Содержание
Отношения, связанные с обработкой персональных данных в Российской Федерации, в первую очередь регулирует Федеральный закон №152-ФЗ «О персональных данных». Принятый в 2006 году, этот закон устанавливает правила сбора, хранения, использования и распространения личной информации граждан. Он направлен на обеспечение конституционных прав человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну.
В 2025 году серьезные корректировки существенно меняют правила игры для всех операторов персональных данных, и эти изменения содержатся не только в 152-ФЗ. 30 мая 2025 года вступили в силу новые положения, которые коснутся практически всех организаций — от крупных корпораций до малого бизнеса и индивидуальных предпринимателей, если они осуществляют любые операции с персональными данными: будь то клиентские базы, данные сотрудников или информация о посетителях сайтов. Помимо этого, с 1 июля 2025 года вступают в силу поправки, которые запрещают прямой сбор персональных данных на зарубежные серверы.
Несоответствие новым требованиям может обернуться серьезными финансовыми и репутационными потерями, поскольку штрафы за нарушения значительно возросли.
Чтобы не пропустить новые материалы «MDS media», подписывайтесь на наш Телеграм-канал
Специальная форма согласия на обработку персональных данных
С 1 января 2025 года введена специальная форма согласия на размещение и обработку персональных данных в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе (ЕБС). Это изменение утверждено Распоряжением Правительства РФ от 09.04.2024 № 856-р. Унифицированные формы, как бумажные, так и электронные, теперь содержат специальные пункты, включая информацию о представителе субъекта ПДн, особенно если речь идет о законном представителе несовершеннолетнего. Такое требование призвано исключить ситуации, когда согласие на обработку данных несовершеннолетнего принималось от лиц, не являющихся его законными представителями.
Ужесточение штрафов за утечку персональных данных
С 30 мая 2025 года значительно ужесточилась административная ответственность за несоблюдение требований законодательства при работе с персональными данными. Это произошло в связи со вступлением в силу 420-ФЗ от 30.11.2024 и 104-ФЗ от 23.05.2025, которые внесли поправки в Кодекс РФ об административных правонарушениях (КоАП РФ).
Новые составы правонарушений и размеры административных штрафов:
Неуведомление или несвоевременное уведомление Роскомнадзора
- о намерении оператора обрабатывать персональные данные — от 5 до 10 тыс. руб. для граждан, от 30 до 50 тыс. руб. для должностных лиц, от 100 до 300 тыс. руб. для юрлиц;
- об утечке персональных данных — от 50 до 100 тыс. руб. для граждан, от 400 до 800 тыс. руб. для должностных лиц, от 1 до 3 млн руб. для юрлиц.
Действия (бездействие) оператора, повлекшие утечку персданных
- от 1 до 10 тыс. субъектов персональных данных и (или) от 10 до 100 тыс. идентификаторов — от 100 до 200 тыс. руб. для граждан, от 200 до 400 тыс. руб. для должностных лиц, от 3 до 5 млн руб. для юрлиц;
- от 10 до 100 тыс. субъектов персональных данных и (или) от 100 тыс. до 1 млн идентификаторов — от 200 до 300 тыс. руб. для граждан, от 300 до 500 тыс. руб. для должностных лиц, от 5 до 10 млн руб. для юрлиц;
- более 100 тыс. субъектов персональных данных и (или) более 1 млн идентификаторов — от 300 до 400 тыс. руб. для граждан, от 400 до 600 тыс. руб. для должностных лиц, от 10 до 15 млн руб. для юрлиц.
Утечка специальной категории персданных грозит штрафами от 300 до 400 тыс. руб. для граждан, от 1 до 1,3 млн руб. для должностных лиц, от 10 до 15 млн руб. для юрлиц.
Нарушения, связанные с биометрическими данными
В случае неправомерной передачи биометрических персданных предусмотрены штрафные санкции от 400 до 500 тыс. руб. для граждан, от 1,3 до 1,5 млн руб. для должностных лиц, от 15 до 20 млн руб. для юрлиц.
