Контакты
Подписка 2026

Персональные данные в 2024 году. Чек-лист

Ксения Шудрова, 27/12/23

В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.

Автор: Ксения Шудрова, эксперт по информационной безопасности

Чего ожидать?

В Государственной Думе находятся на рассмотрении четыре законопроекта. Два из них (502113–8 и 502104–8) касаются ужесточения наказаний за незаконную обработку персональных данных, в том числе за утечки, в части уголовной и административной ответственности. Ранее говорилось об оборотных штрафах, но, судя по тексту проектов, наказание не будет зависеть от масштаба организации. Максимальный размер штрафа – 500 млн руб., также возможно лишение свободы сроком до пяти лет.

Третий законопроект (353266–8) принят в третьем чтении и предусматривает появление новой статьи в КоАП, касающейся нарушений требований в области размещения биометрических персональных данных. Штрафы за нарушения в этой сфере составят до 1 млн руб.

Четвертый законопроект (992331–7) касается обезличивания ПДн. Президент дал поручение принять изменения в ФЗ "О персональных данных" до 15 декабря этого года. Нас ждет новая статья 13.1 "Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним". В Минцифры планируется создание центра обезличивания ПДн [1].

Появились также новые требования к обезличиванию в области медицины – приказ Министерства здравоохранения Российской Федерации от 24.11.2023 № 630н "Об утверждении требований к обезличиванию информации ограниченного доступа". Так что можно прогнозировать формирование тренда на будущий год.

Не только штрафами страшны утечки – Правительство России поддержало инициативу Минцифры о компенсации вреда пострадавшим. Если поправки вступят в силу, оператор обязан будет уведомлять субъекта персональных данных об утечке, а у субъекта появится право на выплату через Госуслуги [2].

Из неподтвержденных официально трендов можно выделить информацию о появлении спецоператора, в роли которого может выступить Роскомнадзор, а также о появлении "лицензий" на обработку [3]. Идея лицензирования деятельности по обработке персональных данных давно витает в воздухе, так что вполне вероятно появление инициатив в этом направлении.

Что делать?

Соблюдать рекомендации Роскомнадзора

08 августа 2023 г. вышли рекомендации Роскомнадзора операторам персональных данных. Рекомендации носят общий характер: минимизация перечня ПДн, раздельное хранение, отказ от избыточности, своевременное уничтожение, уведомление регулятора об утечках, применение мер защиты, в том числе технических и физических, а также обязательное назначение ответственного лица. Немаловажно периодически сверяться с ними в части стратегии защиты персональных данных в организации.

Сведения из уведомления об обработке персональных данных привести в соответствие с политикой оператора в отношении обработки персональных данных

07 ноября 2023 г. в Минюсте России был зарегистрирован приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 17 августа 2023 г. № 720 "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187". Приказом внесен новый индикатор риска, касающийся установления трех и более фактов несоответствия информации, указанной оператором в уведомлении об обработке персональных данных, сведениям, указанным в политике в отношении обработки персональных данных, и размещенным на сайте организации. Обязанность по размещению политики на собственном сайте определяется ч. 2 ст. 18.1 Федерального закона "О персональных данных".

Уничтожать персональные данные правильно

Требования к уничтожению регламентирует приказ Роскомнадзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных", который вступил в силу с 01 марта 2023 г. и действует до 01 марта 2029 г.

Своевременно уведомлять об утечках

В ст. 21 ФЗ "О персональных данных" указано, что в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, Роскомнадзором или иным заинтересованным лицом, оператор обязан уведомить Роскомнадзор в течение 24 часов о произошедшем инциденте и в течение 72 часов о результатах внутреннего расследования. В ч. 12 ст. 19 ФЗ "О персональных данных" указано, что оператор обязан обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, через НКЦКИ.

Уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу

Согласно ст. 12 ФЗ "О персональных данных" оператор до начала осуществления трансграничной передачи персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую передачу. До подачи уведомления оператор обязан получить от иностранных лиц, которым передаются данные, определенный набор сведений, к которым относятся, например, сведения о мерах защиты и информация о правовом регулировании в области персональных данных иностранного государства.

Проверить формы согласий на обработку персональных данных и договоров с субъектами, в том числе с несовершеннолетними

Оператору необходимо периодически проверять соответствие требованиям законодательства форм согласий и договоров как бумажных, так и электронных. Очень важно следовать принципу предоставления персональных данных субъектом свободно, своей волей и в своем интересе.

Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Для обработки персональных данных на сайте это означает наличие чек-бокса, чтобы пользователь самостоятельно отметил галочку согласия на обработку. Для бумажного согласия – место для собственноручной подписи и возможность выбрать часть условий обработки. Необходимо также привести в порядок персональные данные, разрешенные субъектом персональных данных для распространения (ст. 10.1 Федерального закона "О персональных данных").

Одним из важных видов договоров является договор поручения обработки. В поручении оператора должны быть определены перечень персональных данных, перечень действий с персональными данными, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и другие требования (ч. 3 ст. 6 Федерального закона "О персональных данных").

Подготовить шаблоны документов для взаимодействия с субъектами персональных данных

Оператору необходимо иметь шаблоны ответов субъекту с нужными сведениями (ст. 14, ст. 20 Федерального закона "О персональных данных"). Если в соответствии с требованиями законодательства предоставление персональных данных или получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные или дать согласие на их обработку. (ч. 2 ст. 18 Федерального закона "О персональных данных").

