Контакты
Подписка 2026

Персональные данные: чего ждать в 2025 году?

Ксения Шудрова, 26/12/24

Прогноз на 2025 г. для защитников ПДн оптимистичный: да, проблем много, но и решений достаточно. Весь текущий год мы наблюдали зарождение различных, порой противоречивых, тенденций. Новый год покажет, какие из веяний останутся с нами и зададут тон в отрасли. Чтобы не ждать естественного развития событий, поищем закономерности в прошлом, двигаясь от частного к общему. Итак, что же будет с персональными данными в 2025 г.?

Автор: Ксения Шудрова, эксперт по информационной безопасности

ris1_2-1

Утечки

Утечка – слово этого года в отрасли. Мы наблюдали бесконечный поток утечек персональных данных самых разных масштабов: виноваты были и мелкие организации, и крупные корпорации. К концу года в СМИ все чаще стало появляться пессимистичное утверждение, что защищать нечего, все персональные данные россиян уже слиты в сеть. Но, безусловно, это не так. Утекли, в частности, устаревшие данные, кроме того, базы смешивались, и различить в них однофамильцев не представляется возможным, многие данные многократно дублировались, а какая-то информация, к счастью, никогда не попадала в Сеть.

Ценность персональных данных все еще очень высока.

В новом году закрепится тренд на увеличение количества и масштабов утечек. Причиной тому станет нарастающий темп цифровизации общества, в частности, повсеместное использование мобильных приложений. Каждое уважающее себя кафе, сервис такси или салон красоты настойчиво предлагает пользователю использовать приложение. Но зачастую при разработке таких программ ставка делается на удобство пользователя и быстроту написания кода, а безопасность при обработке персональных данных учитывается не всегда.

Вследствие увеличения количества утечек стали появляться многочисленные сервисы, которые предлагают пользователям помощь в проверке несанкционированного распространения данных. Например, в апреле этого года появился проект, поддержанный Национальным координационным центром по компьютерным инцидентам, под названием "Утекли ли ваши данные? Проверьте" – для поиска утечек персональных данных по номеру телефона, логину или электронной почте. Но далеко не всем сайтам можно доверять, некоторые лишь маскируются под легальные сервисы поиска утечек, а на деле осуществляют сбор личной информации в преступных целях.

Особые данные

В 2024 г. окончательно сформировалась тенденция, которая, несомненно, останется с нами на ближайшие годы, и звучит она так: одни категории данных важнее других.

Выделяют специальные категории персональных данных, биометрические персональные данные и персональные данные несовершеннолетних. Об особом подходе к ним говорится в законопроектах, в публикациях СМИ и на профильных конференциях.

1 июня 2024 г. Минцифры РФ подготовило методические рекомендации для тех, кто публикует сведения о несовершеннолетних, пострадавших от противоправных действий или бездействия.

Одним из обсуждаемых в области биометрии является законопроект № 718834-8 "О внесении изменений в часть первую Гражданского кодекса Российской Федерации (об охране голоса)", который на данный момент находится на рассмотрении в Государственной Думе.

Строгие наказания

Еще один важный тренд – наказания становятся строже.

30 ноября 2024 г. Президент РФ подписал Федеральный закон № 421-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации" о введении в УК РФ новой статьи 272.1 "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения". В статье говорится о наказании в виде лишения свободы на срок до десяти лет со штрафом до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Усугубляющими обстоятельствами являются:

  • данные несовершеннолетних,
  • специальные категории персональных данных, 
  • биометрические персональные данные,
  • трансграничная передача.

Создание сайта, заведомо предназначенного для обработки персональных данных, полученных незаконным путем, наказывается штрафом до 700 тыс. руб., лишением свободы до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет.

Кроме этого, 30 ноября 2024 г. были внесены изменения в Кодекс Российской Федерации об административных правонарушениях, приняты так называемые оборотные штрафы (Федеральный закон № 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"). Новым законом предусмотрены наказания: для граждан в размере до 800 тыс. руб.; для должностных лиц – до 2 млн руб.; для юридических лиц (и ИП) – от 1 до 3 процентов годовой выручки, но не более 500 млн руб.

ФСТЭК России предложила законопроект № 148828 "О внесении изменений в ст. 13.12 Кодекса Российской Федерации об административных правонарушениях", предусматривающий повышение штрафов за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, и нарушение требований о защите информации (в том числе в сфере защиты персональных данных).

Фокус на согласиях

Большое внимание в правовом поле уделяется согласию на обработку персональных данных.

Правительство поддержало законопроект о запрете избыточного сбора персональных данных № 679980-8 "О внесении изменений в ст. 9 Федерального закона "О персональных данных" и ст. 10 закона "О защите прав потребителей" (в части установления особенностей обработки персональных данных), в котором предлагается запретить продавцам ограничивать доступ потребителя к информации о товарах, по причине отказа потребителя предоставить персональные данные. Согласие на обработку персональных данных при этом должно быть оформлено отдельно от иных документов. В конце октября 2024 г. законопроект был принят в первом чтении.

В апреле этого года в Госдуму внесли законопроект "О внесении изменений в ст. 9 Федерального закона "О персональных данных" (№ 608384-8) о предоставлении субъекту возможности отзыва согласия на обработку персональных данных в той же форме, с помощью которой согласие было получено. Например, если согласие было дано через сайт в электронном виде, то должна быть реализована возможность отозвать его так же, через сайт. Государственная Дума планировала рассмотреть законопроект в сентябре текущего года, но пока новой информации о нем нет.

