Изменения в законодательстве о персональных данных за 2025 год, тенденции и предпосылки

Темы, рассматриваемые в статье:
Обзор изменений в регулировании персональных данных за 2025 год:

• Неавтоматизированная обработка персональных данных
• Локализация персональных данных
• Запрет на использование иностранных мессенджеров
• Оборотные штрафы
• Обезличивание персональных данных
• Согласие на обработку персональных данных
• Изменение правил контрольно-надзорной деятельности Роскомнадзора
• Банк данных угроз безопасности информации ФСТЭК России

Законопроекты и актуальные тенденции в сфере ПДн:

• Искусственный интеллект
• Импортозамещение
• Отраслевые стандарты
• Штрафы

Начало года было ознаменовано опубликованием Постановления Правительства РФ № 12 от 18 января 2025 г. согласно которому пункт 3 Постановления Правительства РФ № 687 от 15 сентября 2008 г., утверждающего Положение об обработке персональных данных без использования средств автоматизации, дополнен словами «и действует до 1 сентября 2030 г.». Внесение данной поправки наводит на неутешительные мысли о том, что ожидать обновления морально устаревшего документа 2008 г. ранее указанной даты не приходится.

Далее, 28 февраля 2025 г. были внесены поправки непосредственно в Закон «О персональных данных», ужесточающие требования к локализации персональных данных. Формулировка о том, что оператор обязан обеспечить обработку персональных данных граждан РФ с использованием баз данных (далее – БД), находящихся на территории РФ, которую некоторые эксперты трактовали как обязанность обеспечить первоначальную обработку персональных данных с использованием БД на территории РФ, допускающую дальнейшую передачу таких данных за ее пределы, была заменена на более однозначную. Теперь, за исключением отдельных случаев, обработка персональных данных граждан РФ с использованием БД, находящихся за пределами РФ, не допускаются. Указанная поправка вступила в силу 1 июля 2025 г.

Напомню, что за нарушение данных требований согласно части 8 статьи 13.11 КоАП РФ для юридических лиц предусмотрена ответственность в размере от 1 млн. до 6 млн. рублей.

Правоприменительная практика, позволяющая определить случаи, подпадающие под требования о локализации персональных данных пока не так велика, но, тем не менее, определенные выводы на основе имеющихся прецедентов сделать уже можно.

Так, в мае 2025 года сообщалось, что Таганский суд Москвы оштрафовал Telegram на 2,8 млн. рублей за нарушение законодательства в области персональных данных. В частности, по той самой части 8 статьи 13.11 КоАП РФ.

В связи с чем во избежание штрафных санкций операторам представляется целесообразным отказаться от использования для обработки персональных данных нелокализованных сервисов, таких, как иностранные мессенджеры, сервисы Google и т.п.

Кроме того, 1 июня 2025 г. вступили в силу требования Федерального закона № 41-ФЗ от 1 апреля 2025 г., запрещающие использование мессенджеров, владельцами которых являются иностранные компании, в число которых входят мессенджеры Telegram, WhatsApp, WeChat и т.п., для информирования граждан РФ. Запрет распространяется на гос. органы, гос. компании, кредитные и некредитные финансовые организации, подведомственные Банку России, операторов связи, владельцев агрегаторов информации о товарах (услугах), владельцев крупных социальных сетей и онлайн-платформ объявлений.

При этом, согласно сведениям, содержащимся в Письме Минцифры РФ от 10 июня 2025 г. № П12-11425-ОГ «О рассмотрении обращения», запрещается любое прямое взаимодействие с гражданами и юридическими лицами с использованием указанных сервисов обмена мгновенными сообщениями организациям, перечисленным в части 1 статьи 15 вышеуказанного Федерального закона, в том числе по инициативе граждан и юридических лиц. При этом, например, допускается ведение Telegram-каналов, в целях размещения общедоступной информации, без возможности прямого взаимодействия с гражданами и юридическими лицами посредством направления ответов на комментарии или реакции.

Отмечу, что за незаконное использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для ЭВМ согласно статье 13.11.2 КоАП РФ для юридических лиц установлен административный штраф в размере от 100 тыс. до 700 тыс. руб.

Безусловно, одним из главных событий 2025 года в сфере персональных данных стало вступление в силу 30 мая 2025 г. изменений в КоАП РФ, предусматривающих усиление административной ответственности за нарушения в области обработки персональных данных. Произошло достаточно серьезное увеличение штрафов, в частности, за некоторые повторные правонарушения предусмотрена ответственность в размере до 500 млн. руб.

