Обезличивание персональных данных по 152-ФЗ для бизнеса
Как правильно обезличить ПДн в документах, чтобы не нарушить 152-ФЗ. Разбираем требования Роскомнадзора и как doc2text автоматизирует обезличивание.
Обезличивание персональных данных по 152-ФЗ для бизнеса
Любая компания, обрабатывающая документы с данными физических лиц, является оператором персональных данных по 152-ФЗ. Это означает требования к хранению, обработке и защите ПДн. Один из методов снижения рисков — обезличивание. Разбираемся, что это значит на практике.
Что такое обезличивание по 152-ФЗ
Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту (ст. 3 152-ФЗ).
Ключевое слово: невозможным без дополнительной информации. Это означает, что обезличенные данные сами по себе не позволяют идентифицировать человека, но в сочетании с другим массивом данных — могут.
Приказ Роскомнадзора № 996
Методы обезличивания утверждены Приказом Роскомнадзора от 05.09.2013 № 996. Официально признаны четыре метода:
- Метод введения идентификаторов — замена персональных данных на случайные идентификаторы (токены)
- Метод изменения состава или семантики — замена реальных значений на обобщённые категории (например, «мужчина 30–40 лет» вместо конкретного имени)
- Метод декомпозиции — разбиение массива ПДн на несколько частей, хранимых раздельно
- Метод перемешивания — изменение порядка хранения атрибутов относительно субъектов
На практике для документооборота наиболее применим метод введения идентификаторов (токенизация).
Какие ПДн встречаются в бизнес-документах
В типичных бухгалтерских и юридических документах содержатся:
| Тип ПДн | Где встречается |
|---|---|
| ФИО физлица | Акты, УПД, договоры, доверенности |
| ИНН физлица | Договоры, справки 2-НДФЛ |
| Адрес проживания | Договоры аренды, трудовые договоры |
| Серия/номер паспорта | Договоры, доверенности |
| Дата рождения | Трудовые договоры, анкеты |
| Телефон / email | Акты, договоры |
| Расчётный счёт физлица | Договоры займа, трудовые договоры |
Как doc2text реализует обезличивание
doc2text использует многоуровневый подход к обезличиванию:
1. Обнаружение ПДн
На первом этапе система анализирует распознанный текст с помощью NLP-моделей и регулярных выражений. Обнаруживаются 24 вида персональных данных по таксономии 152-ФЗ:
- ФИО (все варианты склонения)
- ИНН физического лица (12 цифр, с контрольными суммами)
- Серия и номер паспорта
- Адреса с разбором на компоненты
- Телефоны в различных форматах
- Email-адреса
2. Подтверждение пользователем (HITL)
Перед сохранением пользователь видит выделенные фрагменты и может:
- Подтвердить обнаруженные ПДн
- Снять выделение с ложных срабатываний (например, название улицы «Ленина» ≠ ФИО)
- Добавить пропущенные фрагменты
Этот шаг критически важен для соответствия 152-ФЗ: оператор несёт ответственность за корректность обезличивания.
3. Токенизация
Подтверждённые ПДн заменяются на токены вида [ФИО_001], [ИНН_002]. Соответствие «токен → реальное значение» хранится только в браузере пользователя (IndexedDB), на сервер не передаётся.
4. Хранение
Сервер doc2text хранит только обезличенный текст с токенами. Реальные ПДн физически отсутствуют в базе данных сервиса. Это принципиально важно для снижения рисков оператора.
Правовой статус: кто всё равно остаётся оператором
Обезличивание не отменяет статус оператора ПДн. Даже если вы передаёте документы на обработку в doc2text, вы остаётесь оператором и несёте ответственность за:
- Получение согласия субъектов (сотрудников, контрагентов-физлиц)
- Уведомление Роскомнадзора
- Соблюдение прав субъектов (доступ, исправление, удаление)
doc2text является обработчиком по вашему поручению (ст. 6 ч. 3 152-ФЗ). Отношения оформляются договором поручения на обработку, который является частью лицензионного договора-оферты.
Практические рекомендации
Определите категории ПДн в ваших документах. Проведите внутренний аудит: какие документы содержат ПДн физических лиц? Это основа для реестра обработки.
Разграничьте внутренние и внешние документы. ПДн сотрудников (в трудовых договорах) и ПДн контрагентов (в договорах с физлицами) требуют разных оснований обработки.
Не путайте ИНН юрлица и ИНН физлица. ИНН организации (10 цифр) — не персональные данные. ИНН физлица (12 цифр) — персональные данные, требующие защиты.
Документируйте обезличивание. Ведите журнал операций обезличивания: когда, кем, какие документы были обработаны. doc2text автоматически формирует audit log.
Заключение
Обезличивание по методу токенизации — наиболее практичный подход для документооборота. doc2text автоматизирует этот процесс, сохраняя соответствие требованиям 152-ФЗ: реальные ПДн не попадают на сервер, а пользователь сохраняет контроль через механизм HITL-подтверждения.