Итоги 2025 года: законодательные изменения и инициативы

1. Ужесточена ответственность за нарушение правил защиты информации

С 23 мая 2025 г. Федеральным законом № 104-ФЗ значительно повышены штрафы за нарушения правил защиты информации: для должностных лиц – от 10 до 50 тыс. руб., для юридических лиц – от 50 до 100 тыс. руб. (в зависимости от вида нарушения – использование несертифицированных информационных систем или средств, предназначенных для защиты информации), также срок давности привлечения к ответственности за указанные нарушения увеличен с 60 дней до 1 года.

2. Введены новые составы административных правонарушений в области обработки персональных данных

С 30 мая 2025 г. Федеральным законом № 420-ФЗ введены новые составы административных правонарушений (ст. 13.11 КоАП РФ дополнена ч.ч. 10 – 18), которые предусматривают штрафы для юридических лиц от 100 тыс. руб. до 500 млн. руб. Новые составы предусматриваются в том числе за неуведомление о намерении осуществлять обработку персональных данных, за нарушение обязанности уведомить об «утечке» персональных данных, а также за действия (бездействия), повлекшие такую «утечку».

3. Изменены требования к локализации баз данных, содержащих персональные данные

С 1 июля 2025 г. в соответствии с Федеральным законом № 23-ФЗ установлен запрет на сбор, запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, находящихся за пределами территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).

Нарушение указанных требований влечет штраф по ч. 8 ст. 13.11 КоАП РФ от 100 тыс. руб. для должностных лиц и от 1 млн. руб. для юридических лиц (повторное совершение  - ч. 9 ст. 13.11 КоАП РФ).

4. Введена уголовная ответственность за действия, связанные с незаконной регистрацией физических лиц в качестве ИП

С 5 июля 2025 г. Федеральным законом № 172-ФЗ предусматривается уголовная ответственность за незаконную регистрацию физических лиц в качестве ИП, в том числе путем приобретения документа, удостоверяющего личность, или с использованием персональных данных, полученных незаконным путем, в случае, если указанное совершено с целью внесения в ЕГРИП сведений о подставном лице.

5. Установлены особенности обработки персональных данных, полученных в результате обезличивания персональных данных

С 1 сентября 2025 г. в соответствии с Федеральным законом № 233-ФЗ установлено, что в целях формирования составов персональных данных, полученных в результате обезличивания персональных данных, Минцифры России направляет операторам требование о предоставлении персональных данных, полученных в результате обезличивания персональных данных, в государственную информационную систему.

Операторы после получения такого требования обязаны обезличить обрабатываемые персональные данные в соответствии с установленными требованиями, методами, правилами и предоставить персональные данные, полученные в результате обезличивания персональных данных, в указанную систему.

Также Роскомнадзор наделен полномочием устанавливать требования к обезличиванию персональных данных и методы обезличивания.

6.  Определены дополнительные условия обработки биометрических персональных данных без согласия субъекта персональных данных

С 1 сентября 2025 г. Федеральным законом № 519-ФЗ устанавливается возможность обработки биометрических персональных данных без согласия субъекта персональных данных в случаях, предусмотренных уголовно-процессуальным законодательством.

7.  Установлены требования к оформлению согласия на обработку персональных данных отдельно от иных документов

С 1 сентября 2025 г. Федеральным законом № 156-ФЗ предусматривается обязанность операторов персональных данных по оформлению согласия на обработку персональных данных отдельно от иной информации и (или) документов, которые подтверждает и (или) подписывает физическое лицо.

За нарушение порядка получения согласия ч. 1 и 1.1 ст. 13.11 КоАП РФ предусмотрены административные штрафы, в размере до 200 тыс. руб. для должностных лиц и до 500 тыс. руб. для юридических лиц. В случаях невыполнения требований по наличию обязательного письменного согласия штрафы могут достигать 500 тыс. руб. для должностных лиц и 1,5 млн. руб. для юридических лиц (ч. 2 и 2.1 ст. 13.11 КоАП РФ).

8. Скорректирован порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных

С 5 сентября 2025 г. постановлением Правительства РФ № 1286 уточнен порядок федерального государственного контроля (надзора) за обработкой персональных данных: изменен перечень оснований для внеплановых проверок, скорректирована периодичность плановых мероприятий, уточнен порядок обжалования решений и действий контролирующих органов (включая сокращение сроков обжалования), а также пересмотрены критерии отнесения объектов контроля к определенным категориям риска.

