по уничтожению или обезличению их не касаются. Данные и в кадровых, и в бухгалтерских системах также можно хранить, если они связаны с исполнением обязательств перед уволенным работником. К примеру, личные дела уволенных сотрудников нужно хранить 50 или 75 лет в соответствии с приказом Росархива от 20.12.2019 № 236. Эти персданные можно хранить в кадровых и бухгалтерских системах для обеспечения прав бывших работников.
Однако нередко персданные сотрудников остаются в других цифровых средах – базах данных, CRM, корпоративных мессенджерах, на корпоративном портале. Их удаление может нарушить связность информации и нарушить работу внутренних систем. В этих случаях единственный законный путь – не уничтожать, а обезличить информацию, чтобы исключить возможность идентифицировать конкретного человека, но сохранить структуру и полезность массива данных.
С 1 сентября обезличивать персданные по решению работодателя нужно с учетом требований и методами, установленными приказом Роскомнадзора от 19.06.2025 № 140. Подробнее о порядке обезличивания данных для внутренних задач работодателя читайте в разделе ниже.
Обезличивание по требованию Минцифры. С 1 сентября 2025 года все работодатели обязаны обезличивать и передавать персданные по запросу в Минцифры. Ведомство формирует из них составы данных в Единой информационной платформе национальной системы управления данными — ЕИП НСУД. Информацию могут запросить, например, при угрозе или возникновении чрезвычайных ситуаций, для мероприятий по борьбе с терроризмом, предупреждения эпидемий и отравлений, проведения исследований в экономической, социальной сферах, в сфере туризма и миграционной политики и др. (постановление Правительства от 24.04.2025 № 538).
Какие именно данные нужно обезличить и передать, Минцифры укажет в требовании, которое поступит в вашу компанию. При этом работодатель должен исключить из персданных информацию, доступ к которой ограничен федеральными законами. Например, сведения о гостайне. Такую информацию в Минцифры не передают. Также Минцифры не вправе запрашивать биометрические данные, например отпечатки пальцев, а также специальные категории персданных, например сведения о национальности, политических взглядах. Исключение – сведения о состоянии здоровья (ч. 1, 3 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Правила, требования и методы обезличивания данных для предоставления их по требованию Минцифры закрепили в постановлении Правительства от 01.08.2025 № 1154. Подробнее об обезличивании данных по требованию Минцифры читайте в разделе ниже.
По каким правилам обезличивать персданные
Порядок обезличивания персональных данных зависит от того, с какой целью работодатель это делает – для своих внутренних задач, то есть по своему желанию или чтобы предоставить эти данные по требованию в Минцифры.
Порядок обезличивания по решению работодателя. Когда работодатель сам принимает решение обезличить персданные сотрудников, то использовать какие-либо свои методы обезличивания нельзя. Нужно все равно соблюдать требования и методы обезличивания, которые Роскомнадзор утвердил в приложении 2 к приказу от 19.06.2025 № 140. Всего методов пять:
- введение идентификаторов;
- изменение состава или семантики;
- декомпозиция;
- перемешивание;
- преобразование.
Применять эти методы можно как по отдельности, так и вместе. Исключение – метод преобразования. Его можно использовать только в дополнение к остальным.
Чтобы выбрать метод обезличивания, оцените объем и состав персданных, которые планируете обезличивать. Для выбора привлеките специалистов ИТ-отдела, так как именно они отвечают за технический процесс обезличивания персданных. Подробное описание каждого метода обезличивания с примерами, как его применять, и со сравнениями исходных данных и результата обезличивания смотрите ниже.
Метод введения идентификаторов. Суть метода в том, что часть сведений заменяют идентификаторами – условными обозначениями в виде кода, номера или другого обозначения. Например, в базе данных или отчетах можно заменить Ф. И. О. сотрудника на уникальный идентификатор, допустим – CC-2026-76. При этом создают таблицу соответствия идентификаторов исходным данным (ключ), которую нужно хранить отдельно с ограниченным доступом.
Метод изменения состава или семантики. При таком методе часть сведений, которые не представляют практической пользы, удаляют, искажают или изменяют. Например, вместо точной даты рождения можно оставить только год, вместо полного адреса – город, вместо суммы дохода — диапазон. Смысл в том, чтобы изменить данные так, чтобы конкретика пропала, но аналитическая ценность сохранилась.
Для удаления атрибутов персональных данных исключите из массива персональных данных те данные, которые не нужны для достижения цели обработки. Например, для ведения статистики по возрасту работников не нужны Ф. И. О., этот атрибут можно удалить. Удалять можно атрибуты, которые относятся ко всем или к некоторым субъектами персданных. Например, удалить Ф. И. О. только женщин.
Чтобы исказить атрибуты персданных, можно добавить в их атрибуты дополнительную информацию, которая будет препятствовать установлению субъекта персданных, или случайные значения, в том числе полученные в результате вычитания либо добавления заданного числа из значений количественного атрибута персданных. Пример: для искажения возраста из реального возраста работников вычитают пять или десять.
Изменить атрибуты персональных данных можно путем замены значений атрибутов персданных:
- обобщенными значениями, полученными при округлении количественного значения атрибута или использовании его среднего значения, введении порога для наибольших и наименьших значений количественного атрибута или укрупнении значения атрибута в пределах группы атрибутов. Например, дату рождения можно обобщить до года;
- условными знаковыми обозначениями, в том числе замены части значений атрибута на знак «*». Например, город заменить на знак «*»;
- случайными значениями атрибутов, которые не относятся к субъекту персданных, данные которого нужно обезличить.
Метод декомпозиции. Персональные данные разбивают на несколько частей, которые хранят отдельно друг от друга. К примеру, можно разнести информацию по разным модулям: в одной части оставить должность и задачи, в другой – контакты. При этом между частями не должно быть связи, которая позволит восстановить полную картину о работнике.
Метод перемешивания. При таком методе меняют местами сведения или группу сведений между собой. Например, можно случайным образом перемешать номера телефонов, e-mail или даты рождения между строками – так, чтобы каждая строка больше не соответствовала конкретному работнику.
Метод преобразования. Это дополнительный метод обезличивания персданных. Его можно применять только одновременно с одним из указанных выше методов, чтобы исключить связь между атрибутами персональных данных и их субъектами. Метод преобразования позволяет обобщить элементы структуры массива персданных, которые имеют качественные или количественные значения применительно к каждому субъекту персданных, а также установить заданное количество их различных значений, чтобы отобразить исходное распределение каждого значения. Например, в отчетах о текучести кадров можно указать, что уволились три специалиста 25–35 лет из ИT-отдела, без указания фамилий.
Чтобы использовать в компании обезличивание персданных, разработайте локальный акт, который будет регламентировать порядок их обезличивания, например положение об обезличивании персональных данных. В нем нужно прописать:
- порядок обработки персданных, которые подлежат обезличиванию, и обезличенных данных;
- порядок обезличивания персданных;
- методы обезличивания, правила их использования и порядок оценки достаточности выбранного метода.
Положение храните отдельно от других документов, связанных с обработкой персональных данных, чтобы исключить к нему доступ третьих лиц. Поскольку они не должны знать, какие системы и программы для обезличивания вы применяете.
Чтобы обезличить персональные данные, издайте приказ в произвольной форме. В нем определите состав персданных и сотрудников, чьи персданные планируете обезличивать, укажите выбранный метод обезличивания и ответственных сотрудников.
Сам технический процесс обезличивания проводите совместно со специалистами ИТ-отдела в информационных системах или программах, которые обеспечивают безопасность и конфиденциальность персданных и данных, которые получите в результате обезличивания (под. 5 п. 1 приложения 1 к приказу Роскомнадзора от 01.08.2025 №140).
После того как закончите процедуру обезличивания, задокументируйте ее результаты. Это обязательное требование, но унифицированной формы для этого нет, поэтому можете разработать ее сами. Например, это может быть акт об обезличивании персональных данных или журнал учета операций по обезличиванию персональных данных.
Обезличенные персональные данные храните отдельно от данных, которые только планируете обезличить. Проработайте совместно с ИT-отделом техническое решение для раздельного хранения таких данных.
Порядок обезличивания по требованию Минцифры. Чтобы обезличивать персональные данные по требованию Минцифры, нужно соблюдать требования, методы и правила обезличивания, которые утверждены постановлением Правительства от 01.08.2025 № 1154. Так, при обезличивании данных работодатель должен:
- хранить персданные отдельно от обезличенных и обеспечить их безопасность;
- исключить из сведений информацию, доступ к которой ограничен федеральными законами, например информацию о гостайне;
- использовать алгоритмы и программы, которые позволяют передавать обезличенные данные без потерь или изменений;
- поддерживать актуальность обезличенных данных, обеспечить возможность изменять, дополнять данные и обезличивать их повторно без возможности преобразовать к исходному виду, который позволил бы определить, кому они принадлежат.
Методы обезличивания данных по запросу Минцифры аналогичны тем, что утвердил Роскомнадзор. Смотрите их в ...
Информационный источник публикации Актион МЦФЭР
Источник изображения Freepik
Получить консультацию
