Как организовать обезличивание ПДн в компании: план для DPO

Обезличивание персональных данных в организации — это не разовая задача, а постоянный процесс с ответственным, регламентом и документами. Разбираем порядок обезличивания ПДн по шагам: от инвентаризации до интеграции с нейросетями.

Как организовать обезличивание ПДн в компании: план для DPO

Обезличивание персональных данных в организации — одна из тех тем, которую DPO откладывает «на потом», пока не приходит проверка Роскомнадзора или пока сотрудники не начинают массово копировать договоры в чат-боты. На практике это управляемый процесс: его можно выстроить за несколько недель, если действовать по плану.

В этой статье — практический порядок обезличивания ПДн: когда компания обязана это делать, кого назначить ответственным, как провести инвентаризацию, чем ручное обезличивание отличается от автоматического, какие документы оформить и как встроить обезличивание в работу с искусственным интеллектом. Материал рассчитан на DPO, юристов и ИБ-специалистов, которым нужно не теоретическое описание, а рабочая схема.

Когда компания обязана обезличивать персональные данные

В 152-ФЗ нет нормы вида «все операторы обязаны обезличивать ПДн». Обезличивание — это инструмент, а не самоцель. Но есть набор ситуаций, в которых оно становится фактически обязательным или сильно снижает юридические риски.

Сценарии, где обезличивание необходимо:

  • Передача данных для статистики, аналитики и исследований. Если данные передаются третьему лицу без отдельного согласия субъекта, их нужно обезличить так, чтобы конкретного человека нельзя было определить.
  • Использование реальных данных в тестовых и демонстрационных средах. Разработчики и тестировщики не должны видеть настоящие ФИО, паспорта, телефоны клиентов. Здесь обезличивание (а точнее, псевдонимизация или маскирование) — стандарт ИБ.
  • Выгрузка данных во внешние ИИ-сервисы. Любая отправка договора, резюме, медицинской выписки или клиентской базы в облачную нейросеть — это передача персональных данных третьему лицу. Обезличивание перед отправкой снимает основной риск.
  • Минимизация последствий утечки. Обезличенный массив данных при утечке наносит несопоставимо меньший ущерб и снижает тяжесть ответственности оператора.
  • Демонстрация добросовестности перед регулятором. Наличие порядка обезличивания и фактическая его реализация — аргумент в пользу оператора при проверке.

Отдельно стоит помнить требование статьи 18.1 152-ФЗ: оператор обязан принимать меры, достаточные для исполнения закона, и определять их самостоятельно. Программа обезличивания — одна из таких мер. Для государственных и муниципальных органов действуют дополнительные требования и методические рекомендации Роскомнадзора по способам обезличивания, и коммерческим компаниям имеет смысл ориентироваться на них как на признанный стандарт.

Обезличивание, псевдонимизация и анонимизация — не одно и то же

Прежде чем строить процесс, важно развести термины, потому что от этого зависит, какие данные останутся защищёнными.

  • Обезличивание — действия, после которых нельзя определить принадлежность ПДн конкретному субъекту без дополнительной информации.
  • Псевдонимизация — замена идентификаторов на условные обозначения (токены, коды) с сохранением возможности обратного сопоставления по отдельно хранимому ключу. Данные остаются персональными.
  • Анонимизация — необратимое преобразование, после которого восстановить личность невозможно в принципе. Анонимизированные данные перестают быть персональными.

Для большинства задач — аналитика, тесты, подготовка к ИИ — применяется обезличивание или псевдонимизация. Полная анонимизация нужна там, где данные публикуются или передаются безвозвратно.

Шаг 1. Назначьте ответственного за обезличивание

Процесс без владельца не работает. Первый практический шаг — закрепить ответственность приказом.

В большинстве организаций ответственным за обезличивание становится лицо, ответственное за организацию обработки персональных данных (DPO), которого и так требует статья 18.1 152-ФЗ. В крупных компаниях зону ответственности делят:

Роль Зона ответственности
DPO / ответственный за обработку ПДн Методология, регламент, контроль, взаимодействие с регулятором
Служба ИБ Технические средства, контроль доступа, защита ключей псевдонимизации
Владельцы процессов (HR, юристы, финансы) Исполнение порядка обезличивания в своих документах
Руководитель Утверждение программы, выделение ресурсов

Что закрепить в приказе:

  1. ФИО и должность ответственного.
  2. Перечень его полномочий и обязанностей.
  3. Порядок взаимодействия с подразделениями.
  4. Ответственность за нарушение порядка обезличивания.

