Персональные данные: чего ждать в 2025 году?
Ксения Шудрова, 26/12/24
Прогноз на 2025 г. для защитников ПДн оптимистичный: да, проблем много, но и решений достаточно. Весь текущий год мы наблюдали зарождение различных, порой противоречивых, тенденций. Новый год покажет, какие из веяний останутся с нами и зададут тон в отрасли. Чтобы не ждать естественного развития событий, поищем закономерности в прошлом, двигаясь от частного к общему. Итак, что же будет с персональными данными в 2025 г.?
Автор: Ксения Шудрова, эксперт по информационной безопасности
Утечки
Утечка – слово этого года в отрасли. Мы наблюдали бесконечный поток утечек персональных данных самых разных масштабов: виноваты были и мелкие организации, и крупные корпорации. К концу года в СМИ все чаще стало появляться пессимистичное утверждение, что защищать нечего, все персональные данные россиян уже слиты в сеть. Но, безусловно, это не так. Утекли, в частности, устаревшие данные, кроме того, базы смешивались, и различить в них однофамильцев не представляется возможным, многие данные многократно дублировались, а какая-то информация, к счастью, никогда не попадала в Сеть.
Ценность персональных данных все еще очень высока.
В новом году закрепится тренд на увеличение количества и масштабов утечек. Причиной тому станет нарастающий темп цифровизации общества, в частности, повсеместное использование мобильных приложений. Каждое уважающее себя кафе, сервис такси или салон красоты настойчиво предлагает пользователю использовать приложение. Но зачастую при разработке таких программ ставка делается на удобство пользователя и быстроту написания кода, а безопасность при обработке персональных данных учитывается не всегда.
Вследствие увеличения количества утечек стали появляться многочисленные сервисы, которые предлагают пользователям помощь в проверке несанкционированного распространения данных. Например, в апреле этого года появился проект, поддержанный Национальным координационным центром по компьютерным инцидентам, под названием "Утекли ли ваши данные? Проверьте" – для поиска утечек персональных данных по номеру телефона, логину или электронной почте. Но далеко не всем сайтам можно доверять, некоторые лишь маскируются под легальные сервисы поиска утечек, а на деле осуществляют сбор личной информации в преступных целях.
Особые данные
В 2024 г. окончательно сформировалась тенденция, которая, несомненно, останется с нами на ближайшие годы, и звучит она так: одни категории данных важнее других.
Выделяют специальные категории персональных данных, биометрические персональные данные и персональные данные несовершеннолетних. Об особом подходе к ним говорится в законопроектах, в публикациях СМИ и на профильных конференциях.
1 июня 2024 г. Минцифры РФ подготовило методические рекомендации для тех, кто публикует сведения о несовершеннолетних, пострадавших от противоправных действий или бездействия.
Одним из обсуждаемых в области биометрии является законопроект № 718834-8 "О внесении изменений в часть первую Гражданского кодекса Российской Федерации (об охране голоса)", который на данный момент находится на рассмотрении в Государственной Думе.
Строгие наказания
Еще один важный тренд – наказания становятся строже.
30 ноября 2024 г. Президент РФ подписал Федеральный закон № 421-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации" о введении в УК РФ новой статьи 272.1 "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения". В статье говорится о наказании в виде лишения свободы на срок до десяти лет со штрафом до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.
Усугубляющими обстоятельствами являются:
- данные несовершеннолетних,
- специальные категории персональных данных,
- биометрические персональные данные,
- трансграничная передача.
Создание сайта, заведомо предназначенного для обработки персональных данных, полученных незаконным путем, наказывается штрафом до 700 тыс. руб., лишением свободы до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет.
Кроме этого, 30 ноября 2024 г. были внесены изменения в Кодекс Российской Федерации об административных правонарушениях, приняты так называемые оборотные штрафы (Федеральный закон № 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"). Новым законом предусмотрены наказания: для граждан в размере до 800 тыс. руб.; для должностных лиц – до 2 млн руб.; для юридических лиц (и ИП) – от 1 до 3 процентов годовой выручки, но не более 500 млн руб.
