О чем материал:
С 1 сентября 2025 года Федеральный закон № 233-ФЗ разрешил бизнесу обрабатывать обезличенные персональные данные без согласия граждан через государственную платформу. Практика только формируется, но основные правила уже ясны: данные нельзя скачать, работа возможна только в закрытом контуре, штрафы за нарушения достигают 500 млн ₽. Рассказываем, как это будет работать.
Реформа рынка данных: суть изменений 233-ФЗ и 152-ФЗ
Федеральный закон № 233-ФЗ от 08.08.2024 дополнил закон № 152-ФЗ «О персональных данных» новой статьей, которая вносит следующие изменения:
- разрешает обработку обезличенных данных без согласия субъекта;
- обязывает операторов передавать обезличенные данные в государственную информационную систему (ГИС);
- вводит понятие «состав данных» (датасет — структурированный набор данных, сгруппированных по определенному признаку, из которого невозможно идентифицировать конкретного человека);
- запрещает включать в датасеты биометрические и специальные категории персональных данных.
Параллельно Федеральный закон № 156-ФЗ ужесточил требования к согласию на обработку персональных данных: теперь согласие оформляется отдельным документом, а не включается в общие условия договора.
Как работает система Госозеро и ЕИП НСУД
Единая информационная платформа Национальной системы управления данными (ЕИП НСУД) — государственная информационная система для обработки обезличенных персональных данных. Ее неформальное название Госозеро происходит от IT-термина Data Lake (озеро данных) — хранилище больших объемов разнородной информации в исходном формате. В отличие от традиционных баз данных, озеро данных позволяет хранить неструктурированную информацию для последующего анализа и машинного обучения.
Правовую основу функционирования ЕИП НСУД устанавливает Постановление Правительства РФ от 14.05.2021 № 733 в редакции от 28.05.2025 № 740. За ведение и поддержание работоспособности системы отвечает Минцифры России.
Архитектура платформы построена на принципе закрытого контура — изолированной программной среды, из которой невозможно извлечь данные на внешние носители или серверы. Компании получают доступ к обезличенным датасетам, но не могут их скачать. Вся обработка происходит внутри государственной системы.
Процесс формирования обезличенных датасетов
Формирование составов данных (датасетов) регулирует Постановление Правительства РФ от 26.06.2025 № 961. Процесс состоит из четырех последовательных этапов — от направления требования оператору до предоставления доступа бизнесу.
Этап 1. Направление требования. Минцифры направляет операторам требование о предоставлении обезличенных данных. Документ согласуется с ФСБ России, Роскомнадзором и Центральным банком РФ.
Этап 2. Обезличивание и передача. Оператор обезличивает данные по установленным методам и передает их в ГИС в указанные сроки: через личный кабинет или Единый портал в течение пяти рабочих дней, иным способом (почтой) — в течение 30 рабочих дней.
Этап 3. Формирование датасета. Минцифры формирует составы данных в установленные сроки. Постановление Правительства РФ от 01.08.2025 № 1154 запрещает включать в датасеты биометрические персональные данные (изображения лиц, отпечатки пальцев, образцы голоса).
Этап 4. Предоставление доступа. После формирования датасет становится доступен для авторизованных пользователей ГИС.
Запрет на извлечение данных из закрытого контура платформы
Постановление № 733 в редакции от 28.05.2025 устанавливает жесткие ограничения: доступ к датасетам возможен только в рамках закрытого контура ГИС, извлечение, скачивание и копирование данных запрещено, передача результатов обработки иностранным лицам не допускается.
Дополнительно с 1 июля 2025 года Федеральный закон № 23-ФЗ от 28.02.2025 запретил использовать базы данных, находящиеся за пределами РФ, для обработки персональных данных российских граждан.
Условия получения доступа: критерии для IT-компаний и бизнеса
Согласно части 8 статьи 13.1 закона № 152-ФЗ, доступ к ГИС обезличенных данных могут получить государственные и муниципальные органы, органы государственных внебюджетных фондов, российские юридические лица и граждане РФ при соответствии установленным критериям. Соблюдение этих требований — часть compliance-процедур для компаний, планирующих работу с государственными данными.