Без явно назначенного ответственного при проверке невозможно показать, что процесс реально существует, а не описан «на бумаге».

Шаг 2. Проведите инвентаризацию персональных данных

Нельзя обезличить то, о существовании чего вы не знаете. Инвентаризация — самый трудоёмкий, но и самый важный этап. Её цель — составить полную карту: какие категории ПДн есть в компании, где они хранятся, кто к ним обращается и в каких процессах используются.

Что фиксировать по каждому массиву данных:

  • категория субъектов (клиенты, сотрудники, кандидаты, контрагенты);
  • состав данных (ФИО, паспорт, ИНН, телефон, адрес, банковские реквизиты, медданные, биометрия);
  • место хранения (CRM, 1С, файловые папки, почта, мессенджеры, договоры в Word/PDF);
  • правовое основание обработки;
  • кто имеет доступ;
  • передаётся ли наружу и кому;
  • используется ли в аналитике, тестах, ИИ-сервисах.

Результат инвентаризации удобно свести в реестр обработки ПДн. На его основе вы помечаете массивы, которые подлежат обезличиванию, и определяете приоритеты: начинать стоит с тех данных, что чаще всего покидают защищённый контур, — выгрузки для аналитики, документы, которые сотрудники отправляют во внешние сервисы, тестовые базы.

Категории чувствительности

Удобно разметить данные по уровню риска — это поможет выбрать метод обезличивания и приоритет.

Уровень Примеры данных Приоритет обезличивания
Критичный Паспорт, биометрия, медданные, спецкатегории Наивысший
Высокий ФИО + контакты + финансовые реквизиты Высокий
Средний Контактные данные без привязки к спецкатегориям Средний
Низкий Уже агрегированные/обобщённые данные По ситуации

Шаг 3. Выберите методы: ручное или автоматическое обезличивание

Когда понятно, какие данные обезличивать, нужно решить — как именно. Регулятор называет несколько базовых способов: замена (введение идентификаторов), изменение состава или семантики, декомпозиция, перемешивание. На практике компания выбирает между двумя подходами по организации работы.

Ручное обезличивание

Сотрудник вручную вычитывает документ и заменяет/удаляет персональные данные.

Плюсы: - не требует инструментов; - подходит для разовых небольших документов.

Минусы: - медленно и не масштабируется; - человек пропускает данные в середине текста, в таблицах, колонтитулах, сносках, на сканах; - нет единообразия — каждый делает по-своему; - невозможно гарантировать полноту, а значит, остаётся юридический риск.

Автоматическое обезличивание

Специализированный инструмент находит персональные данные в тексте и документах и заменяет их по заданным правилам, а человек контролирует результат.

Плюсы: - скорость и масштаб — десятки документов в минуту; - единые правила для всей компании; - точное распознавание разных типов данных, включая те, что человек пропускает; - воспроизводимость и возможность контроля.

Минусы: - требует выбора надёжного инструмента; - результат всё равно нужно выборочно проверять.

Практический вывод: для регулярного потока документов и подготовки данных к ИИ автоматическое обезличивание безальтернативно. Ручной способ оставьте для редких исключений.

При этом критично, где происходит обработка. Если инструмент отправляет ваши документы на внешний сервер для обезличивания — вы решаете одну проблему и создаёте другую: данные всё равно покидают компанию. Поэтому в tirCoWork Анонимизатор работает локально, на вашем компьютере: исходные документы не уходят наружу, обезличивание происходит на устройстве сотрудника, а наружу при необходимости отправляется уже очищенный текст.

Шаг 4. Оформите обязательную документацию

Процесс, не закреплённый в документах, для проверяющего не существует. Минимальный комплект документов по обезличиванию выглядит так.