Согласовать нормативные правовые акты с Роскомнадзором

Банку России, госорганам и органам местного самоуправления необходимо согласовывать нормативные правовые акты, если эти документы регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания (ч. 3.1 ст. 4 ФЗ "О персональных данных").

ris45

Частные вопросы

В сфере ЖКХ необходимо привести локальную документацию в соответствии с новым ГОСТом

С 01.03.2024 вступает в силу ГОСТ Р 56038–2023 "Национальный стандарт Российской Федерации. Услуги жилищно-коммунального хозяйства и управления многоквартирными домами. Услуги управления многоквартирными домами. Общие требования". Обратите внимание на ч. 6. "Сбор, уточнение и хранение информации о собственниках и нанимателях помещений в многоквартирном доме".

При работе с биометрическими персональными данными необходимо подключиться к Единой биометрической системе или прекратить использовать биометрию для идентификации и аутентификации

С 01.06.2023 обработка биометрических персональных данных с целью идентификации и аутентификации вне ЕБС запрещена, но до 01.02.2024 в ЕБС размещаются и обрабатываются биометрические персональные данные пока только двух видов: изображение лица и запись голоса человека.

С 01.01.2024 согласно постановлению Правительства РФ от 01 сентября 2023 г. № 1430 вступят в силу изменения, касающиеся биометрии и ЕСИА, в личном кабинете на портале "Госуслуги" будут отображаться все согласия на обработку биометрических данных пользователя.

Аккуратно использовать искусственный интеллект при обработке персональных данных

Искусственный интеллект может представлять угрозу и создавать утечки персональных данных. В 2023 г. приняты отдельные стандарты по искусственному интеллекту, и постепенно будет формироваться законодательная база.

Дать точный прогноз на следующий год достаточно сложно: трендов много и будут появляться новые. Но можно сказать однозначно, что требования законодательства в отношении обработки персональных данных будут ужесточаться.


  1. https://iz.ru/1536931/dmitrii-bulgakov/drugim-imenem-v-rossii-sozdadut-tcentr-obezlichivaniia-dannykh-dlia-podgotovki-ii 
  2. https://t.me/mintsifry/1990 
  3. https://www.forbes.ru/tekhnologii/499321-rkn-hocet-sozdat-institut-specoperatorov-dla-obrabotki-personal-nyh-dannyh 
Темы:Персональные данныеЧек-листЖурнал "Информационная безопасность" №6, 2023
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Утечка данных и судебная практика в 2026 году
    Российские компании входят в эпоху реального правоприменения в сфере персональных данных. В 2025 г. шесть организаций получили штрафы за утечки, при этом Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных. Соотношение говорит само за себя: суды только разгоняются. В 2026 г. накопленная практика начала давать первые устойчивые сигналы о том, как именно суды оценивают вину операторов и когда готовы ее смягчить или вовсе снять. Разбираем четыре ключевых дела и делаем выводы.
  • Эволюция контроля ПДн в организациях
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Функция контроля обработки персональных данных в организациях Российской Федерации претерпевает системную трансформацию, переходя от формального документального соответствия к интегрированной бизнес-функции. Давайте проанализируем ключевые изменения в нормативно-правовом регулировании, организационных подходах, технологическом обеспечении и роли ответственных лиц.
  • ПДн в маркетинге – где проходит черта законности
    Константин Холманов, консультант по персональным данным компании Б-152
    Маркетинг не может жить без данных, поскольку их наличие обеспечивает понимание целевой аудитории, фокуса продукта и слабых сторон. Однако собирая данные через обратную связь, опросы, исследования либо через сам продукт, многие не до конца осознают, что это в первую очередь персональные данные, обработка которых должна обеспечиваться законом. Рассмотрим обработку персональных данных в маркетинге под новым углом.
  • Трансграничная передача данных: алгоритмы соблюдения требований и актуальные риски
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    С момента масштабных изменений в регулировании трансграничной передачи персональных данных (ТПД), вступивших в силу в марте 2022 г., практика применения законодательства претерпела значительную эволюцию. Если на начальном этапе перед операторами стояла задача первичного приведения документов в соответствие с обновленными нормами Федерального закона № 152-ФЗ, то к 2026 г. акцент сместился в сторону фактического исполнения требований и взаимодействия с регулятором в условиях сформировавшейся правоприменительной практики.
  • Аутсорсинг процессов с точки зрения законодательства о персональных данных
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    Популярность аутсорсинга технологических и бизнес-процессов в России продолжает расти, что неудивительно: этот подход дает компаниям реальные преимущества. Он позволяет оптимизировать бюджет, гибко управляя затратами на инфраструктуру и персонал, получить доступ к узкоспециализированной экспертизе без долгосрочных инвестиций и сконцентрировать внутренние ресурсы на ключевых, профильных задачах, повышая общую эффективность бизнеса.
  • Персональные данные: прогноз на 2026 год
    Если десять лет назад хакеров интересовали только компании-гиганты, в основном в столице и нескольких городах-миллионниках, а пять лет назад – крупный и средний бизнес, в том числе в регионах, то сейчас с инцидентами сталкиваются даже индивидуальные предприниматели, самозанятые и просто физические лица.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...