Контакты
Подписка 2025
Статьи по информационной безопасности

Персональные данные: чего ждать в 2025 году?

Ксения Шудрова, 26/12/24

Прогноз на 2025 г. для защитников ПДн оптимистичный: да, проблем много, но и решений достаточно. Весь текущий год мы наблюдали зарождение различных, порой противоречивых, тенденций. Новый год покажет, какие из веяний останутся с нами и зададут тон в отрасли. Чтобы не ждать естественного развития событий, поищем закономерности в прошлом, двигаясь от частного к общему. Итак, что же будет с персональными данными в 2025 г.?

Автор: Ксения Шудрова, эксперт по информационной безопасности

ris1_2-1

Утечки

Утечка – слово этого года в отрасли. Мы наблюдали бесконечный поток утечек персональных данных самых разных масштабов: виноваты были и мелкие организации, и крупные корпорации. К концу года в СМИ все чаще стало появляться пессимистичное утверждение, что защищать нечего, все персональные данные россиян уже слиты в сеть. Но, безусловно, это не так. Утекли, в частности, устаревшие данные, кроме того, базы смешивались, и различить в них однофамильцев не представляется возможным, многие данные многократно дублировались, а какая-то информация, к счастью, никогда не попадала в Сеть.

Ценность персональных данных все еще очень высока.

В новом году закрепится тренд на увеличение количества и масштабов утечек. Причиной тому станет нарастающий темп цифровизации общества, в частности, повсеместное использование мобильных приложений. Каждое уважающее себя кафе, сервис такси или салон красоты настойчиво предлагает пользователю использовать приложение. Но зачастую при разработке таких программ ставка делается на удобство пользователя и быстроту написания кода, а безопасность при обработке персональных данных учитывается не всегда.

Вследствие увеличения количества утечек стали появляться многочисленные сервисы, которые предлагают пользователям помощь в проверке несанкционированного распространения данных. Например, в апреле этого года появился проект, поддержанный Национальным координационным центром по компьютерным инцидентам, под названием "Утекли ли ваши данные? Проверьте" – для поиска утечек персональных данных по номеру телефона, логину или электронной почте. Но далеко не всем сайтам можно доверять, некоторые лишь маскируются под легальные сервисы поиска утечек, а на деле осуществляют сбор личной информации в преступных целях.

Особые данные

В 2024 г. окончательно сформировалась тенденция, которая, несомненно, останется с нами на ближайшие годы, и звучит она так: одни категории данных важнее других.

Выделяют специальные категории персональных данных, биометрические персональные данные и персональные данные несовершеннолетних. Об особом подходе к ним говорится в законопроектах, в публикациях СМИ и на профильных конференциях.

1 июня 2024 г. Минцифры РФ подготовило методические рекомендации для тех, кто публикует сведения о несовершеннолетних, пострадавших от противоправных действий или бездействия.

Одним из обсуждаемых в области биометрии является законопроект № 718834-8 "О внесении изменений в часть первую Гражданского кодекса Российской Федерации (об охране голоса)", который на данный момент находится на рассмотрении в Государственной Думе.

Строгие наказания

Еще один важный тренд – наказания становятся строже.

30 ноября 2024 г. Президент РФ подписал Федеральный закон № 421-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации" о введении в УК РФ новой статьи 272.1 "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения". В статье говорится о наказании в виде лишения свободы на срок до десяти лет со штрафом до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Усугубляющими обстоятельствами являются:

  • данные несовершеннолетних,
  • специальные категории персональных данных, 
  • биометрические персональные данные,
  • трансграничная передача.

Создание сайта, заведомо предназначенного для обработки персональных данных, полученных незаконным путем, наказывается штрафом до 700 тыс. руб., лишением свободы до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет.

Кроме этого, 30 ноября 2024 г. были внесены изменения в Кодекс Российской Федерации об административных правонарушениях, приняты так называемые оборотные штрафы (Федеральный закон № 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"). Новым законом предусмотрены наказания: для граждан в размере до 800 тыс. руб.; для должностных лиц – до 2 млн руб.; для юридических лиц (и ИП) – от 1 до 3 процентов годовой выручки, но не более 500 млн руб.

ФСТЭК России предложила законопроект № 148828 "О внесении изменений в ст. 13.12 Кодекса Российской Федерации об административных правонарушениях", предусматривающий повышение штрафов за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, и нарушение требований о защите информации (в том числе в сфере защиты персональных данных).

Фокус на согласиях

Большое внимание в правовом поле уделяется согласию на обработку персональных данных.

Правительство поддержало законопроект о запрете избыточного сбора персональных данных № 679980-8 "О внесении изменений в ст. 9 Федерального закона "О персональных данных" и ст. 10 закона "О защите прав потребителей" (в части установления особенностей обработки персональных данных), в котором предлагается запретить продавцам ограничивать доступ потребителя к информации о товарах, по причине отказа потребителя предоставить персональные данные. Согласие на обработку персональных данных при этом должно быть оформлено отдельно от иных документов. В конце октября 2024 г. законопроект был принят в первом чтении.

В апреле этого года в Госдуму внесли законопроект "О внесении изменений в ст. 9 Федерального закона "О персональных данных" (№ 608384-8) о предоставлении субъекту возможности отзыва согласия на обработку персональных данных в той же форме, с помощью которой согласие было получено. Например, если согласие было дано через сайт в электронном виде, то должна быть реализована возможность отозвать его так же, через сайт. Государственная Дума планировала рассмотреть законопроект в сентябре текущего года, но пока новой информации о нем нет.

