Доработанный текст проекта Постановления Правительства Российской Федерации "О порядке формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, и порядке предоставления доступа к составам таких данных" (подготовлен Минцифры России 20.04.2025)

Досье на проект

В соответствии с частями 5 и 6 статьи 13.1 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

Правила формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных;

Правила предоставления доступа к составам персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, в определенной Правительством Российской Федерации государственной информационной системе федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий.

2. Настоящее постановление вступает в силу с 1 сентября 2025 г.

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 2025 г. N

ПРАВИЛА
формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных

1. Настоящие Правила устанавливают порядок формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии,что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (далее - состав данных), в государственной информационной системе Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - уполномоченный орган), определенной Правительством Российской Федерации в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных" (далее - государственная информационная система).

2. Составы данных формируются уполномоченным органом из персональных данных, полученных в результате обезличивания персональных данных, и переданных в государственную информационную систему операторами персональных данных, получившими указанное в части 2 статьи 13.1 Федерального закона "О персональных данных" требование о предоставлении персональных данных, полученных в результате обезличивания персональных данных, в целях повышения эффективности государственного и муниципального управления, а также в иных целях, предусмотренных федеральными законами, указанными в части 1 статьи 4 Федерального закона "О персональных данных", в случаях формирования составов данных, определяемых Правительством Российской Федерации в соответствии с частью 1 статьи 13.1 Федерального закона "О персональных данных" (далее - требование).

Составы данных, сформированные уполномоченным органом по запросам пользователей государственной информационной системы, должны соответствовать цели, указанной в таком запросе.

3. При формировании составов данных должны учитываться следующие типы угроз безопасности персональных данных:

а) возможность определения принадлежности информации, содержащейся в составах данных, конкретному субъекту персональных данных - выделение из составов данных информации, соответствующей конкретному субъекту персональных данных;

б) связывание (обогащение) данных - выделение из составов данных информации, относящейся к одному или нескольким конкретным субъектам персональных данных;

в) определение значений - определение истинных значений (раскрытие атрибута персональных данных), относящегося к субъекту персональных данных.

4. Формирование составов данных осуществляется уполномоченным органом в срок, не превышающий 30 рабочих дней с даты поступления от операторов персональных данных персональных данных, полученных в результате обезличивания персональных данных, в соответствии с частью 4 статьи 13.1 Федерального закона "О персональных данных".

5. При формировании составов данных для достижения цели их формирования, а также нейтрализации типов угроз, определенных в соответствии с пунктом 3 настоящих правил, уполномоченный орган осуществляет, при необходимости, исключение либо исправление неточных, неполных, повторяющихся, некорректно отформатированных персональных данных, полученных в результате обезличивания персональных данных, поступивших от операторов персональных данных, и преобразование формата и (или) структуры персональных данных, полученных в результате обезличивания персональных данных.

При формировании составов данных на основании персональных данных персональных данных, полученных в результате обезличивания персональных данных и предоставленных операторами персональных данных, уполномоченный орган осуществляет проверку таких данных на предмет соответствия направленному оператору персональных данных требованию. Результаты данной проверки уполномоченный орган направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, в срок, не превышающий 10 календарных дней, при поступлении соответствующего запроса от этого органа.

6. Не допускается формирование составов данных из биометрических персональных данных и специальных категорий персональных данных,за исключением персональных данных, предусмотренных частью 21 статьи 10 Федерального закона "О персональных данных".

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 2025 г. N

ПРАВИЛА
предоставления доступа к составам персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, в определенной Правительством Российской Федерации государственной информационной системе федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий

1. Настоящие Правила устанавливают порядок предоставления доступа к составам персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (далее - составы данных), в государственной информационной системе Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, определенной Правительством Российской Федерации в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных" (далее - государственная информационная система).

2. Для предоставления пользователям доступа к сформированным в государственной информационной системе составам данных пользователи государственной информационной системы направляют в уполномоченный орган посредством личного кабинета пользователя в государственной информационной системе (далее - личный кабинет) запрос о предоставлении доступа к конкретному составу данных, содержащий цель предоставления доступа к нему, планируемый результат (содержание планируемого результата) и срок обработки указанного состава данных, а также правовые основания доступа к конкретному составу данных.

3. Запрос о предоставлении доступа к составам данных подается:

гражданином Российской Федерации в форме электронного документа, подписанного усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью гражданина Российской Федерации, сертификат ключа проверки которой создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, в установленном Правительством Российской Федерации порядке;

руководителем или уполномоченным представителем российского юридического лица, должностным лицом государственного или муниципального органа и подведомственных им организаций, органа государственного внебюджетного фонда в форме электронного документа, подписанного усиленной квалифицированной электронной подписью такого лица.