Отказ должностного лица в предоставлении государственной или муниципальной услуги в связи с отказом заявителя от прохождения идентификации с использованием биометрических персональных данных —
- для должностных лиц органов госвласти, местного самоуправления и государственных внебюджетных фондов — штраф от 20 до 25 тыс. руб. либо дисквалификация сроком на 6 месяцев;
- для работников многофункциональных центров и публично-правовой компании, осуществляющей оказание госуслуг в сфере государственного кадастрового учета и государственной регистрации прав — штраф от 5 до 10 тыс. руб. либо дисквалификация сроком на 6 месяцев.
Нарушение порядка обработки биометрических персданных в единой биометрической системе, информационных системах госорганов, Центробанка и организаций, осуществляющих аутентификацию на основе таких данных — от 100 до 300 тыс. руб. для должностных лиц, от 500 тыс. до 1 млн руб. для юрлиц.
Непринятие мер по обеспечению безопасности биометрических персданных — от 300 до 500 тыс. руб. для должностных лиц, от 1 до 1,5 млн руб. для юрлиц.
Обработка биометрических персданных без аккредитации — от 500 тыс. до 1 млн руб. для должностных лиц, от 1 до 2 млн руб. для юрлиц.
Отказ в заключении договора с потребителем, который отказывается предоставлять свои биометрические данные — от 50 до 100 тыс. руб. для должностных лиц, от 200 до 500 тыс. руб. для юрлиц.
Уголовная ответственность
С принятием 421-ФЗ от 30.11.2024 в Уголовном кодексе РФ появилась статья 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения». Нарушение этой статьи может повлечь за собой серьезные санкции. Сразу уточним, что действие статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.
Деяния, указанные в названии статьи, за исключением совершенных в отношении компьютерной информации — штраф до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 1 года, либо принудительные работы или лишение свободы на срок до 4 лет.
Те же деяния, совершенные в отношении компьютерной информации —
штраф до 700 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо принудительные работы или лишение свободы на срок до 5 лет.
Если же эти деяния совершены из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору и с использованием своего служебного положения — штраф до 1 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо принудительные работы на срок до 5 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо лишение свободы на срок до 6 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.
Деяния, сопряженные с трансграничной передачей персданных — лишение свободы на срок до 8 лет со штрафом до 2 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового.
Если вышеуказанные деяния повлекли тяжкие последствия либо совершены организованной группой — лишение свободы на срок до 10 лет со штрафом до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового.
Создание Интернет-ресурса, заведомо предназначенного для незаконного хранения и передачи полученной незаконным путем информации, содержащей персональные данные — штраф до 700 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо принудительные работы на срок до 5 лет со штрафом в размере до 700 тыс. руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, либо лишением свободы на срок до 5 лет со штрафом в размере до 700 тыс. руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового.
Запрет сбора персданных на зарубежные серверы
С 1 июля 2025 года вступают в силу поправки, существенно ограничивающие трансграничную передачу персональных данных. Федеральный закон от 28 февраля 2025 года № 23-ФЗ вносит изменения в Закон «О персональных данных» и ряд других нормативных актов. В частности, новая редакция части 5 статьи 18 152-ФЗ запрещает запись, систематизацию, накопление, хранение и извлечение персональных данных граждан России с использованием баз данных, расположенных за пределами страны. Исключения предусмотрены лишь для ограниченного числа случаев, прямо указанных в статье 6 закона.
Это означает, что компании больше не смогут собирать персональные данные напрямую на зарубежные серверы, в том числе при использовании интернет-форм и онлайн-сервисов. Применение веб-аналитических инструментов, которые передают данные за рубеж, также подпадает под новые ограничения и будет расцениваться как трансграничная передача.