В то же время некоторые данные становятся общедоступными. В Федеральном законе от 29.05.2024 № 114-ФЗ "О внесении изменений в Федеральный закон "Об исполнительном производстве", который вступит в силу весной 2025 г. (через 360 дней после опубликования), говорится о реестре должников по алиментным обязательствам. Сведения по исполнительным производствам будут являться общедоступными до исключения сведений о должнике из указанного реестра в связи с полным погашением задолженности или по другим основаниям, установленным в соответствии с порядком создания и ведения банка данных.

Океаны и моря данных

С 1 сентября 2025 г. полностью вступит в силу Федеральный закон от 8 августа 2024 г. № 233-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в ст. 6 и 10 Федерального закона "О персональных данных", вводящий новую статью. В ст. 13.1 "Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним" говорится о составах персональных данных, которые будут передаваться по требованию Минцифры РФ в обезличенном виде в государственную информационную систему, что свидетельствует о появлении большого государственного океана данных.

На данный момент Минцифры РФ совместно с Ассоциацией больших данных прорабатывает порядок доступа к государственным данным. А крупные российские компании, в свою очередь, подписывают отраслевой стандарт защиты данных, который разработали в Ассоциации больших данных. Продолжая метафору с океаном, информационные системы корпораций можно сравнить с морями данных.

Определенно, крупные операторы будут укрупняться, а мелкие будут исчезать или становиться их частью, как реки, впадающие в море.

Использование "Госуслуг"

Сервис "Госуслуги" уже сейчас используется гражданами для управления своими согласиями. Однако попадают туда далеко не все согласия на обработку персональных данных – скорее всего, ситуация будет выправляться. В будущем пользователь сможет управлять всеми своими согласиями из профиля "Госуслуг".

Активным трендом может стать использование сервиса "Госуслуги" в части уведомления граждан об утечке персональных данных. Уже сейчас через сервис возможно получить компенсацию, если компания, допустившая утечку, инициирует диалог с пострадавшим.

Появляются идеи о предоставлении пользователю возможности через "Госуслуги" потребовать компенсацию, не дожидаясь, когда ее предложит оператор, что может привести к появлению недобросовестных пользователей. Пока о выплатах через "Госуслуги" ничего не известно, и субъекты все так же требуют компенсации через суд. Суммы обычно одобряют небольшие, порядка 5 тыс. руб.

Ранее предполагалось, что добровольная выплата компенсаций позволит оператору избежать серьезных наказаний и повлияет на сумму штрафа, однако изменения в КоАП РФ и УК РФ были приняты без таких формулировок.

Итак, предсказуемые тренды в сфере персональных данных 2025 г. намечены. Безусловно, появятся и новые, непредсказуемые на данный момент. Но имеющийся опыт, внимание к деталям и гибкость в принятии решений помогут адаптироваться к любым изменениям. Успешного года!
Темы:Персональные данныеПрогнозыЖурнал "Информационная безопасность" №6, 2024
ТБ Форум 2026
Только на ТБ Форуме. Планы регуляторов на 2026, практика ИБ: СЗИ, КИИ, РБПО, сертификация, аттестация
Формируем ландшафт российской ИБ: регистрируйтесь →

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Статьи по той же темеСтатьи по той же теме

  • DLP и DCAP для доказательства защиты ПДн
    На проверках регуляторов формального "у нас все защищено" давно недостаточно – требуется подтвержденная практикой система контроля. DLP и DCAP кажутся подходящими для этого инструментами, позволяющими не просто предотвратить утечку, но и показать, что организация действительно соблюдает требования 152-ФЗ. Посмотрим, что именно в этих решениях работает на успешный аудит?
  • Оборотные штрафы за утечку персональных данных: как минимизировать риски
    Андрей Быков, руководитель центра консалтинга в области защиты данных, BI.ZONE
    В мае 2025 г. вступили в силу поправки в КоАП РФ, которые ужесточили ответственность за утечки и неправомерное использование персональных данных. За правонарушения компаниям грозят крупные оборотные штрафы, однако судебная практика в этой сфере только формируется. Рассмотрим подробнее вопросы ответственности за утечки и смягчающих обстоятельствах, а также ошибки, которые допускают операторы данных. В статье вы найдете пошаговый план и чек-лист, которые помогут создать систему защиты.
  • 97% россияе реагируют на утечку своих персональных данных
    Эксперты отмечают, что к 2025 г. до 3% сократилось количество людей, которые не реагируют на утечки ПДн. Зато россияне все больше интересуются тем, как компании защищают их данные и была ли наказана компания, которая допустила утечку.
  • Персональные данные: малый и средний бизнес под прицелом
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Злоумышленники больше не идут напролом в крупные компании, они заходят с фланга через малый и средний бизнес. Утечки, штрафы, незнание закона, иллюзия “мы никому не нужны” – все это делает МСБ не просто уязвимыми, а удобной точкой входа в чужую инфраструктуру
  • Настоящее время
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Мы очень многое объясняем тем, что так сложилось исторически. Удивительным образом, это объяснение не теряет своей актуальности даже в такой сфере “бурного развития”, как вычислительная техника. Конечно, стечением исторических обстоятельств обычно объясняют то, что хотелось бы изменить (то, что всех устраивает, лучше считать достижением и результатом упорного труда). И эти желаемые изменения тяжелого наследия прошлого формируют планы дальнейшего развития – для будущего времени. Что же делать, если в нашем распоряжении только миг между прошлым и будущим?
  • Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.
    С 30 мая 2025 г. вступили в силу поправки в КоАП РФ, радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум 2026
На ТБ Форуме 2026: СЗИ, РБПО, КИИ, сертификация
Регистрация открыта →

More...
ТБ Форум 2026
Безопасность АСУ ТП и КИИ на ТБ Форуме 2026
Регистрация открыта →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных