Обработка персональных данных как актуальность в условиях цифровизации общества. Последние изменения и дополнения в законодательстве об обработке персональных данных, их значение и влияние на организации и граждан.

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому лицу. Защита таких данных стала необходимостью в связи с ростом объемов информации, обрабатываемой компаниями, и увеличением случаев ее неправомерного использования. В различных странах для защиты прав граждан созданы законодательные нормы, регулирующие обработку персональных данных.
Обработка персональных данных включает в себя любые действия, которые с ними связаны: сбор, запись, хранение, изменение, извлечение, передача, обезличивание, анализ, удаление.
В обработке персональных данных участвуют два лица:

1. Субъект персональных данных — человек, кому принадлежат персональные данные. Без его согласия обрабатывать, распространять его личную информацию нельзя.
2. Оператор персональных данных — физлицо или компания, которая запрашивает, обрабатывает, хранит персональные данные субъекта.

Согласно Постановлению Правительства от 01.11.2012 №1119, существуют четыре вида персональных данных:

1. Общие. К ним относятся базовые личные данные: ФИО, СНИЛС, адрес регистрации и проживания, семейное положение, трудовая деятельность, место жительства, образование, дата рождения, факты биографии, реквизиты счёта, электронная почта, номер телефона и другие.
2. Специальные. Это информация о личности человека: национальность, расовая принадлежность, политические, религиозные и философские взгляды, судимости, состояние здоровья, подробности интимной жизни.
3. Биометрические. Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фото и видеоизображения, отпечатки пальцев, вес, рост, группа крови, анализ ДНК, генетическая информация, информация о радужной оболочке глаза.
4. Иные. К ним относят все данные, не попадающие под определения общедоступных, специальных или биометрических. Например, членство в клубе или сведения, касающиеся работы (размер зарплаты, график отпусков, трудовой стаж).

Оператор обязан защитить персональные данные своих пользователей. Для этого ему необходимо составить комплекс мер по защите, например, разработать политику сбора и хранения персональных данных, обеспечить сохранность физических носителей информации, контролировать виртуальное пространство на предмет вредоносных атак.

С 1 июля 2025 года вступают в силу изменения в законе №152-ФЗ «О персональных данных», которые уточняют требования к локализации данных.
Согласно новым поправкам, первичный сбор персональных данных граждан РФ должен происходить на территории России. Любые формы, поля, чат-боты, трекеры и скрипты, которые напрямую или автоматически передают данные на иностранные серверы до их сохранения в России, теперь нарушают закон.
Некоторые другие изменения и дополнения в сфере обработки персональных данных в 2025 году:

• Увеличение штрафов за нарушения. Введены новые составы правонарушений, такие как непредставление уведомления о намерении обрабатывать персональные данные, несоблюдение требований к локализации персональных данных, несвоевременное уведомление об утечке персональных данных, действия или бездействие, повлекшие утечку ПДн.
• Новые требования к обработке биометрических данных. Обработка биометрических данных без аккредитации запрещена. Запрещено отказывать в обслуживании клиентам, которые не предоставили биометрические данные.
• Расширение случаев обработки данных без согласия. С 1 сентября 2025 года расширяется перечень случаев, когда обработка персональных данных возможна без согласия субъекта: это случаи, предусмотренные уголовно-процессуальным законодательством.
• Установление требований к обезличиванию данных. С 1 сентября 2025 года операторы персональных данных будут обязаны предоставлять по требованию Минцифры обезличенные сведения.

В СПС Консультант плюс поминается о новых формах согласий на обработку персональных данных, которые теперь включают согласие на передачу биометрических векторов, и о требованиях к уведомлению Роскомнадзора о трансграничной передаче данных.
На основании анализа источников можно сделать вывод, что изменения в законодательстве направлены на усиление защиты прав граждан на неприкосновенность их личной информации и повышение ответственности всех, кто работает с персональными данными.

С 30 мая 2025 года вступают в силу масштабные изменения в сфере регулирования обработки персональных данных (ПДн), затрагивающие каждую организацию — от микропредприятий до крупных корпораций. Эти изменения направлены на усиление защиты прав граждан и повышение ответственности операторов данных.
За нарушение правил обработки персональных данных предусмотрены различные последствия, в том числе:

• Штрафы. Контролирующие органы могут наложить штрафные санкции за нарушение требований к защите персональных данных.
• Незаконное использование информации. Получение или применение персональных данных о частном лице без письменного или иного согласия на то является незаконным. Также неправомерными считаются случаи обработки персональных сведений после получения от частного лица заявления на отзыв согласия на такую обработку.
• Потеря репутации. Нарушение правил обработки персональных данных может негативно повлиять на репутацию компании, что может сказаться на уровне дохода.

Ключевые изменения и дополнения

1. Ужесточение ответственности

Градуированные штрафы:

• Размеры штрафов теперь зависят от масштаба инцидента. Например, за первичное нарушение для граждан предусмотрен штраф от 10 000 до 15 000 руб., для должностных лиц — от 50 000 до 100 000 руб., для организаций — от 150 000 до 300 000 руб..
• При повторных нарушениях суммы удваиваются, а за утечку данных более 100 000 субъектов штраф для юрлиц достигает 15 млн руб.

Уголовная ответственность:

• Введена ответственность за незаконное использование и распространение ПДн, включая до 4 лет лишения свободы за утечку данных несовершеннолетних.

2. Локализация данных
Запрет на зарубежные сервисы:
С 1 июля 2025 года запрещено использовать информационные системы и базы данных, физически расположенные за пределами РФ, для основных операций с ПДн граждан РФ. Это касается:

• Записи, систематизации, хранения и обработки данных.
• Обязательного перехода на российские дата-центры.
• Исключение — случаи, когда трансграничная передача одобрена Роскомнадзором.

