Как организовать обезличивание ПДн в компании: план для DPO
Обезличивание персональных данных в организации — это не разовая задача, а постоянный процесс с ответственным, регламентом и документами. Разбираем порядок обезличивания ПДн по шагам: от инвентаризации до интеграции с нейросетями.
Обезличивание персональных данных в организации — одна из тех тем, которую DPO откладывает «на потом», пока не приходит проверка Роскомнадзора или пока сотрудники не начинают массово копировать договоры в чат-боты. На практике это управляемый процесс: его можно выстроить за несколько недель, если действовать по плану.
В этой статье — практический порядок обезличивания ПДн: когда компания обязана это делать, кого назначить ответственным, как провести инвентаризацию, чем ручное обезличивание отличается от автоматического, какие документы оформить и как встроить обезличивание в работу с искусственным интеллектом. Материал рассчитан на DPO, юристов и ИБ-специалистов, которым нужно не теоретическое описание, а рабочая схема.
Когда компания обязана обезличивать персональные данные
В 152-ФЗ нет нормы вида «все операторы обязаны обезличивать ПДн». Обезличивание — это инструмент, а не самоцель. Но есть набор ситуаций, в которых оно становится фактически обязательным или сильно снижает юридические риски.
Сценарии, где обезличивание необходимо:
- Передача данных для статистики, аналитики и исследований. Если данные передаются третьему лицу без отдельного согласия субъекта, их нужно обезличить так, чтобы конкретного человека нельзя было определить.
- Использование реальных данных в тестовых и демонстрационных средах. Разработчики и тестировщики не должны видеть настоящие ФИО, паспорта, телефоны клиентов. Здесь обезличивание (а точнее, псевдонимизация или маскирование) — стандарт ИБ.
- Выгрузка данных во внешние ИИ-сервисы. Любая отправка договора, резюме, медицинской выписки или клиентской базы в облачную нейросеть — это передача персональных данных третьему лицу. Обезличивание перед отправкой снимает основной риск.
- Минимизация последствий утечки. Обезличенный массив данных при утечке наносит несопоставимо меньший ущерб и снижает тяжесть ответственности оператора.
- Демонстрация добросовестности перед регулятором. Наличие порядка обезличивания и фактическая его реализация — аргумент в пользу оператора при проверке.
Отдельно стоит помнить требование статьи 18.1 152-ФЗ: оператор обязан принимать меры, достаточные для исполнения закона, и определять их самостоятельно. Программа обезличивания — одна из таких мер. Для государственных и муниципальных органов действуют дополнительные требования и методические рекомендации Роскомнадзора по способам обезличивания, и коммерческим компаниям имеет смысл ориентироваться на них как на признанный стандарт.
Обезличивание, псевдонимизация и анонимизация — не одно и то же
Прежде чем строить процесс, важно развести термины, потому что от этого зависит, какие данные останутся защищёнными.
- Обезличивание — действия, после которых нельзя определить принадлежность ПДн конкретному субъекту без дополнительной информации.
- Псевдонимизация — замена идентификаторов на условные обозначения (токены, коды) с сохранением возможности обратного сопоставления по отдельно хранимому ключу. Данные остаются персональными.
- Анонимизация — необратимое преобразование, после которого восстановить личность невозможно в принципе. Анонимизированные данные перестают быть персональными.
Для большинства задач — аналитика, тесты, подготовка к ИИ — применяется обезличивание или псевдонимизация. Полная анонимизация нужна там, где данные публикуются или передаются безвозвратно.
Шаг 1. Назначьте ответственного за обезличивание
Процесс без владельца не работает. Первый практический шаг — закрепить ответственность приказом.
В большинстве организаций ответственным за обезличивание становится лицо, ответственное за организацию обработки персональных данных (DPO), которого и так требует статья 18.1 152-ФЗ. В крупных компаниях зону ответственности делят:
| Роль | Зона ответственности |
|---|---|
| DPO / ответственный за обработку ПДн | Методология, регламент, контроль, взаимодействие с регулятором |
| Служба ИБ | Технические средства, контроль доступа, защита ключей псевдонимизации |
| Владельцы процессов (HR, юристы, финансы) | Исполнение порядка обезличивания в своих документах |
| Руководитель | Утверждение программы, выделение ресурсов |
Что закрепить в приказе:
- ФИО и должность ответственного.
