Контакты
Подписка 2025

Персональные данные: чего ждать в 2025 году?

Ксения Шудрова, 26/12/24

Прогноз на 2025 г. для защитников ПДн оптимистичный: да, проблем много, но и решений достаточно. Весь текущий год мы наблюдали зарождение различных, порой противоречивых, тенденций. Новый год покажет, какие из веяний останутся с нами и зададут тон в отрасли. Чтобы не ждать естественного развития событий, поищем закономерности в прошлом, двигаясь от частного к общему. Итак, что же будет с персональными данными в 2025 г.?

Автор: Ксения Шудрова, эксперт по информационной безопасности

ris1_2-1

Утечки

Утечка – слово этого года в отрасли. Мы наблюдали бесконечный поток утечек персональных данных самых разных масштабов: виноваты были и мелкие организации, и крупные корпорации. К концу года в СМИ все чаще стало появляться пессимистичное утверждение, что защищать нечего, все персональные данные россиян уже слиты в сеть. Но, безусловно, это не так. Утекли, в частности, устаревшие данные, кроме того, базы смешивались, и различить в них однофамильцев не представляется возможным, многие данные многократно дублировались, а какая-то информация, к счастью, никогда не попадала в Сеть.

Ценность персональных данных все еще очень высока.

В новом году закрепится тренд на увеличение количества и масштабов утечек. Причиной тому станет нарастающий темп цифровизации общества, в частности, повсеместное использование мобильных приложений. Каждое уважающее себя кафе, сервис такси или салон красоты настойчиво предлагает пользователю использовать приложение. Но зачастую при разработке таких программ ставка делается на удобство пользователя и быстроту написания кода, а безопасность при обработке персональных данных учитывается не всегда.

Вследствие увеличения количества утечек стали появляться многочисленные сервисы, которые предлагают пользователям помощь в проверке несанкционированного распространения данных. Например, в апреле этого года появился проект, поддержанный Национальным координационным центром по компьютерным инцидентам, под названием "Утекли ли ваши данные? Проверьте" – для поиска утечек персональных данных по номеру телефона, логину или электронной почте. Но далеко не всем сайтам можно доверять, некоторые лишь маскируются под легальные сервисы поиска утечек, а на деле осуществляют сбор личной информации в преступных целях.

Особые данные

В 2024 г. окончательно сформировалась тенденция, которая, несомненно, останется с нами на ближайшие годы, и звучит она так: одни категории данных важнее других.

Выделяют специальные категории персональных данных, биометрические персональные данные и персональные данные несовершеннолетних. Об особом подходе к ним говорится в законопроектах, в публикациях СМИ и на профильных конференциях.

1 июня 2024 г. Минцифры РФ подготовило методические рекомендации для тех, кто публикует сведения о несовершеннолетних, пострадавших от противоправных действий или бездействия.

Одним из обсуждаемых в области биометрии является законопроект № 718834-8 "О внесении изменений в часть первую Гражданского кодекса Российской Федерации (об охране голоса)", который на данный момент находится на рассмотрении в Государственной Думе.

Строгие наказания

Еще один важный тренд – наказания становятся строже.

30 ноября 2024 г. Президент РФ подписал Федеральный закон № 421-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации" о введении в УК РФ новой статьи 272.1 "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения". В статье говорится о наказании в виде лишения свободы на срок до десяти лет со штрафом до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Усугубляющими обстоятельствами являются:

  • данные несовершеннолетних,
  • специальные категории персональных данных, 
  • биометрические персональные данные,
  • трансграничная передача.

Создание сайта, заведомо предназначенного для обработки персональных данных, полученных незаконным путем, наказывается штрафом до 700 тыс. руб., лишением свободы до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет.

Кроме этого, 30 ноября 2024 г. были внесены изменения в Кодекс Российской Федерации об административных правонарушениях, приняты так называемые оборотные штрафы (Федеральный закон № 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"). Новым законом предусмотрены наказания: для граждан в размере до 800 тыс. руб.; для должностных лиц – до 2 млн руб.; для юридических лиц (и ИП) – от 1 до 3 процентов годовой выручки, но не более 500 млн руб.

ФСТЭК России предложила законопроект № 148828 "О внесении изменений в ст. 13.12 Кодекса Российской Федерации об административных правонарушениях", предусматривающий повышение штрафов за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, и нарушение требований о защите информации (в том числе в сфере защиты персональных данных).

Фокус на согласиях

Большое внимание в правовом поле уделяется согласию на обработку персональных данных.

Правительство поддержало законопроект о запрете избыточного сбора персональных данных № 679980-8 "О внесении изменений в ст. 9 Федерального закона "О персональных данных" и ст. 10 закона "О защите прав потребителей" (в части установления особенностей обработки персональных данных), в котором предлагается запретить продавцам ограничивать доступ потребителя к информации о товарах, по причине отказа потребителя предоставить персональные данные. Согласие на обработку персональных данных при этом должно быть оформлено отдельно от иных документов. В конце октября 2024 г. законопроект был принят в первом чтении.