В то же время некоторые данные становятся общедоступными. В Федеральном законе от 29.05.2024 № 114-ФЗ "О внесении изменений в Федеральный закон "Об исполнительном производстве", который вступит в силу весной 2025 г. (через 360 дней после опубликования), говорится о реестре должников по алиментным обязательствам. Сведения по исполнительным производствам будут являться общедоступными до исключения сведений о должнике из указанного реестра в связи с полным погашением задолженности или по другим основаниям, установленным в соответствии с порядком создания и ведения банка данных.

Океаны и моря данных

С 1 сентября 2025 г. полностью вступит в силу Федеральный закон от 8 августа 2024 г. № 233-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в ст. 6 и 10 Федерального закона "О персональных данных", вводящий новую статью. В ст. 13.1 "Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним" говорится о составах персональных данных, которые будут передаваться по требованию Минцифры РФ в обезличенном виде в государственную информационную систему, что свидетельствует о появлении большого государственного океана данных.

На данный момент Минцифры РФ совместно с Ассоциацией больших данных прорабатывает порядок доступа к государственным данным. А крупные российские компании, в свою очередь, подписывают отраслевой стандарт защиты данных, который разработали в Ассоциации больших данных. Продолжая метафору с океаном, информационные системы корпораций можно сравнить с морями данных.

Определенно, крупные операторы будут укрупняться, а мелкие будут исчезать или становиться их частью, как реки, впадающие в море.

Использование "Госуслуг"

Сервис "Госуслуги" уже сейчас используется гражданами для управления своими согласиями. Однако попадают туда далеко не все согласия на обработку персональных данных – скорее всего, ситуация будет выправляться. В будущем пользователь сможет управлять всеми своими согласиями из профиля "Госуслуг".

Активным трендом может стать использование сервиса "Госуслуги" в части уведомления граждан об утечке персональных данных. Уже сейчас через сервис возможно получить компенсацию, если компания, допустившая утечку, инициирует диалог с пострадавшим.

Появляются идеи о предоставлении пользователю возможности через "Госуслуги" потребовать компенсацию, не дожидаясь, когда ее предложит оператор, что может привести к появлению недобросовестных пользователей. Пока о выплатах через "Госуслуги" ничего не известно, и субъекты все так же требуют компенсации через суд. Суммы обычно одобряют небольшие, порядка 5 тыс. руб.

Ранее предполагалось, что добровольная выплата компенсаций позволит оператору избежать серьезных наказаний и повлияет на сумму штрафа, однако изменения в КоАП РФ и УК РФ были приняты без таких формулировок.

Итак, предсказуемые тренды в сфере персональных данных 2025 г. намечены. Безусловно, появятся и новые, непредсказуемые на данный момент. Но имеющийся опыт, внимание к деталям и гибкость в принятии решений помогут адаптироваться к любым изменениям. Успешного года!

Темы:Персональные данныеПрогнозыЖурнал "Информационная безопасность" №6, 2024
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Утечка данных и судебная практика в 2026 году
    Российские компании входят в эпоху реального правоприменения в сфере персональных данных. В 2025 г. шесть организаций получили штрафы за утечки, при этом Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных. Соотношение говорит само за себя: суды только разгоняются. В 2026 г. накопленная практика начала давать первые устойчивые сигналы о том, как именно суды оценивают вину операторов и когда готовы ее смягчить или вовсе снять. Разбираем четыре ключевых дела и делаем выводы.
  • Эволюция контроля ПДн в организациях
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Функция контроля обработки персональных данных в организациях Российской Федерации претерпевает системную трансформацию, переходя от формального документального соответствия к интегрированной бизнес-функции. Давайте проанализируем ключевые изменения в нормативно-правовом регулировании, организационных подходах, технологическом обеспечении и роли ответственных лиц.
  • ПДн в маркетинге – где проходит черта законности
    Константин Холманов, консультант по персональным данным компании Б-152
    Маркетинг не может жить без данных, поскольку их наличие обеспечивает понимание целевой аудитории, фокуса продукта и слабых сторон. Однако собирая данные через обратную связь, опросы, исследования либо через сам продукт, многие не до конца осознают, что это в первую очередь персональные данные, обработка которых должна обеспечиваться законом. Рассмотрим обработку персональных данных в маркетинге под новым углом.
  • Трансграничная передача данных: алгоритмы соблюдения требований и актуальные риски
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    С момента масштабных изменений в регулировании трансграничной передачи персональных данных (ТПД), вступивших в силу в марте 2022 г., практика применения законодательства претерпела значительную эволюцию. Если на начальном этапе перед операторами стояла задача первичного приведения документов в соответствие с обновленными нормами Федерального закона № 152-ФЗ, то к 2026 г. акцент сместился в сторону фактического исполнения требований и взаимодействия с регулятором в условиях сформировавшейся правоприменительной практики.
  • Аутсорсинг процессов с точки зрения законодательства о персональных данных
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    Популярность аутсорсинга технологических и бизнес-процессов в России продолжает расти, что неудивительно: этот подход дает компаниям реальные преимущества. Он позволяет оптимизировать бюджет, гибко управляя затратами на инфраструктуру и персонал, получить доступ к узкоспециализированной экспертизе без долгосрочных инвестиций и сконцентрировать внутренние ресурсы на ключевых, профильных задачах, повышая общую эффективность бизнеса.
  • Персональные данные: прогноз на 2026 год
    Если десять лет назад хакеров интересовали только компании-гиганты, в основном в столице и нескольких городах-миллионниках, а пять лет назад – крупный и средний бизнес, в том числе в регионах, то сейчас с инцидентами сталкиваются даже индивидуальные предприниматели, самозанятые и просто физические лица.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...