 9.  Уточнен порядок обработки биометрических персональных данных и порядок их размещения и обновления в единой биометрической системе

С 28 сентября 2025 г. приказом Минцифры России № 553 уточнены требования, которым должны соответствовать параметры биометрических персональных данных изображения лица и записи голоса, размещаемых в единой биометрической системе (ЕБС), а также увеличен с 2 до 4 лет срок обновления физическими лицами биометрических персональных данных, размещенных в ЕБС из информационных систем органов и организаций.

1. Увеличен срок хранения информации организаторами распространения информации в сети «Интернет»

С 1 января 2026 г. согласно постановлению Правительства РФ № 1698 организаторы распространения информации в сети «Интернет» обязаны хранить на территории России информацию о пользователях, фактах их регистрации, авторизации и иных действиях в течение 3 лет (вместо прежнего срока в 1 год) с момента окончания осуществления таких действий.

В случае, если организатором будет проигнорирована указанная обязанность, есть риск получения уведомления от Роскомнадзора, а далее судебного решения об ограничении доступа к информационным системам и программам.

 2. Запрещается использование зарубежных облачных хранилищ для анализа данных о структуре товарных рынков

С 1 марта 2026 г. Федеральным законом № 351-ФЗ устанавливается, что организаторы исследований товарных рынков обязаны обрабатывать персональные данные, контрсанкционную информацию и иную информацию ограниченного доступа с использованием баз данных, расположенных исключительно на территории России, что фактически запрещает применение зарубежных облачных хранилищ для анализа российского рынка.

 3. Использование биометрических персональных данных станет возможным для подтверждения личности при осуществлении сделок

С 1 июля 2026 г. в соответствии с Федеральным законом № 133-ФЗ появляется возможность подачи документов на регистрацию объектов недвижимости в электронном виде с использованием единой биометрической системы (ЕБС), которая позволяет установить и подтвердить личность через биометрические персональные данные в дополнение к усиленной квалифицированной электронной подписи.

Теперь организации, сопровождающие сделки с недвижимостью, будут подключаться к ЕБС или к коммерческим биометрическим системам, список поставщиков которых в настоящее время ограничен.

1. Роскомнадзор предложил перейти от согласий на персональные данные к отраслевым стандартам

Роскомнадзор заявил о начале разработки отраслевых стандартов, позволяющих установить типовые подходы при взаимодействии бизнеса с персональными данными, которыми предлагается заменить согласия на обработку персональных данных. Предполагается, что такие стандарты будут включать в себя состав данных, которые можно накапливать, их объем, правовые основания работы с ними и источники получения. Кроме того, в стандартах будут отражены порядок уничтожения данных и рекомендации по взаимодействию с субъектом персональных данных.

 2. Доступ к сведениям об операторе персональных данных могут ограничить

В Государственной Думе рассматривается законопроект (№ 928282-8), направленный на исключение из публичной части реестра операторов персональных данных сведений об адресе оператора, если он является физическим лицом или индивидуальным предпринимателем.

Сведения об адресе перестанут быть публичными, но не пропадут из реестра операторов. Их по-прежнему необходимо будет предоставлять, но доступ к ним будет только у Роскомнадзора.

 3. Планируется усиление защиты персональных данных при их трансграничной передаче

В Государственной Думе рассматривается законопроект (№ 951518-8), которым предлагается уточнить, что при утверждении Роскомнадзором перечня иностранных государств с адекватной защитой прав субъектов будет учитываться не только наличие правового регулирования в соответствии с Конвенцией о защите физических лиц при автоматизированной обработке данных, но и фактическое принятие эффективных мер по соблюдению основополагающих принципов защиты, конфиденциальности и безопасности данных, что приведет к пересмотру действующего перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (законопроект принят в первом чтении 10 декабря 2025 г.).

 4. Предлагается установить запрет на использование иностранных корпоративных облачных сервисов и ПО в информационных системах хранения и обработки персональных данных

Минцифры России предлагает ввести запрет на использование иностранных корпоративных облачных сервисов и ПО в информационных системах хранения и обработки персональных данных. Планируется, что с 2027 г. начнется поэтапное ограничение применения иностранного ПО в государственных органах и объектах КИИ, что позволит ускорить переход компаний на отечественное ПО и упростит соблюдение требований законодательства о локализации данных.

 5. Возможно внедрение единого обезличенного идентификатора пользователя в сети «Интернет» для всех цифровых платформ 

Минцифры России прорабатывается вопрос о введении единого обезличенного идентификатора пользователя (цифрового ID) для всех цифровых платформ, который будет привязываться к номеру телефона для идентификации активности пользователя на различных платформах с целью сбора статистических данных. При этом заявляется, что данные пользователя будут обезличены, что исключает обнародование информации о посещаемых пользователем сайтах и ресурсах.