В связи с тем, что согласно одной из новых статей предусмотрена ответственность до 300 тыс. рублей за несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных, многие компании, откладывавшие подачу такого уведомления, в последний момент приняли решение уведомить регулятора. Сайт Роскомнадзора оказался не готов к такому ажиотажу, в связи с чем в последние дни мая наблюдались перебои в его работе. Кроме того, уведомления, направленные в бумажном виде, также не были обработаны в предусмотренный законом срок, в связи с чем компании, подавшие уведомление, по несколько месяцев ожидали включения себя в реестр операторов.

Значительная часть нормативно-правовых актов, регулирующих обработку персональных данных, опубликованных в 2025 году, была направлена на реализацию требований вступившей в силу 1 сентября 2025 г. статьи 13.1. Закона «О персональных данных», определяющей особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним.

Данная статья, а также подзаконные акты, утвержденные во исполнение ее требований, определяют порядок обезличивания и предоставления операторами обезличенных персональных данных по требованию Минцифры России. Предполагается, что передаваемые обезличенные данные будут использоваться для формирования составов данных и предоставления доступа к ним гражданам и юридическим лицам, а также в рамках разработки и внедрения технологий искусственного интеллекта.

При этом, согласно пункту 7 Правил обезличивания персональных данных, утвержденных Постановлением Правительства Российской Федерации от 1 августа 2025 г. № 1154, оператор может осуществлять обезличивание персональных данных с использованием безвозмездно предоставляемой Минцифры России оператору программы для ЭВМ. В публикации Forbes от 25 марта 2025 г. говорилось о том, что таким софтом, по словам источников Forbes, вероятно, станет разработка АНО «Национальный технологический центр цифровой криптографии». Однако, официальные разъяснения по поводу безвозмездно предоставляемого софта для обезличивания персональных данных со стороны Минцифры России на текущий момент отсутствуют.

Отдельно можно отметить, что в 2025 году был устранен пробел в правовом регулировании в отношении обезличивания персональных данных организациями, не являющимися государственными или муниципальными органами.

Не смотря на то, что Закон «О персональных данных» предусматривает ряд случаев, когда операторы имеют право прибегать к обезличиванию, например, при истечении срока хранения персональных данных, в случаях достижения целей их обработки или утраты необходимости их обработки (согласно пункту 7 статьи 5), а также в случае обработки персональных данных в статистических или иных исследовательских целях (согласно пункту 9 статьи 6), единственный нормативно-правовой акт, приказ Роскомнадзора от 5 сентября 2013 г. № 996, устанавливающий порядок обезличивания, распространял свое действие только на государственные и муниципальные органы.

Однако теперь, при соблюдении требований Закона «О персональных данных», а также требований, установленных приказом Роскомнадзора от 19 июня 2025 г. № 140, вступившего в силу с 1 сентября 2025 г., и пришедшего на смену приказу Роскомнадзора от 5 сентября 2013 г. № 996, утратившим силу, обезличивание персональных стало доступно всем операторам.

Если провести сравнение методов обезличивания, предусмотренных документом 2013 года с методами, представленными в новых нормативно-правовых актах, можно сделать вывод, что видение регуляторов относительно того, что понимается под обезличиванием, осталось неименным. Единственное нововведение, которое можно отметить, это включение дополнительно метода преобразования массива персональных данных, который может применяться дополнительно при использовании других методов в целях исключения связи между субъектами персональных данных и соответствующих им атрибутами.

С 1 сентября 2025 г. вступили в силу поправки в части 1 статьи 9 Закона «О персональных данных», введенные статьей 5 Федерального закона от 24 июня 2025 г. № 156-ФЗ. С этой даты согласия на обработку персональных данных необходимо оформлять отдельно от остальных документов, которые подписывает субъект персональных данных.

Новое требование вступает в противоречие с упомянутым ранее Положением об обработке персональных данных без использования средств автоматизации, утвержденным Правительством РФ № 687 от 15 сентября 2008 г., положение которого предусматривают включение согласия на обработку в состав других документов, что еще раз наводит на мысль о необходимости актуализации данного документа.

В начале сентября 2025 года вступили в силу изменения в Положение о государственном контроле (надзоре) за обработкой персональных данных (Постановление правительства РФ от 29 июня 2021 г. № 1046). внесенные Постановлением Правительства РФ от 27 августа 2025 г.

Помимо других изменений, в целях исполнения требований новой статьи 52.1 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», регламентирующей порядок осуществления обязательных профилактических визитов, были внесены изменения в порядок осуществления контрольно-надзорной деятельности Роскомнадзора.

В частности, теперь возможность отказаться от проведения профилактического визита исключена, а срок проведения увеличен с 5 до 10 рабочих дней. Профилактический визит по-прежнему может проводится в форме профилактической беседы по месту осуществления деятельности оператора либо путем использования ВКС. Также добавилась возможность проведения профилактического визита с использованием ГИС «Инспектор».

