Госозеро - государственная информационная система обезличенных данных, в которую операторы безвозмездно передают сведения о клиентах и сотрудниках по запросу Минцифры (создана Федеральным законом от 08.08.2024 № 233-ФЗ, изменившим ФЗ № 152-ФЗ о персональных данных). По состоянию на май 2026 года Минцифры дорабатывает проект постановления о праве властей дополнять датасеты бизнеса внешней статистикой и сведениями из ведомственных баз. Ассоциация больших данных направила в министерство критический отзыв и просит ввести регламент оценки риска повторной идентификации клиентов.
Передача обезличенных персональных данных в госозеро не требует согласия субъектов (норма изъята из общего правила ст. 9 ФЗ № 152-ФЗ). Операторы несут ответственность за корректность самостоятельного обезличивания, а штрафы за утечку по ст. 13.11 КоАП РФ после поправок 2024 года достигают 18 млн рублей за повторное нарушение. Расширение функционала системы и отказ от государственного программного обеспечения для обезличивания меняют операционную нагрузку на бизнес - от банков и телеком-операторов до маркетплейсов и ретейла.
Что предусматривает проект Минцифры об обогащении обезличенных датасетов
Проект постановления закрепляет право Минцифры формировать в госозере единые датасеты из обезличенных сведений разных операторов и дополнять их внешней информацией - данными Росстата, показателями ведомственных систем, агрегированными метриками. Цель - оперативный анализ городской среды, транспортных потоков, потребности в социальной инфраструктуре. Передача исходных данных бизнесом сохраняется безвозмездной (ст. 22.1 ФЗ № 152-ФЗ), а круг обязанных операторов определяет ведомство.
Действующий механизм работает так: оператор получает запрос Минцифры о выгрузке сведений в госозеро, самостоятельно обезличивает массив (удаление прямых идентификаторов, агрегирование, применение методов k-анонимности) и передаёт результат в систему. До поправок данные операторов хранились изолированно. По открытым данным Минцифры, к концу 2025 года в систему передали сведения свыше 400 организаций - банки, телеком-операторы, ретейл, маркетплейсы, агрегаторы такси.
Новелла проекта - объединение датасетов и обогащение их внешними сведениями. Это позволяет ведомствам строить кросс-функциональные модели: оценивать загрузку транспортных маршрутов с привязкой к покупательской активности, прогнозировать потребность в школах с учётом миграционных потоков. Одновременно проект отменяет доступ к государственному инструменту обезличивания - бизнес обязан использовать собственное программное обеспечение, отвечающее требованиям Минцифры.
Возможна ли повторная идентификация клиентов после обогащения данных?
Да, риск повторной идентификации существенно возрастает при объединении нескольких обезличенных датасетов с внешней статистикой. По исследованиям Института системного программирования РАН, комбинация всего трёх параметров (дата рождения, пол, индекс) идентифицирует свыше 80% записей в выборке. Ассоциация больших данных требует от Минцифры регламент оценки такого риска до объединения датасетов - сейчас проект эту процедуру не предусматривает.
Юридически повторная идентификация переводит сведения обратно в категорию персональных данных - со всеми обязанностями оператора по ст. 6, 18, 19 ФЗ № 152-ФЗ. Оператор, передавший корректно обезличенный массив, формально не отвечает за результат последующего обогащения в госозере. Но практика Роскомнадзора показывает: при обнаружении утечки идентифицируемых сведений ответственность распространяется на исходного оператора, если регулятор установит недостаточность алгоритма обезличивания.
АБД предлагает закрепить в постановлении перечень допустимых для объединения сведений и обязательную процедуру оценки риска перед каждым формированием обогащённого датасета. Без этого, по мнению ассоциации, обеспечить право граждан на неприкосновенность частной жизни (ст. 23, 24 Конституции РФ) невозможно. Минцифры пока эти предложения не комментировало - публичные обсуждения проекта продолжаются.