Требования к коммерческим организациям для получения доступа к государственным данным:
- Регистрация в реестре операторов персональных данных Роскомнадзора
- Отсутствие иностранного контроля над организацией
- Отсутствие недостоверных сведений в ЕГРЮЛ
- Отсутствие у организации, руководителя и учредителей связи с экстремистской или террористической деятельностью
- Отсутствие у руководителя и единоличного исполнительного органа гражданства иностранного государства
- Отсутствие у руководителя неснятой или непогашенной судимости за преступления в сфере компьютерной информации
Проверка Роскомнадзором и отсутствие иностранного контроля
Роскомнадзор проверяет соответствие организации критериям на основании сведений из государственных реестров. Ключевой критерий — отсутствие иностранного контроля, что подразумевает анализ структуры собственности вплоть до конечных бенефициаров.
Регистрация в реестре операторов персональных данных — обязательное предварительное условие. Если организация ранее не подавала уведомление в Роскомнадзор об обработке персональных данных, необходимо сначала пройти эту процедуру (срок рассмотрения — до 30 дней согласно части 4 статьи 22 закона № 152-ФЗ).
Требования к техническому обеспечению безопасности
Постановление Правительства РФ от 01.08.2025 № 1154 устанавливает технические требования к операторам. При отсутствии прямого доступа к ГИС оператор подключается через СМЭВ (систему межведомственного электронного взаимодействия — федеральную государственную систему для обмена данными между органами власти и организациями) или с использованием средств криптографической защиты информации, сертифицированных ФСБ России.
Личные и обезличенные сведения хранятся раздельно — это требование направлено на предотвращение случайной или умышленной деанонимизации данных.
Сравнительный анализ: старый и новый порядок использования данных
Реформа существенно изменила правила работы с государственными датасетами для бизнеса. Ниже представлено сравнение ключевых аспектов регулирования до и после 1 сентября 2025 года.
| Критерий | До реформы | После реформы (с 01.09.2025) |
| Правовая основа | 152-ФЗ (без ст. 13.1) | 152-ФЗ + ст. 13.1 (233-ФЗ) |
| Согласие на обработку | Требовалось практически всегда | Не требуется для обезличенных данных |
| Централизованная система | Отсутствовала | ЕИП НСУД («Госозеро») |
| Передача данных государству | Не регламентировалась | По требованию Минцифры (в установленные сроки) |
| Методы обезличивания | Приказ РКН № 996 от 2013 | ПП РФ № 1154 + Приказ РКН № 140 от 2025 |
| Извлечение данных | Зависело от оператора | Запрещено (закрытый контур) |
| Ответственность | Штрафы до 100 000 ₽ для юрлиц | Штрафы до 500 млн ₽ (оборотные) |
Главное отличие нового порядка — появление централизованной государственной инфраструктуры и жесткая регламентация процессов обезличивания, доступа и использования данных.
Методы обезличивания данных по новым правилам 2025–2026
Постановление Правительства РФ от 01.08.2025 № 1154 утвердило пять методов обезличивания персональных данных. Они применяются как самостоятельно, так и в комбинации для повышения надежности.
| Метод | Суть | Пример применения |
| Введение идентификаторов (псевдонимизация) | Замена реальных персональных сведений на условные коды. Создается таблица соответствия, которая хранится отдельно под защитой | ФИО «Иванов Иван» → ID123; номер карты 4276… → токен PAY_7842 |
| Изменение состава или семантики | Обобщение, усреднение или удаление части данных. Конкретные значения заменяются категориями или диапазонами | Дата рождения 15.03.1985 → возрастная группа «35–40 лет»; точный адрес → только город |
| Декомпозиция (разбиение) | Разделение массива данных на несколько частей, которые хранятся независимо друг от друга | Таблица 1: ID + ФИО; Таблица 2: ID + контакты; Таблица 3: ID + история покупок |
| Перемешивание (шуффлинг) | Перестановка записей или групп данных, разрушающая исходные связи между атрибутами и субъектами | Список «имя–адрес» перемешивается так, что имя уже не соответствует своему адресу |
| Преобразование | Группировка и агрегирование данных для разрыва связи между атрибутами и субъектами | Объединение записей о клиентах в сводные сегменты по доходу или региону |
Оператор обязан утвердить локальные нормативные акты по обезличиванию. Третьим лицам запрещено предоставлять информацию о применяемых методах.