Во исполнение новых требований утвержден Приказ Роскомнадзора №390 от 19 декабря 2025 г., определяющий План обязательных профилактических визитов к операторам персональных данных на 2026 год, содержащий перечень операторов для которых предусмотрено проведение обязательных профилактических визитов.

Важно помнить, что при проведении профилактического визита выявляются нарушения, Роскомнадзором может быть принято решение о проведении контрольных (надзорных) мероприятий.

В начале июня 2025 г. ФСТЭК России впервые с 2023 г. расширил Банк данных угроз безопасности информации, добавив угрозы, связанные с применением docker-контейнеров, что, в соответствии с пунктом 2.14. действующей Методики оценки угроз безопасности информации ФСТЭК России влечет за собой необходимость пересмотра операторами моделей угроз безопасности информации.

Следующая актуализация произошла в декабре 2025 года. Сведения об угрозах УБИ.218 - УБИ. 222 утратили свою актуальность в связи с опубликованием нового подраздела банка данных угроз «Угрозы безопасности информации систем искусственного интеллекта».

В новом подразделе приведено описание угроз безопасности информации систем искусственного интеллекта. При этом угрозы подразделяются на две группы:

• угрозы безопасности информации, реализуемые в инфраструктуре разработчика и связанные с разработкой и обучением систем искусственного интеллекта;

• угрозы безопасности информации, реализуемые в инфраструктуре оператора системы информационной системы на этапе эксплуатации систем искусственного интеллекта.

Для каждой из групп установлены соответствующие им объекты воздействия и способы реализации угроз.

Очевидно, что тенденция по регулированию вопросов, связанных с применением искусственного интеллекта, будет продолжена и в следующем году. К примеру, в План технического комитета по стандартизации «Защита информации» (ТК 362) на 2026 год включена разработка следующих документов:

• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»;

• ГОСТ Р «Защита информации. Угрозы безопасности информации при разработке программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования».

Если говорить об имеющихся тенденциях по другим вопросам, относящемся к регулированию персональных данных, необходимо упомянуть поручение Председателя правительства РФ по итогам X конференции «Цифровая индустрия промышленной России».

В рамках данного мероприятия Михаил Мишустин поручил Минцифры России, ФСБ России и ФСТЭК России проработать вопрос внесения изменений в законодательство РФ, устанавливающих обязанность операторов персональных данных использовать для обработки и хранения данных граждан исключительно российское программное обеспечение, в том числе системы управления базами данных.При этом предложения по поправкам должны были быть подготовлены до 1 декабря 2025 г, а переходный период ограничен 1 сентября 2027 г.

Кроме того, задачи, связанные с регулированием законодательства о персональных данных, нашли свое отражение в Плане мероприятий по реализации Концепции государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий, утвержденным Распоряжением Правительства РФ от 14 августа 2025 г. №2207-р.

Согласно пункту 1 Плана органы исполнительно власти к IV кварталу 2026 г. должны будут определить объем обрабатываемых персональных данных, необходимых хозяйствующим субъектам для осуществления своей деятельности, а также представить в Правительство РФ соответствующие предложения.

Вероятно, данные мероприятия направлены на формирование отраслевых стандартов, о необходимости перехода на которые неоднократно упоминали официальные представители Роскомнадзора.

В данный момент разработка отраслевых стандартов уже ведется на базе Главного радиочастотного центра. Планируется, что переход к отраслевым стандартам сбора данных должен позволить отказаться от концепции согласий на обработку персональных данных.

Также, в соответствии с пунктом 4 Плана МВД России, Минцифры России, Минэкономразвития России, ФСБ России и Роскомнадзор во взаимодействии с Генеральной прокуратурой и Следственным комитетом к III кварталу 2027 г. должны будут представить предложения о повышении ответственности за нарушение законодательства в области персональных данных и увеличению срока давности привлечения к административной ответственности за такие правонарушения. Таким образом, заданная в 2024 – 2025 г.г. тенденция на усиление ответственности за правонарушения, связанные с обработкой персональных данных, продолжится.

В заключении хотелось бы отметить, что, рассмотрев изменения в ПДн, произошедшие в разрезе одного года, а также законотворческую деятельность, которая будет влиять на нас в предстоящем будущем, мы видим, что регулирование персональных данных претерпевает изменения довольно динамично и для того, чтобы своевременно реагировать, специалистам по персональным данным необходимо постоянно отслеживать происходящие изменения и учитывать их в своей работе.

Получите консультацию по проведению аудита по 152 ФЗ для соответствия всем нормам и соблюдения законодательства — оставьте заявку >>>