В апреле этого года в Госдуму внесли законопроект "О внесении изменений в ст. 9 Федерального закона "О персональных данных" (№ 608384-8) о предоставлении субъекту возможности отзыва согласия на обработку персональных данных в той же форме, с помощью которой согласие было получено. Например, если согласие было дано через сайт в электронном виде, то должна быть реализована возможность отозвать его так же, через сайт. Государственная Дума планировала рассмотреть законопроект в сентябре текущего года, но пока новой информации о нем нет.

В то же время некоторые данные становятся общедоступными. В Федеральном законе от 29.05.2024 № 114-ФЗ "О внесении изменений в Федеральный закон "Об исполнительном производстве", который вступит в силу весной 2025 г. (через 360 дней после опубликования), говорится о реестре должников по алиментным обязательствам. Сведения по исполнительным производствам будут являться общедоступными до исключения сведений о должнике из указанного реестра в связи с полным погашением задолженности или по другим основаниям, установленным в соответствии с порядком создания и ведения банка данных.

Океаны и моря данных

С 1 сентября 2025 г. полностью вступит в силу Федеральный закон от 8 августа 2024 г. № 233-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в ст. 6 и 10 Федерального закона "О персональных данных", вводящий новую статью. В ст. 13.1 "Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним" говорится о составах персональных данных, которые будут передаваться по требованию Минцифры РФ в обезличенном виде в государственную информационную систему, что свидетельствует о появлении большого государственного океана данных.

На данный момент Минцифры РФ совместно с Ассоциацией больших данных прорабатывает порядок доступа к государственным данным. А крупные российские компании, в свою очередь, подписывают отраслевой стандарт защиты данных, который разработали в Ассоциации больших данных. Продолжая метафору с океаном, информационные системы корпораций можно сравнить с морями данных.

Определенно, крупные операторы будут укрупняться, а мелкие будут исчезать или становиться их частью, как реки, впадающие в море.

Использование "Госуслуг"

Сервис "Госуслуги" уже сейчас используется гражданами для управления своими согласиями. Однако попадают туда далеко не все согласия на обработку персональных данных – скорее всего, ситуация будет выправляться. В будущем пользователь сможет управлять всеми своими согласиями из профиля "Госуслуг".

Активным трендом может стать использование сервиса "Госуслуги" в части уведомления граждан об утечке персональных данных. Уже сейчас через сервис возможно получить компенсацию, если компания, допустившая утечку, инициирует диалог с пострадавшим.

Появляются идеи о предоставлении пользователю возможности через "Госуслуги" потребовать компенсацию, не дожидаясь, когда ее предложит оператор, что может привести к появлению недобросовестных пользователей. Пока о выплатах через "Госуслуги" ничего не известно, и субъекты все так же требуют компенсации через суд. Суммы обычно одобряют небольшие, порядка 5 тыс. руб.

Ранее предполагалось, что добровольная выплата компенсаций позволит оператору избежать серьезных наказаний и повлияет на сумму штрафа, однако изменения в КоАП РФ и УК РФ были приняты без таких формулировок.

Итак, предсказуемые тренды в сфере персональных данных 2025 г. намечены. Безусловно, появятся и новые, непредсказуемые на данный момент. Но имеющийся опыт, внимание к деталям и гибкость в принятии решений помогут адаптироваться к любым изменениям. Успешного года!

Темы:Персональные данныеПрогнозыЖурнал "Информационная безопасность" №6, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.
    С 30 мая 2025 г. вступили в силу поправки в КоАП РФ, радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.
  • Может ли крупный бизнес защитить ПДн для МСП?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Заместитель главы Роскомнадзора предложил [1] крупным компаниям предоставить свои ресурсы для обработки и защиты персональных данных у малого бизнеса. Инициативу эксперт обосновал тем, что МСП часто не уделяют достаточного внимания информационной безопасности и взаимодействию с регулятором. По его мнению, крупному бизнесу хватит ресурсов, чтобы хранить и защищать данные других предприятий. Давайте разберемся, насколько актуально предложение регулятора и какая реальная помощь в защите от утечек доступна малому и среднему бизнесу.
  • Защита персональных данных с нуля до гигиенического минимума
    С конца 2024 г. и до 30 мая этого нарастала истерия по поводу защиты персональных данных. Даже те, кто никогда не занимался информационной безопасностью, начали интересоваться темой, а разобравшись на скорую руку, стали консультировать и писать обучающие статьи.
  • Виртуальные офисы для реальной безопасности
    Игорь Вербицкий, директор по информационной безопасности Яндекс 360
    Главное отличие виртуального офиса от набора отдельных сервисов – в управляемости: администратор видит, кто и как работает с данными, может настроить права доступа, обеспечить резервное копирование и защиту.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...