1. Программа (порядок) обезличивания

Внутренний регламент — сердце процесса. Он описывает:

  • цели и область применения обезличивания;
  • перечень категорий ПДн, подлежащих обезличиванию;
  • применяемые методы для каждой категории;
  • ответственных и их роли;
  • процедуру контроля качества обезличивания;
  • порядок хранения и защиты ключей псевдонимизации (если используется обратимое преобразование);
  • порядок действий при работе с внешними сервисами и ИИ.

Важно: программа обезличивания — внутренний документ. Не путайте её с публикуемой на сайте Политикой обработки ПДн.

2. Акт обезличивания

Документ, фиксирующий факт обезличивания конкретного массива: что обезличивали, каким методом, кто исполнитель, дата, результат. Акт — главное доказательство, что процесс реально выполняется. Шаблон и порядок заполнения мы разбираем в отдельном материале по образцу акта.

3. Журнал обезличивания

Реестр всех операций обезличивания: дата, массив/документ, метод, ответственный, ссылка на акт. Журнал показывает регулярность и системность процесса.

Документ Назначение Публичный?
Политика обработки ПДн Верхнеуровневые принципы Да, на сайте
Программа (порядок) обезличивания Методы, ответственные, процедуры Нет, внутренний
Акт обезличивания Фиксация факта по массиву Нет
Журнал обезличивания Учёт всех операций Нет
Приказ о назначении ответственного Закрепление роли Нет

Штрафы по 152-ФЗ: что изменилось в 2024–2025 годах

Главная причина, почему обезличивание перестало быть факультативом, — резкое ужесточение ответственности. С 30 мая 2025 года вступили в силу поправки в КоАП, многократно поднявшие штрафы, и появилась отдельная ответственность за утечки (статья 13.11 КоАП в новой редакции).

Нарушение Штраф для юрлица
Обработка ПДн без правового основания до 150 000 ₽ (повторно — до 500 000 ₽)
Обработка без согласия в письменной форме, где оно требуется до 700 000 ₽
Невыполнение обязанности по обезличиванию (для гос/муниципальных операторов) до 200 000 ₽
Утечка ПДн от 1 000 до 10 000 субъектов от 3 000 000 до 5 000 000 ₽
Утечка ПДн от 10 000 до 100 000 субъектов от 5 000 000 до 10 000 000 ₽
Утечка свыше 100 000 субъектов от 10 000 000 до 15 000 000 ₽
Повторная крупная утечка (оборотный штраф) от 1% до 3% годовой выручки, но не более 500 млн ₽

Размеры штрафов приведены ориентировочно по действующей на 2025 год редакции КоАП РФ. Перед принятием решений сверяйтесь с актуальным текстом статей 13.11 и сопутствующих норм.

Логика очевидна: оборотные штрафы за утечки делают любые вложения в обезличивание экономически оправданными. Обезличенный массив при утечке не образует состава с тяжёлыми последствиями — раскрытие обезличенных данных не позволяет идентифицировать людей.

Шаг 5. Встройте обезличивание в работу с ИИ

Самый быстрорастущий канал утечки в 2025–2026 годах — не хакеры, а собственные сотрудники, которые загружают рабочие документы в чат-боты, чтобы «ускорить работу». Юрист отправляет договор «перепиши пункт», финансист — выгрузку с реквизитами «сделай сводку», HR — резюме кандидатов «оцени». Каждое такое действие — передача персональных данных третьему лицу без основания.

Запретительный подход («ИИ нельзя») не работает: сотрудники всё равно находят способ. Рабочая модель — разрешить ИИ, но через обезличивание.

Как встроить обезличивание в ИИ-процессы:

  1. Определите точки контакта с ИИ. Где именно сотрудники используют нейросети — анализ договоров, обработка обращений, подготовка отчётов.
  2. Сделайте обезличивание обязательным шагом перед отправкой. Документ сначала проходит через Анонимизатор, затем — в нейросеть.
  3. Используйте локальную обработку. Обезличивание должно происходить на устройстве сотрудника, чтобы исходник не покидал компанию. tirCoWork обезличивает локально и затем подставляет реальные данные обратно в ответ нейросети, если это нужно.
  4. Закрепите правило в регламенте. Опишите порядок работы с ИИ в программе обезличивания и доведите до сотрудников под подпись.
  5. Контролируйте. Включите проверку ИИ-сценариев в периодический аудит обработки ПДн.