Псевдонимизация и введение идентификаторов
Псевдонимизация — наиболее распространенный метод, при котором вместо реальных персональных сведений подставляются условные идентификаторы (коды). Создается таблица соответствия между кодами и исходными данными, которая хранится отдельно под защитой.
Преимущество метода — сохранение возможности обратного восстановления связи между кодом и субъектом. Это важно для банков, страховых и медицинских организаций, которым может потребоваться идентификация клиента при определенных обстоятельствах (например, при расследовании мошенничества).
Декомпозиция и агрегирование массивов информации
При декомпозиции данные разбиваются на несколько частей, которые хранятся отдельно друг от друга. По отдельности эти части не позволяют идентифицировать человека. Например, в одной таблице хранятся идентификаторы и имена, в другой — контактные данные, в третьей — история транзакций.
Агрегирование (преобразование) предполагает объединение записей в сводные категории, сегменты или статистические показатели. Вместо информации о конкретном клиенте формируется обобщенная характеристика группы: «мужчины 30–40 лет с доходом выше среднего, проживающие в Москве».
Метод перемешивания часто применяют совместно с введением идентификаторов и декомпозицией. Полученные датасеты используются для машинного обучения нейросетей и статистического анализа.
Ответственность и штрафы за нарушения при работе с обезличенными данными
Статья 13.11 КоАП РФ в редакции Федерального закона № 420-ФЗ от 30.11.2024 существенно ужесточила ответственность за нарушения в сфере персональных данных. Новые штрафы действуют с 30 мая 2025 года.
| Нарушение | Граждане | Должностные лица | ИП | Юрлица |
| Обработка ПДн без законных оснований (ч. 1) | 10 000–15 000 ₽ | 50 000–100 000 ₽ | = юрлица | 150 000–300 000 ₽ |
| Повторное нарушение (ч. 1.1) | 15 000–30 000 ₽ | 100 000–200 000 ₽ | = юрлица | 300 000–500 000 ₽ |
| Обработка без письменного согласия (ч. 2) | 4 000–12 000 ₽ | 20 000–50 000 ₽ | 50 000–100 000 ₽ | 100 000–300 000 ₽ |
| Неопубликование политики обработки ПДн (ч. 3) | 1 500–3 000 ₽ | 6 000–12 000 ₽ | 10 000–20 000 ₽ | 30 000–60 000 ₽ |
| Неподача уведомления в РКН (ч. 10) | — | 30 000–50 000 ₽ | = юрлица | 100 000–300 000 ₽ |
Штрафы за деанонимизацию данных в 2026 году особенно значительны при утечках. Размер санкций зависит от объема скомпрометированных данных:
| Объем утечки | Должностные лица | Юрлица/ИП |
| 1 000–10 000 субъектов | 100 000–200 000 ₽ | 3 000 000–5 000 000 ₽ |
| 10 000–100 000 субъектов | 200 000–400 000 ₽ | 5 000 000–10 000 000 ₽ |
| Более 100 000 субъектов | 400 000–600 000 ₽ | 10 000 000–15 000 000 ₽ |
| Повторная утечка | — | Оборотный штраф 1–3% выручки (мин. 20 000 000 ₽ для обычных ПДн, мин. 25 000 000 ₽ для специальных/биометрических, макс. 500 000 000 ₽) |
Ключевые изменения с 30 мая 2025 года: индивидуальные предприниматели несут ответственность как юридические лица по частям 1.1 и 8–18 статьи 13.11 КоАП РФ. Введены оборотные штрафы за неоднократные утечки персональных данных. Исключена возможность оплаты штрафа с 50% скидкой по всем составам статьи 13.11. С 28 декабря 2025 года дела переданы обратно мировым судьям.