Описанные изменения затрагивают каждого оператора персональных данных, передающего сведения в госозеро. Оценка достаточности обезличивания и риска повторной идентификации требует одновременно правового и технического анализа - типовых решений не существует, каждая модель данных уникальна. Ошибка в выборе алгоритма приводит к административной ответственности и репутационным потерям.
Получили запрос Минцифры о передаче данных в госозеро?
Самостоятельная выгрузка массива свыше 100 тыс. записей без правового аудита алгоритма обезличивания создаёт риск штрафа до 18 млн рублей по ст. 13.11 КоАП РФ. Юристы фирмы проведут аудит запроса на соответствие ФЗ № 152-ФЗ, оценят техническую достаточность обезличивания, подготовят возражения при превышении ведомством полномочий и сопроводят взаимодействие с Минцифры.
+7 (983) 510-38-76 · WhatsApp · Telegram · info@vitvet.com
Из нашей практики
Оспорили штраф около 4 млн руб. Северо-Западный ФО · осень 2024
Защитили крупного телеком-оператора при оспаривании постановления Роскомнадзора о привлечении к ответственности за недостаточность мер обезличивания. Доказали соответствие алгоритма требованиям приказа Роскомнадзора № 996, штраф снижен.
Снизили взыскание свыше 8 млн руб. Центральный ФО · зима 2024-2025
Сопровождали федерального ретейлера в споре по факту утечки персональных данных клиентов. Применили смягчающие обстоятельства по ст. 4.2 КоАП РФ, добились переквалификации эпизодов и существенного снижения совокупного штрафа.
Кто обязан передавать данные в госозеро и как изменятся требования к обезличиванию
Перечень обязанных операторов определяет правительство по представлению Минцифры (ст. 22.1 ФЗ № 152-ФЗ). По состоянию на 2026 год в круг входят операторы связи, банки, страховые компании, маркетплейсы, агрегаторы транспорта, крупные ретейлеры и платформы цифровых сервисов. Передача безвозмездна - государство не компенсирует расходы на обезличивание, хранение выгрузки, обеспечение информационной безопасности. Минимальный объём массива, подлежащего выгрузке, - от 1 млн записей.
Ключевое изменение - отказ от государственного программного обеспечения для обезличивания. Раньше операторы могли запросить у Минцифры специализированный софт. После вступления проекта в силу компании обязаны использовать только собственное ПО, соответствующее единому стандарту обезличивания. Сертификация конкретных решений в проекте не закреплена - оператор подтверждает соответствие самостоятельно. По оценкам АБД, лицензирование коммерческого ПО для крупного оператора обходится в 8-15 млн рублей в год.
Объединение требует от бизнеса организационных решений: назначение ответственного за обезличивание, утверждение внутреннего регламента, аудит безопасности выгрузки, документирование алгоритма. АБД просит отсрочку вступления в силу новых требований минимум до 1 марта 2027 года, оптимально - до 1 сентября 2027 года. Без отсрочки малые операторы не успеют внедрить совместимое ПО и попадут в зону риска по ст. 13.11 КоАП РФ с первой же выгрузки.
Какие штрафы грозят бизнесу за нарушения режима персональных данных?
Штрафы за нарушение режима персональных данных установлены ст. 13.11 КоАП РФ (в редакции Федерального закона от 30.11.2024 № 420-ФЗ): за утечку до 10 тыс. записей - до 3 млн рублей, до 100 тыс. записей - до 5 млн рублей, свыше 100 тыс. - до 15 млн рублей, при повторном нарушении - до 18 млн рублей или 3% годового оборота. Уголовная ответственность по ст. 272.1 УК РФ применяется при сборе, хранении или передаче персональных данных, полученных незаконным путём, - наказание до 5 лет лишения свободы.
По данным Роскомнадзора, в 2025 году зафиксировано свыше 240 случаев утечек персональных данных - на 35% больше, чем в 2024 году. Совокупный объём скомпрометированных записей превысил 700 млн. Доля операторов, привлечённых к ответственности по ст. 13.11 КоАП РФ, составила около 60% от обращений. Размер взысканий вырос вдвое - средний штраф по итогам года достиг 4,2 млн рублей.
Самостоятельная подготовка возражений на акт проверки Роскомнадзора без анализа доказательственной базы приводит к доначислениям - средний размер штрафа по делам без юридического сопровождения в 2025 году превысил 7 млн рублей. Срок обжалования постановления о привлечении к ответственности - 10 суток с момента получения копии (ст. 30.3 КоАП РФ), и пропуск этого срока лишает оператора возможности оспорить решение по существу.
Описанный порядок применим к типовым ситуациям. Конкретное взаимодействие с регулятором требует анализа документов, оценки технических аспектов обезличивания и судебной практики региона. Ошибка в правовой позиции или пропуск срока обжалования делает повторное обращение невозможным - постановление вступает в силу и подлежит исполнению.
Уже получили акт проверки Роскомнадзора или пробовали обжаловать сами?
Если размер заявленного штрафа превышает 3 млн рублей или процедура осложняется уголовным элементом, требуется анализ текущей правовой позиции и оценка перспектив обжалования. Юристы фирмы проведут аудит материалов проверки, выявят процедурные нарушения регулятора, подготовят жалобу в вышестоящий орган или суд, представят интересы оператора на каждой стадии до вступления решения в силу.
+7 (983) 510-38-76 · WhatsApp · Telegram · info@vitvet.com
Из нашей практики
Защитили оператора, штраф около 2 млн руб. Уральский ФО · весна 2025
Сопровождали внеплановую проверку Роскомнадзора у регионального финансового сервиса. Выявили процессуальные нарушения при оформлении акта, добились исключения двух эпизодов из протокола, штраф снижен до минимальной санкции.
Отстояли позицию по спору на 6 млн руб. Приволжский ФО · лето 2025
Представляли интересы агрегатора услуг в суде по оспариванию постановления Роскомнадзора о привлечении к ответственности. Доказали соответствие используемого алгоритма обезличивания утверждённой методике, постановление отменено.
Как бизнесу подготовиться к вступлению новых правил в силу
Подготовка строится по пяти направлениям: аудит текущей модели обезличивания, выбор или обновление программного обеспечения, обновление внутренних регламентов, обучение ответственных, юридический контроль каждого запроса Минцифры. Срок внедрения зависит от объёма данных и текущей зрелости процессов - в среднем от 4 до 9 месяцев. Промежуточная инвентаризация позволяет оператору заранее оценить риски и расходы.
Минимальный алгоритм действий до вступления проекта в силу:
1. Провести инвентаризацию всех массивов персональных данных, потенциально подлежащих выгрузке в госозеро.
2. Определить ответственное подразделение и внутреннего контролёра процедуры обезличивания.
3. Выбрать программное обеспечение, соответствующее проекту Минцифры, и обеспечить его лицензирование.
4. Утвердить регламент обезличивания, согласованный с требованиями ст. 22.1 ФЗ № 152-ФЗ.
5. Подготовить шаблоны возражений на запросы, превышающие пределы полномочий ведомства.
6. Закрепить процедуру правового контроля каждой выгрузки с фиксацией версии алгоритма и состава данных.
7. Обучить сотрудников требованиям нормативной базы и судебной практики по ст. 13.11 КоАП РФ.
Параллельно рекомендуется вести судебный мониторинг споров операторов с Роскомнадзором - правоприменительная практика по поправкам 2024 года формируется именно сейчас, и решения арбитражных судов округов задают ориентир для последующих проверок. Затраты на превентивный аудит окупаются: средняя экономия по типовым делам - от 3 до 12 млн рублей штрафных взысканий и репутационных потерь.