Многофункциональный сервис обмена информацией
10 июня 2025 года Госдума приняла закон «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации». На основании закона будет создана новая система — Многофункциональный сервис обмена информацией (МСОИ). Главная ее цель — упростить доступ к государственным и муниципальным цифровым услугам, сделать их удобными и безопасными. Определить организацию, которая займется созданием и функционированием МСОИ, должно Правительство РФ.
С помощью МСОИ граждане, в частности, смогут делиться личными данными для получения госуслуг, подписывать документы усиленной электронной подписью. Предоставление сведений из документов (паспорта, водительских прав и т.д.) через МСОИ в тех случаях, когда требуется подтверждение личности, будет приравниваться к предъявлению самих документов. Также посредством сервиса граждане смогут получать информацию из госорганов.
Закон (за исключением статей 2 и 5) вступит в силу со дня его официального опубликования. По состоянию на 12 июня 2025 года документ направлен на рассмотрение Совета Федерации.
Дополнительные меры по снижению риска утечки персданных
С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено как отдельный документ, не смешиваясь с другими договорами или соглашениями, даже если они касаются других целей обработки персональных данных. Это положение содержится в статье 5 вышеуказанного документа. Как отмечается в пояснительной записке к законопроекту, изменение направлено на устранение правовой неопределенности, которая позволяет недобросовестным операторам вводить граждан в заблуждение относительно условий и целей обработки их данных. Часто условия о согласии на обработку персданных включаются в пользовательские соглашения или другие юридические документы, где они «теряются» среди большого объема информации. В таких случаях, используя сайт (даже просто просматривая его) или принимая условия договора, человек фактически дает согласие на обработку своих персональных данных, включая их возможную передачу неограниченному кругу лиц.
Передача обезличенных сведений в ГИС
С 1 сентября 2025 года согласно 233-ФЗ от 08.08.2024 операторы персданных будут должны по запросу Минцифры передавать обезличенные данные в закрытую государственную информационную систему (ГИС). Обезличенные данные — это сведения, которые не позволяют установить принадлежность конкретному человеку. Состав таких данных, сроки передачи и порядок обезличивания будут дополнительно определены Правительством РФ совместно с ФСБ.
Доступ к этой системе будет предоставлен государственным и муниципальным органам. Граждане РФ и юридические лица также получат доступ к ГИС при соблюдении ряда условий:
- сведения о них внесены в реестр операторов;
- они не контролируются иностранными лицами или компаниями и не имеют иностранного гражданства;
- в ЕГРЮЛ отсутствует запись о недостоверности сведений о юридическом лице;
- гражданин или юрлицо не причастны к экстремистской деятельности или терроризму;
- отсутствие действующей судимости и привлечения к уголовной ответственности за последние 5 лет.
В 2025 году законодатель существенно ужесточил требования к операторам персданных, усилил санкции за нарушения и закрыл лазейки, позволяющие недобросовестную практику. В центре внимания — безопасность персональных данных, прозрачность получения согласия и контроль трансграничной передачи.
Компании, работающие с персональными данными, теперь обязаны выстраивать процессы с учетом новых рисков и требований. Унифицированные формы, отдельные документы согласия, запрет на зарубежные серверы, многомиллионные штрафы и уголовная ответственность — это делает соблюдение законодательства приоритетом всей бизнес-стратегии.
Для юристов, compliance-специалистов и IT-директоров наступает период, когда незнание или недооценка новых норм может стоить слишком дорого.
Быть в курсе всех изменений и своевременно адаптировать внутренние процедуры и документы вам поможет обучение на программе «Защита персональных данных» от Moscow Digital School. Здесь вы будете учиться у практиков из Comply, ALUMNI Partners, Ozon, VK и других известных компаний. Для удобства в работе вы получите конспекты, шаблоны документов и чек-листы. Как и на всех курсах MDS, курс фокусируется на практической ценности: в формате бизнес-игры вы пройдете проверку Роскомнадзора и аудит компании по 152-Ф3.