- Перечень его полномочий и обязанностей.
- Порядок взаимодействия с подразделениями.
- Ответственность за нарушение порядка обезличивания.
Без явно назначенного ответственного при проверке невозможно показать, что процесс реально существует, а не описан «на бумаге».
Шаг 2. Проведите инвентаризацию персональных данных
Нельзя обезличить то, о существовании чего вы не знаете. Инвентаризация — самый трудоёмкий, но и самый важный этап. Её цель — составить полную карту: какие категории ПДн есть в компании, где они хранятся, кто к ним обращается и в каких процессах используются.
Что фиксировать по каждому массиву данных:
- категория субъектов (клиенты, сотрудники, кандидаты, контрагенты);
- состав данных (ФИО, паспорт, ИНН, телефон, адрес, банковские реквизиты, медданные, биометрия);
- место хранения (CRM, 1С, файловые папки, почта, мессенджеры, договоры в Word/PDF);
- правовое основание обработки;
- кто имеет доступ;
- передаётся ли наружу и кому;
- используется ли в аналитике, тестах, ИИ-сервисах.
Результат инвентаризации удобно свести в реестр обработки ПДн. На его основе вы помечаете массивы, которые подлежат обезличиванию, и определяете приоритеты: начинать стоит с тех данных, что чаще всего покидают защищённый контур, — выгрузки для аналитики, документы, которые сотрудники отправляют во внешние сервисы, тестовые базы.
Категории чувствительности
Удобно разметить данные по уровню риска — это поможет выбрать метод обезличивания и приоритет.
| Уровень | Примеры данных | Приоритет обезличивания |
|---|---|---|
| Критичный | Паспорт, биометрия, медданные, спецкатегории | Наивысший |
| Высокий | ФИО + контакты + финансовые реквизиты | Высокий |
| Средний | Контактные данные без привязки к спецкатегориям | Средний |
| Низкий | Уже агрегированные/обобщённые данные | По ситуации |
Шаг 3. Выберите методы: ручное или автоматическое обезличивание
Когда понятно, какие данные обезличивать, нужно решить — как именно. Регулятор называет несколько базовых способов: замена (введение идентификаторов), изменение состава или семантики, декомпозиция, перемешивание. На практике компания выбирает между двумя подходами по организации работы.
Ручное обезличивание
Сотрудник вручную вычитывает документ и заменяет/удаляет персональные данные.
Плюсы: - не требует инструментов; - подходит для разовых небольших документов.
Минусы: - медленно и не масштабируется; - человек пропускает данные в середине текста, в таблицах, колонтитулах, сносках, на сканах; - нет единообразия — каждый делает по-своему; - невозможно гарантировать полноту, а значит, остаётся юридический риск.
Автоматическое обезличивание
Специализированный инструмент находит персональные данные в тексте и документах и заменяет их по заданным правилам, а человек контролирует результат.
Плюсы: - скорость и масштаб — десятки документов в минуту; - единые правила для всей компании; - точное распознавание разных типов данных, включая те, что человек пропускает; - воспроизводимость и возможность контроля.
Минусы: - требует выбора надёжного инструмента; - результат всё равно нужно выборочно проверять.
Практический вывод: для регулярного потока документов и подготовки данных к ИИ автоматическое обезличивание безальтернативно. Ручной способ оставьте для редких исключений.
При этом критично, где происходит обработка. Если инструмент отправляет ваши документы на внешний сервер для обезличивания — вы решаете одну проблему и создаёте другую: данные всё равно покидают компанию. Поэтому в tirCoWork Анонимизатор работает локально, на вашем компьютере: исходные документы не уходят наружу, обезличивание происходит на устройстве сотрудника, а наружу при необходимости отправляется уже очищенный текст.
Шаг 4. Оформите обязательную документацию
Процесс, не закреплённый в документах, для проверяющего не существует. Минимальный комплект документов по обезличиванию выглядит так.
1. Программа (порядок) обезличивания
Внутренний регламент — сердце процесса. Он описывает:
- цели и область применения обезличивания;
- перечень категорий ПДн, подлежащих обезличиванию;
- применяемые методы для каждой категории;
- ответственных и их роли;
- процедуру контроля качества обезличивания;
- порядок хранения и защиты ключей псевдонимизации (если используется обратимое преобразование);
- порядок действий при работе с внешними сервисами и ИИ.
Важно: программа обезличивания — внутренний документ. Не путайте её с публикуемой на сайте Политикой обработки ПДн.
2. Акт обезличивания
Документ, фиксирующий факт обезличивания конкретного массива: что обезличивали, каким методом, кто исполнитель, дата, результат. Акт — главное доказательство, что процесс реально выполняется. Шаблон и порядок заполнения мы разбираем в отдельном материале по образцу акта.
3. Журнал обезличивания
Реестр всех операций обезличивания: дата, массив/документ, метод, ответственный, ссылка на акт. Журнал показывает регулярность и системность процесса.
| Документ | Назначение | Публичный? |
|---|---|---|
| Политика обработки ПДн | Верхнеуровневые принципы | Да, на сайте |
| Программа (порядок) обезличивания | Методы, ответственные, процедуры | Нет, внутренний |
| Акт обезличивания | Фиксация факта по массиву | Нет |
| Журнал обезличивания | Учёт всех операций | Нет |
| Приказ о назначении ответственного | Закрепление роли | Нет |
Штрафы по 152-ФЗ: что изменилось в 2024–2025 годах
Главная причина, почему обезличивание перестало быть факультативом, — резкое ужесточение ответственности. С 30 мая 2025 года вступили в силу поправки в КоАП, многократно поднявшие штрафы, и появилась отдельная ответственность за утечки (статья 13.11 КоАП в новой редакции).
| Нарушение | Штраф для юрлица |
|---|---|
| Обработка ПДн без правового основания | до 150 000 ₽ (повторно — до 500 000 ₽) |
| Обработка без согласия в письменной форме, где оно требуется | до 700 000 ₽ |
| Невыполнение обязанности по обезличиванию (для гос/муниципальных операторов) | до 200 000 ₽ |
| Утечка ПДн от 1 000 до 10 000 субъектов | от 3 000 000 до 5 000 000 ₽ |
| Утечка ПДн от 10 000 до 100 000 субъектов | от 5 000 000 до 10 000 000 ₽ |
| Утечка свыше 100 000 субъектов | от 10 000 000 до 15 000 000 ₽ |
| Повторная крупная утечка (оборотный штраф) | от 1% до 3% годовой выручки, но не более 500 млн ₽ |
Размеры штрафов приведены ориентировочно по действующей на 2025 год редакции КоАП РФ. Перед принятием решений сверяйтесь с актуальным текстом статей 13.11 и сопутствующих норм.
Логика очевидна: оборотные штрафы за утечки делают любые вложения в обезличивание экономически оправданными. Обезличенный массив при утечке не образует состава с тяжёлыми последствиями — раскрытие обезличенных данных не позволяет идентифицировать людей.
Шаг 5. Встройте обезличивание в работу с ИИ
Самый быстрорастущий канал утечки в 2025–2026 годах — не хакеры, а собственные сотрудники, которые загружают рабочие документы в чат-боты, чтобы «ускорить работу». Юрист отправляет договор «перепиши пункт», финансист — выгрузку с реквизитами «сделай сводку», HR — резюме кандидатов «оцени». Каждое такое действие — передача персональных данных третьему лицу без основания.
Запретительный подход («ИИ нельзя») не работает: сотрудники всё равно находят способ. Рабочая модель — разрешить ИИ, но через обезличивание.
Как встроить обезличивание в ИИ-процессы:
- Определите точки контакта с ИИ. Где именно сотрудники используют нейросети — анализ договоров, обработка обращений, подготовка отчётов.
- Сделайте обезличивание обязательным шагом перед отправкой. Документ сначала проходит через Анонимизатор, затем — в нейросеть.
- Используйте локальную обработку. Обезличивание должно происходить на устройстве сотрудника, чтобы исходник не покидал компанию. tirCoWork обезличивает локально и затем подставляет реальные данные обратно в ответ нейросети, если это нужно.
