Главное нововведение — персональные данные, превращённые в обезличенную форму, с 1 сентября 2025 года можно обрабатывать без получения согласия гражданина. Ранее закон требовал согласия практически для любой обработки, но теперь чётко разрешено использовать должным образом обезличенные данные без предварительного согласия субъекта для исследований или технологий без нарушения закона. Но важно, чтобы обезличивание было выполнено так, чтобы исключить возможность прямой идентификации гражданина по этим данным.

С 1 сентября 2025 года нужно выполнять требования ведомства, даже если обезличивание проводит компания или ИП, например, вместо уничтожения информации. Среди исключений – случаи, когда оператор персональных данных обязан их обезличить по запросу Минцифры с учетом правительственных норм.

В числе требований Роскомнадзора есть такие:

• принять локальные акты о том, как обезличивать сведения, оценивать достаточность методов выполнения процедуры и т.д.;
• исключить доступ третьих лиц к этим актам, а также к информации о том, какие системы и программы оператор применяет для обезличивания, и пр.;
• хранить обезличенные сведения отдельно от данных, которым только предстоит эта процедура;
• вести учет действий по обезличиванию и операций с его результатами. Форму учета определит оператор. Важно, чтобы с ее помощью можно было подтвердить зафиксированное.

Надо применять один или несколько методов обезличивания:

• вводить номера или другие обозначения на замену данным, которые сами по себе позволяют определить человека;
• менять состав или семантику личной информации;
• перемешивать значения атрибутов персональных сведений;
• разделять данные на части.

Также есть метод преобразования (обобщения). Его можно использовать в дополнение к другим, чтобы исключить связь между атрибутами персональных данных и их субъектами.

Пока действует сходный приказ о требованиях к обезличиванию и его методах. Однако он обязателен только для государственных и муниципальных органов.