ФСТЭК России предложила законопроект № 148828 "О внесении изменений в ст. 13.12 Кодекса Российской Федерации об административных правонарушениях", предусматривающий повышение штрафов за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, и нарушение требований о защите информации (в том числе в сфере защиты персональных данных).
Фокус на согласиях
Большое внимание в правовом поле уделяется согласию на обработку персональных данных.
Правительство поддержало законопроект о запрете избыточного сбора персональных данных № 679980-8 "О внесении изменений в ст. 9 Федерального закона "О персональных данных" и ст. 10 закона "О защите прав потребителей" (в части установления особенностей обработки персональных данных), в котором предлагается запретить продавцам ограничивать доступ потребителя к информации о товарах, по причине отказа потребителя предоставить персональные данные. Согласие на обработку персональных данных при этом должно быть оформлено отдельно от иных документов. В конце октября 2024 г. законопроект был принят в первом чтении.
В апреле этого года в Госдуму внесли законопроект "О внесении изменений в ст. 9 Федерального закона "О персональных данных" (№ 608384-8) о предоставлении субъекту возможности отзыва согласия на обработку персональных данных в той же форме, с помощью которой согласие было получено. Например, если согласие было дано через сайт в электронном виде, то должна быть реализована возможность отозвать его так же, через сайт. Государственная Дума планировала рассмотреть законопроект в сентябре текущего года, но пока новой информации о нем нет.
В то же время некоторые данные становятся общедоступными. В Федеральном законе от 29.05.2024 № 114-ФЗ "О внесении изменений в Федеральный закон "Об исполнительном производстве", который вступит в силу весной 2025 г. (через 360 дней после опубликования), говорится о реестре должников по алиментным обязательствам. Сведения по исполнительным производствам будут являться общедоступными до исключения сведений о должнике из указанного реестра в связи с полным погашением задолженности или по другим основаниям, установленным в соответствии с порядком создания и ведения банка данных.
Океаны и моря данных
С 1 сентября 2025 г. полностью вступит в силу Федеральный закон от 8 августа 2024 г. № 233-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в ст. 6 и 10 Федерального закона "О персональных данных", вводящий новую статью. В ст. 13.1 "Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним" говорится о составах персональных данных, которые будут передаваться по требованию Минцифры РФ в обезличенном виде в государственную информационную систему, что свидетельствует о появлении большого государственного океана данных.
На данный момент Минцифры РФ совместно с Ассоциацией больших данных прорабатывает порядок доступа к государственным данным. А крупные российские компании, в свою очередь, подписывают отраслевой стандарт защиты данных, который разработали в Ассоциации больших данных. Продолжая метафору с океаном, информационные системы корпораций можно сравнить с морями данных.
Определенно, крупные операторы будут укрупняться, а мелкие будут исчезать или становиться их частью, как реки, впадающие в море.
Использование "Госуслуг"
Сервис "Госуслуги" уже сейчас используется гражданами для управления своими согласиями. Однако попадают туда далеко не все согласия на обработку персональных данных – скорее всего, ситуация будет выправляться. В будущем пользователь сможет управлять всеми своими согласиями из профиля "Госуслуг".
Активным трендом может стать использование сервиса "Госуслуги" в части уведомления граждан об утечке персональных данных. Уже сейчас через сервис возможно получить компенсацию, если компания, допустившая утечку, инициирует диалог с пострадавшим.
Появляются идеи о предоставлении пользователю возможности через "Госуслуги" потребовать компенсацию, не дожидаясь, когда ее предложит оператор, что может привести к появлению недобросовестных пользователей. Пока о выплатах через "Госуслуги" ничего не известно, и субъекты все так же требуют компенсации через суд. Суммы обычно одобряют небольшие, порядка 5 тыс. руб.
Ранее предполагалось, что добровольная выплата компенсаций позволит оператору избежать серьезных наказаний и повлияет на сумму штрафа, однако изменения в КоАП РФ и УК РФ были приняты без таких формулировок.
Итак, предсказуемые тренды в сфере персональных данных 2025 г. намечены. Безусловно, появятся и новые, непредсказуемые на данный момент. Но имеющийся опыт, внимание к деталям и гибкость в принятии решений помогут адаптироваться к любым изменениям. Успешного года!