- Закрепите правило в регламенте. Опишите порядок работы с ИИ в программе обезличивания и доведите до сотрудников под подпись.
- Контролируйте. Включите проверку ИИ-сценариев в периодический аудит обработки ПДн.
Такой подход одновременно повышает производительность (сотрудники легально пользуются нейросетями) и закрывает главный канал утечки. Подробный чек-лист подготовки документа перед загрузкой в ИИ мы собрали отдельно.
Сводный план внедрения за 6 шагов
Чтобы не потерять структуру, вот компактная дорожная карта для DPO.
- Назначить ответственного приказом — определить DPO и зоны ответственности подразделений.
- Провести инвентаризацию — собрать реестр массивов ПДн, разметить по чувствительности.
- Выбрать методы — определить, что обезличивается вручную, а что автоматически и каким способом.
- Внедрить инструмент — развернуть локальное обезличивание, обучить сотрудников.
- Оформить документы — программа обезличивания, акты, журнал, приказ.
- Интегрировать с ИИ и контролировать — встроить обезличивание в ИИ-процессы, включить в аудит.
Практический вывод
Обезличивание персональных данных в организации — это не один документ и не одна кнопка, а процесс с владельцем, регламентом и измеримым результатом. Правильный порядок обезличивания ПДн начинается с назначения ответственного и честной инвентаризации, а заканчивается интеграцией в повседневную работу, включая нейросети.
В 2025 году цена ошибки выросла кратно: оборотные штрафы за утечки делают программу обезличивания не формальностью, а способом защитить и данные, и бюджет компании. Чем больше рутинных документов проходит через автоматическое локальное обезличивание, тем меньше поверхность риска.
Если вам нужно обезличивать договоры, выписки, резюме и таблицы быстро и без отправки исходников наружу — посмотрите, как это делает Анонимизатор tirCoWork: обработка идёт локально, на вашем компьютере, файлы остаются у вас, а сотрудники могут безопасно пользоваться ИИ.
Частые вопросы
Обязана ли компания обезличивать персональные данные?
Прямой обязанности обезличивать все ПДн в 152-ФЗ нет, но обезличивание становится обязательным условием в ряде сценариев: при передаче данных третьим лицам без согласия для статистики и аналитики, при выгрузке данных в ИИ-сервисы, при использовании реальных данных в тестовых средах. Кроме того, обезличивание — один из признанных регулятором способов снизить риски при обработке и доказать добросовестность оператора.
Кто должен отвечать за обезличивание в организации?
Ответственным обычно назначают лицо, ответственное за организацию обработки персональных данных (DPO) — этого требует статья 18.1 152-ФЗ. В крупных компаниях функцию делят между DPO, ИБ-службой и владельцами процессов. Назначение оформляется приказом, а порядок обезличивания закрепляется во внутреннем регламенте.
Чем программа обезличивания отличается от политики обработки ПДн?
Политика обработки ПДн — это общедокументируемый верхнеуровневый документ, публикуемый на сайте. Программа (порядок) обезличивания — внутренний регламент, который описывает конкретные методы, ответственных, перечень обезличиваемых данных и процедуры контроля. Это разные документы, и программа обезличивания не публикуется.
Можно ли обезличивать персональные данные вручную?
Можно, но это медленно и ненадёжно: человек пропускает данные в середине текста, в таблицах, в сканах. Для разовых небольших документов ручной способ допустим, но для регулярного потока документов и для подготовки данных к ИИ практичнее автоматическое обезличивание с проверкой человеком.
Нужно ли обезличивать документы перед загрузкой в нейросеть?
Да. Передача персональных данных в облачный ИИ-сервис — это передача третьему лицу, которая требует правового основания и часто нарушает режим конфиденциальности. Обезличивание документа перед отправкой в нейросеть снимает большую часть рисков. Анонимизатор tirCoWork делает это локально, на вашем компьютере, не отправляя исходные данные наружу.
Попробовать Анонимизатор tirCoWork — обезличивание локально, 30 дней бесплатно
Обезличивание работает локально, на вашем компьютере: файлы остаются у вас. 30 дней бесплатно, карта не нужна. Тарифы от 500 ₽/мес.
Попробовать Анонимизатор tirCoWork — обезличивание локально, 30 дней бесплатно