В случае подачи запроса о предоставлении доступа к составам данных представителем юридического лица, уполномоченным действовать от имени юридического лица на основании доверенности, выданной юридическим лицом в соответствии с гражданским законодательством Российской Федерации, одновременно с запросом о предоставлении доступа к составам данных представляется такая доверенность. Доверенность представляется в том числе в электронной форме в машиночитаемом виде в порядке, установленном Федеральным законом "Об электронной подписи".

4. Уполномоченный орган в срок, не превышающий 5 рабочих дней с даты получения запроса о предоставлении доступа к составам данных, рассматривает его и проверяет на соответствие требованиям пунктов 2 - 3 настоящего порядка.

5. В случае соответствия запроса о предоставлении доступа к составам данных пунктам 2 - 3 настоящего порядка уполномоченный орган направляет пользователю в личный кабинет уведомление о предоставлении доступа к составам данных, указанных в запросе о предоставлении доступа к составам данных, в виде электронного документа, подписанного усиленной квалифицированной электронной подписью должностного лица уполномоченного органа, определенного руководителем такого органа.

6. В случае выявления несоответствия сведений, содержащихся в запросе о предоставлении доступа к составам данных, пункту 2 настоящего порядка, за исключением случая, установленного пунктом 10 настоящего порядка, уполномоченный орган направляет пользователю в личный кабинет мотивированный запрос об уточнении указанных в запросе о предоставлении доступа к составам данных сведений или представлении недостающей информации (далее - мотивированный запрос). Мотивированный запрос направляется в виде электронного документа, подписанного усиленной квалифицированной электронной подписью должностного лица уполномоченного органа, определенного руководителем такого органа.

7. В случае направления пользователю в личный кабинет мотивированного запроса рассмотрение запроса о предоставлении доступа к составам данных приостанавливается до получения запрашиваемых у пользователя данных.

8. В случае непредставления требуемых сведений или информации в течение 15 рабочих дней со дня направления мотивированного запроса уполномоченный орган направляет пользователю в личный кабинет уведомление об отказе в предоставлении доступа к составам данных в форме электронного документа, подписанного усиленной квалифицированной электронной подписью должностного лица уполномоченного органа, определенного руководителем такого органа.

9. После получения запрашиваемых у пользователя данных и подтверждения соответствия запроса о предоставлении доступа к составам данных требованиям пункта 2 настоящего порядка уполномоченный орган предоставляет пользователю доступ к составам данным, указанным в запросе,и обрабатываемым в государственной информационной системе, либо в случае их отсутствия с целью формирования указанных в запросе составов данных направляет в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных" операторам персональных данных требование о предоставлении персональных данных, полученных в результате обезличивания персональных данных.

10. В случае если указанная в запросе о предоставлении доступа к составам данных цель предоставления доступа к составам данных не соответствует целям, установленным частью 1 статьи 13.1 Федерального закона "О персональных данных", или доступ к составам данных нарушает требования части 9 статьи 13.1 Федерального закона "О персональных данных", уполномоченный орган направляет в личный кабинет пользователя уведомление об отказе в предоставлении доступа к составам данных в виде электронного документа, подписанного усиленной квалифицированной электронной подписью должностного лица уполномоченного органа, определенного руководителем такого органа.

11. Пользователям, указанным в пункте 2 части 7 статьи 13.1 Федерального закона "О персональных данных", доступ к составам данных, сформированных в случаях формирования составов персональных данных, указанных в пунктах "а" - "г" перечня случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, утвержденных постановлением Правительства Российской Федерации от 24 апреля 2025 г. N 538 "Об утверждении перечня случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных", не предоставляется.

12. По достижении цели предоставления доступа к составу данных уполномоченный орган ограничивает доступ пользователя в государственной информационной системе к обрабатываемому им составу данных.

13. Доступ к составам данных пользователям блокируется незамедлительно в случаях:

а) получения уполномоченным органом информации о несоответствии пользователя требованиям, установленным частью 7 статьи 13.1 Федерального закона "О персональных данных";

б) выявления попыток со стороны пользователя записи, извлечения, передачи (распространения, предоставления, доступа) составов данных из государственной информационной системы уполномоченного органа;

в) получения уполномоченным органом информации о том, что использование таких составов данных и(или) результатов их обработки может повлечь или повлекло причинение вреда жизни, здоровью людей, оскорбление нравственности, нарушение прав и законных интересов граждан и организаций, причинение вреда (ущерба) окружающей среде, обороне страны и безопасности государства, объектам культурного наследия, иным охраняемым федеральным законом ценностям.