Часть 7 статьи 13.11 КоАП РФ устанавливает ответственность за невыполнение обязанности по обезличиванию или несоблюдение установленных методов. Отягчающие обстоятельства — игнорирование требования уполномоченных органов прекратить нарушение и повторность правонарушения.
Пошаговый алгоритм: как бизнесу легально получить государственные данные
Использование больших данных государства для ИИ требует соблюдения установленной процедуры. Ниже представлен алгоритм получения доступа к государственным обезличенным датасетам.
Шаг 1. Регистрация в реестре операторов
Организация должна состоять в реестре операторов персональных данных Роскомнадзора — это обязательное условие для получения доступа к ГИС обезличенных данных.
Как зарегистрироваться:
- Перейдите на портал персональных данных Роскомнадзора
- Заполните форму уведомления об обработке персональных данных
- Подпишите уведомление электронной подписью или направьте на бумаге в территориальное управление Роскомнадзора
- Срок рассмотрения — до 30 дней (часть 4 статьи 22 закона № 152-ФЗ)
Проверить наличие организации в реестре можно по ИНН на портале Роскомнадзора.
Шаг 2. Подача заявки через ГИС Минцифры
Подключение к ЕИП НСУД осуществляется через СМЭВ (Система межведомственного электронного взаимодействия) или с использованием средств криптографической защиты, сертифицированных ФСБ России.
Процедура подключения к СМЭВ (согласно инструкции на портале Госуслуг):
- Зарегистрируйте организацию в ЕСИА
- Получите доступ в личный кабинет участника взаимодействия
- Подайте заявку на регистрацию информационной системы в СМЭВ
- Организуйте защищенный канал связи
При подаче заявки проверяются критерии допуска: отсутствие иностранного контроля, достоверность сведений в ЕГРЮЛ, отсутствие судимостей у руководителя.
Шаг 3. Работа с датасетами для обучения ИИ и аналитики
После получения доступа работа с государственными датасетами возможна только в рамках закрытого контура ГИС. Извлечение, скачивание и копирование данных запрещено — все операции выполняются на инфраструктуре государственной платформы.
Данные могут использоваться для обучения моделей искусственного интеллекта, машинного обучения, статистического анализа, маркетинговых исследований и научных проектов. Передача результатов обработки иностранным лицам запрещена.
Роль юристов в compliance при обработке больших данных
Система доступа к государственным обезличенным датасетам действует около пяти месяцев (на январь 2026 года), и практика применения новых правил только формируется. Юридическое сопровождение compliance-процедур становится важным для компаний, работающих с большими данными.
Чек-лист задач юриста:
- Проверить регистрацию организации в реестре операторов ПДн
- Разработать или обновить внутреннюю политику обезличивания в соответствии с Постановлением № 1154 и Приказом РКН № 140
- Утвердить локальные нормативные акты по обезличиванию персональных данных
- Определить ответственного за взаимодействие с ГИС и обеспечить его обучение
- Проверить техническую готовность к подключению через СМЭВ или с использованием сертифицированных криптосредств
- Обеспечить раздельное хранение личных и обезличенных данных
- Настроить мониторинг разъяснений Минцифры и Роскомнадзора
- Провести аудит методов обезличивания на соответствие требованиям (псевдонимизация, декомпозиция, агрегирование, перемешивание, преобразование)
- Оценить риски штрафов по статье 13.11 КоАП РФ
- Запретить передачу результатов обработки иностранным лицам в договорах и регламентах
Компании, планирующие работу с государственными датасетами, получат конкурентное преимущество от раннего выстраивания compliance-процедур. Штрафы за нарушения достигают 500 млн ₽, поэтому инвестиции в юридическую экспертизу окупаются предотвращением санкций.
Запишитесь на комплексное обучение по защите персональных данных в Moscow Digital School, чтобы разобраться в требованиях 152-ФЗ, трансграничной передаче данных и международных стандартах, включая GDPR. Курс построен на практике: видео-лекции, чек-листы и бизнес-игры помогут отработать аудит компании и подготовку к проверкам Роскомнадзора. По итогам обучения вы сможете выстроить систему защиты персональных данных и получить сертификацию Data Protection Officer.