Направления практики по теме
- Сопровождение бизнеса - комплексный аудит процедур работы с персональными данными.
- Ведение судебных дел - представительство в спорах с Роскомнадзором и Минцифры.
- Защита активов - минимизация имущественных рисков при регуляторных проверках.
Частые вопросы
1. Можно ли отказаться от передачи персональных данных в госозеро?
Прямой отказ невозможен - обязанность операторов закреплена ст. 22.1 ФЗ № 152-ФЗ. Однако оператор вправе оспорить запрос Минцифры, если объём или состав требуемых сведений превышает законодательные пределы. Возражения подаются в досудебном порядке, при отклонении - в арбитражный суд. Срок на обжалование - три месяца с момента получения запроса (ст. 198 АПК РФ).
2. Нужно ли получать согласие клиентов на передачу обезличенных данных?
Согласие субъекта персональных данных на передачу обезличенных сведений в госозеро не требуется - это исключение прямо закреплено в законе. При этом оператор обязан уведомить клиента о возможной обработке его данных в государственной информационной системе через политику конфиденциальности. Несоблюдение требований к политике - самостоятельный состав по ч. 3 ст. 13.11 КоАП РФ.
3. Кто несёт ответственность при повторной идентификации в госозере?
Ответственность распределена между оператором, передавшим данные, и Минцифры как держателем системы. Если оператор использовал сертифицированный алгоритм и стандарты обезличивания, ответственность смещается к ведомству. Доказательственная база - техническая документация, заключение специалиста, журнал операций. На практике Роскомнадзор первоначально привлекает к ответственности оператора, и снятие претензий требует судебного процесса.
4. Какой объём данных подпадает под обязанность передачи?
Минцифры запрашивает массивы от 1 млн записей по конкретной категории клиентов или сотрудников. Состав определяется целью анализа - транспортная мобильность, потребительское поведение, демография. Запрос направляется в письменной форме с указанием правовых оснований. Оператор вправе уточнить объём и предложить альтернативный формат, если первоначальный запрос технически неисполним без раскрытия идентификаторов.
5. Что делать при получении запроса Минцифры в нестандартной форме?
Нестандартный запрос (без письменного оформления, через неуполномоченное лицо, без правового обоснования) подлежит игнорированию с одновременным направлением официального уведомления в ведомство. Передача данных по такому запросу - самостоятельный состав по ч. 7 ст. 13.11 КоАП РФ. Корректный путь - запросить от Минцифры документ установленной формы и проверить полномочия должностного лица.
Регуляторные изменения в сфере обезличенных данных формируют новую обязанность для большинства операторов крупного и среднего бизнеса. Проект Минцифры повышает аналитические возможности государства и одновременно повышает риски повторной идентификации клиентов. Бизнес вынужден балансировать между обязанностью передачи и собственными обязательствами перед субъектами персональных данных - при штрафах до 18 млн рублей за каждое нарушение.
Юридическая фирма "Ветров и партнёры" с 2009 года сопровождает операторов персональных данных в спорах с Роскомнадзором и проектах внедрения регуляторных требований. Юристы участвовали в делах об оспаривании постановлений по ст. 13.11 КоАП РФ, проводили аудит процедур обезличивания и формировали правовые позиции по типовым категориям споров. Фирма представляет интересы клиентов в арбитражных судах округов и на стадии надзорного обжалования.
Готовитесь к передаче данных в госозеро или оспариваете штраф Роскомнадзора?
Проведём правовой и технический аудит процедуры обезличивания, оценим перспективы спора с регулятором, сопроводим взаимодействие с Минцифры.
Право.ru-300 | Best Lawyers | 15+ лет практики | 30+ городов
+7 (983) 510-38-76 WhatsApp Telegram
info@vitvet.com
Автор материала
Арсен Саркисян, юрист
Специализация - международное право, защита зарубежных активов, корпоративные споры. Практика в арбитражных судах РФ.
22 мая 2026 года