3. Работа с биометрией и обезличенными данными
Обработка без согласия:
С 1 сентября 2025 года разрешено использовать биометрические данные (отпечатки пальцев, изображения лица) без согласия субъекта в случаях, прямо предусмотренных уголовно-процессуальным законодательством (например, для розыска лиц).
Новые формы согласий:
Утверждены унифицированные формы для размещения и обработки ПДн в ЕСИА и биометрических данных в ЕБС. Они включают согласие на передачу биометрических векторов (математических моделей данных).

Централизация биометрии:
С 1 января 2027 года все биометрические данные будут храниться только в Единой биометрической системе (ЕБС). Операторы обязаны удалять их в течение 10 дней после использования.

4. Новые требования к документам
Обновлённые формы согласий:
Введены обязательные разделы:

• Цель обработки (например, продажа товара, рассылка).
• Перечень данных (ФИО, телефон, email).
• Срок хранения и способ отзыва согласия.
• Отдельное согласие требуется для cookie-трекинга и аналитики.

Уведомление Роскомнадзора:
Необходимо обновлять сведения при любых изменениях в бизнес-процессах. За несвоевременное уведомление — штраф до 300 000 руб. для организаций.

Трансграничная передача данных

• Разрешение Роскомнадзора:
• Для передачи данных за рубеж требуется отдельное уведомление и подтверждение соответствия иностранным юрисдикциям.

Запрет на дискриминацию:
Запрещено отказывать в услуге из-за отказа предоставить биометрические данные или согласие на их обработку.

Последствия для бизнеса
Аудит процессов:
Необходимо пересмотреть:

• Использование иностранных сервисов (Google Analytics, Meta Pixel).
• Политику конфиденциальности и формы согласий.

Технические меры:

• Переход на российские аналоги (например, Яндекс.Метрика).
• Внедрение DLP-систем для защиты данных.

Обучение сотрудников:
Инструктаж по работе с ПДн и новым формам согласие.

Какие были рекомендации до 30 мая 2025 года:
Подать обновлённое уведомление в Роскомнадзор, если ранее оно не было подано.

До 1 июля 2025 года:
Мигрировать данные в российские дата-центры.

До 1 сентября 2025 года:
Внедрить новые формы согласий и регламенты работы с биометрией.
Несоблюдение этих требований может привести не только к штрафам, но и к блокировке сайта или приостановке деятельности компании.

Штрафы, которые предусмотрены ч. 1 ст. 13.11 КоАП РФ с 30 мая 2025 года за нарушение правил обработки персональных данных:
Первичное нарушение:

• для граждан — от 10 000 до 15 000 рублей (ранее — от 2000 до 6000 рублей);
• для должностных лиц и ИП — от 50 000 до 100 000 рублей (ранее — от 10 000 до 20 000 рублей);
• для организаций — от 150 000 до 300 000 рублей (ранее — от 60 000 до 100 000 рублей).

Повторное совершение правонарушения:

• для граждан — от 15 000 до 30 000 рублей (ранее — от 4000 до 12 000 рублей);
• для должностных лиц — от 100 000 до 200 000 рублей (ранее — от 20 000 до 50 000 рублей);
• для организаций и ИП — от 300 000 до 500 000 рублей (ранее для организаций — от 100 000 до 300 000 рублей, для ИП — от 50 000 до 100 000 рублей).

Некоторые другие штрафы:
За сбор персональных данных без письменного согласия владельцев:

• для физлиц — до 15 000 рублей;
• для руководителей — от 100 000 до 300 000 рублей;
• для организаций — 300 000–700 000 рублей, при повторном нарушении — до 1,5 млн рублей.

За неуведомление Роскомнадзора об утечке персональных данных в течение 24 часов с момента обнаружения:

• для физлиц — 50 000–100 000 рублей;
• для руководителей — 400 000–800 000 рублей;
• для компаний и ИП — 1–3 млн рублей.

Некоторые меры предосторожности при работе с персональными данными:

• Назначить ответственное лицо и разработать локальные акты, которые регламентируют все процессы. В таких документах определяют категории субъектов, способы обработки и сроки хранения персональных данных.
• Осуществлять внутренний контроль или аудит для оценки эффективности всех мер по защите персональных данных в процессе обработки. Например, проверять правила обработки данных и соблюдение сроков их хранения.
• Проводить обучение и знакомить сотрудников с законами, которые регулируют обработку персональных данных, в том числе и с локальными актами работодателя, например с помощью должностных инструкций.
• Контролировать доступ к персональным данным и вести учёт всех совершённых действий. Например, распределить права доступа и настроить многофакторную аутентификацию.
• Применять средства защиты информации, в которых предусмотрена функция безопасного уничтожения — то есть чтобы её нельзя было восстановить и использовать снова неправомерно.
• Проверять безопасность системы хранения персональных данных и вести учёт носителей с этой информацией, например, если в организации используют съёмные жёсткие диски.
• Иметь план восстановления данных в случае успешных кибератак, когда информацию могут изменить или удалить. Например, создать резервные копии данных и поместить их в безопасное место, а сотрудникам дать чёткие инструкции на такой случай.
• Уведомлять Роскомнадзор о намерении обрабатывать персональные данные. Это необходимо сделать до того, как компания начнёт собирать сведения о кандидатах, работниках и/или клиентах.

На основании анализа источников можно сделать вывод, что изменения в законодательстве направлены на усиление защиты прав граждан на неприкосновенность их личной информации и повышение ответственности всех, кто работает с персональными данными.

Возможно Вам будет интересно:
Портал персональных данных уполномоченного органа по защите прав субъектов персональных данных
Федеральная государственная информационная система координации информатизации (ФГИС КИ)
Мониторинг импортозамещения программного обеспечения