Такой подход одновременно повышает производительность (сотрудники легально пользуются нейросетями) и закрывает главный канал утечки. Подробный чек-лист подготовки документа перед загрузкой в ИИ мы собрали отдельно.

Сводный план внедрения за 6 шагов

Чтобы не потерять структуру, вот компактная дорожная карта для DPO.

  1. Назначить ответственного приказом — определить DPO и зоны ответственности подразделений.
  2. Провести инвентаризацию — собрать реестр массивов ПДн, разметить по чувствительности.
  3. Выбрать методы — определить, что обезличивается вручную, а что автоматически и каким способом.
  4. Внедрить инструмент — развернуть локальное обезличивание, обучить сотрудников.
  5. Оформить документы — программа обезличивания, акты, журнал, приказ.
  6. Интегрировать с ИИ и контролировать — встроить обезличивание в ИИ-процессы, включить в аудит.

Практический вывод

Обезличивание персональных данных в организации — это не один документ и не одна кнопка, а процесс с владельцем, регламентом и измеримым результатом. Правильный порядок обезличивания ПДн начинается с назначения ответственного и честной инвентаризации, а заканчивается интеграцией в повседневную работу, включая нейросети.

В 2025 году цена ошибки выросла кратно: оборотные штрафы за утечки делают программу обезличивания не формальностью, а способом защитить и данные, и бюджет компании. Чем больше рутинных документов проходит через автоматическое локальное обезличивание, тем меньше поверхность риска.

Если вам нужно обезличивать договоры, выписки, резюме и таблицы быстро и без отправки исходников наружу — посмотрите, как это делает Анонимизатор tirCoWork: обработка идёт локально, на вашем компьютере, файлы остаются у вас, а сотрудники могут безопасно пользоваться ИИ.

Частые вопросы

Обязана ли компания обезличивать персональные данные?

Прямой обязанности обезличивать все ПДн в 152-ФЗ нет, но обезличивание становится обязательным условием в ряде сценариев: при передаче данных третьим лицам без согласия для статистики и аналитики, при выгрузке данных в ИИ-сервисы, при использовании реальных данных в тестовых средах. Кроме того, обезличивание — один из признанных регулятором способов снизить риски при обработке и доказать добросовестность оператора.

Кто должен отвечать за обезличивание в организации?

Ответственным обычно назначают лицо, ответственное за организацию обработки персональных данных (DPO) — этого требует статья 18.1 152-ФЗ. В крупных компаниях функцию делят между DPO, ИБ-службой и владельцами процессов. Назначение оформляется приказом, а порядок обезличивания закрепляется во внутреннем регламенте.

Чем программа обезличивания отличается от политики обработки ПДн?

Политика обработки ПДн — это общедокументируемый верхнеуровневый документ, публикуемый на сайте. Программа (порядок) обезличивания — внутренний регламент, который описывает конкретные методы, ответственных, перечень обезличиваемых данных и процедуры контроля. Это разные документы, и программа обезличивания не публикуется.

Можно ли обезличивать персональные данные вручную?

Можно, но это медленно и ненадёжно: человек пропускает данные в середине текста, в таблицах, в сканах. Для разовых небольших документов ручной способ допустим, но для регулярного потока документов и для подготовки данных к ИИ практичнее автоматическое обезличивание с проверкой человеком.

Нужно ли обезличивать документы перед загрузкой в нейросеть?

Да. Передача персональных данных в облачный ИИ-сервис — это передача третьему лицу, которая требует правового основания и часто нарушает режим конфиденциальности. Обезличивание документа перед отправкой в нейросеть снимает большую часть рисков. Анонимизатор tirCoWork делает это локально, на вашем компьютере, не отправляя исходные данные наружу.

Попробовать Анонимизатор tirCoWork — обезличивание локально, 30 дней бесплатно

Обезличивание работает локально, на вашем компьютере: файлы остаются у вас. 30 дней бесплатно, карта не нужна. Тарифы от 500 ₽/мес.

Попробовать Анонимизатор tirCoWork — обезличивание локально, 30 дней бесплатно

Читайте также