Минувший 2025 год был богат на изменения в правовом регулировании в области персональных данных. Генеральный тренд очевиден - ответственность за нарушения требований законодательства ужесточается, как и контроль за их соблюдением. Подробнее об этом порталу PLUSworld рассказывает консультант по защите персональных данных в Б-152 Юлия Андрейцева.
В 2025 году данный тренд отчетливо проявился на стыке privacy и информационной безопасности: регуляторная дисциплина перестала быть «бумажной» задачей и стала зависеть от того, насколько у компании выстроены учет данных, контроль доступа, мониторинг событий и управляемое реагирование на инциденты. Именно эти практики определяют, сможет ли организация не только формально выполнить требования, но и контролировать риски утечек и сбоев в пределах допустимого. Вместе с тем подход к ряду широко используемых практик стал более либерален. Подробнее об этом - в аналитическом материале, посвященному ключевым итогам 2025 года в сфере персональных данных.
Уведомление о намерении осуществлять обработку ПДн в 2025 году
Майские дни 2025-го ознаменовались массовой подачей уведомлений о намерении осуществлять обработку персональных данных и не выдержавшим напора порталом РКН. С 30 мая 2025 года вступила в силу ч. 10 ст. 13.11 КоАП РФ, вводящая ответственность за неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн. Ажиотаж вполне объясним – выявить факт неподачи уведомления не составляет труда, а суммы штрафа достаточно ощутимы, особенно для малого бизнеса - от 100 тыс. до 300 тыс. руб. (для юридических лиц).
При вполне ясно определенном толковании статьи (наказание только за неподачу/несвоевременную подачу первичного уведомления) практика ее применения сложилась хаотично - за чуть более чем полгода действия нормы по ч. 10 ст. 13.11 КоАП РФ суды успели вынести предупреждение за неподачу уведомления о намерении осуществлять трансграничную передачу, а РКН - дать не слишком определенный ответ на обращение о том, что ответственность за несвоевременную подачу уведомления наступает с даты начала обработки персональных данных
Сценарий с несвоевременной подачей уведомления более предсказуем - срок давности привлечения к административной ответственности отсчитывается с даты подачи уведомления и составляет 1 год. Поэтому, если по какой-то причине вы не подали уведомление, рекомендуем сделать это как можно раньше - внимание РКН в большей степени обращено на тех, кто не подал уведомление вовсе, нежели на тех, кто подал его после 30.05.
На практике требования к уведомлению и актуализации сведений в 2025 году напрямую сместили фокус в сторону информационной безопасности. Уведомление перестало быть формальной процедурой и фактически стало проверкой зрелости учета и обнаружения: чтобы корректно подавать и обновлять сведения, а также уверенно удерживать позицию при проверках, компании требуется не декларативный, а фактический реестр систем и процессов обработки персональных данных, понятная схема ролей и доступов, а также способность в сжатые сроки восстановить порядок событий по журналам - кто, когда и к каким данным обращался, и что происходило в инфраструктуре.
Именно наличие такой доказательной базы позволяет обосновывать момент начала обработки, корректность сведений и отсутствие состава правонарушения в спорных ситуациях. В 2026 году эта связка станет еще более заметной: вопросы сроков, оснований и актуальности уведомлений с высокой вероятностью будут «упираться» не в формальные формулировки, а в качество учета, журналирования и управляемости процессов обработки.
В 2026 году продолжаем наблюдать за правоприменением - увидим ли мы расширение сферы применения статьи на неактуальность сведений в поданном уведомлении, или наоборот, практика выработает более последовательный подход.
Практика применения ст. 272.1 УК РФ
Ст. 272.1 УК РФ, вступившая в силу 11 декабря 2024 года, в 2025 году получила уже практическое применение. Значительная часть уголовных дел связана с покупкой паспортных данных для цели регистрации SIM-карт (как для цели их дальнейшей перепродажи, так и предоставления в аренду). Нередко подозреваемыми и обвиняемыми в совершении преступлений, предусмотренных ст. 272.1 УК РФ, становятся правоохранители, имеющие в силу должностных обязанностей доступ к большим массивам данных. Так, за передачу сводок о преступлениях и записей с камер наружного видеонаблюдения третьему лицу был отправлен под домашний арест начальник управления информации и общественных связей ГУ МВД России по Санкт-Петербургу и Ленинградской области, а налоговому инспектору УФНС России по Калужской области предъявлено обвинение за передачу третьим лицам информации, содержащей персональные данные и составляющей налоговую тайну.
Самыми громкими и заметными делами по данной статье стали, как и предполагалось, дела против владельцев сервисов «пробива» - Userbox, TeleSINT, Solaris Inform. Также нередко возбуждаются уголовные дела против сотрудников отрасли телекоммуникаций, передающих персональные данные третьим лицам (см.здесь).
За громкими делами против владельцев telegram-ботов, продающих персональные данные, реальная практика применения несколько остается в тени - тем временем за первую половину 2025 года было возбуждено более 300 уголовных дел.
Появляются и первые приговоры по ст. 272.1 УК РФ; наказания варьируются от штрафов (10 тыс. - 40 тыс. руб.) до лишения свободы (сроком на 6 месяцев).
Практика применения ст. 272.1 УК РФ в 2025 году показала, что внимание правоохранительных органов смещается с абстрактного факта наличия доступа к данным на его конкретную механику. Ключевыми становятся вопросы о том, какие учетные записи и роли использовались, были ли предоставленные права избыточными, фиксировались ли выгрузки и поисковые запросы к массивам данных, как контролируется деятельность привилегированных и «служебных» учетных записей.
Для компаний это означает изменение минимального стандарта защитных мер: в 2026 году базовым уровнем становится не столько предотвращение утечки как события, сколько управляемость доступа к данным. В практическом измерении это выражается в необходимости внедрения принципа минимально необходимых привилегий, регулярного пересмотра прав доступа, усиленного журналирования и контроля действий пользователей в системах с чувствительными данными. Именно эти аспекты на практике все чаще учитываются при оценке степени общественной опасности деяния и разграничении уголовной и административной ответственности.
Однако практика применения не внесла должной ясности - разграничение составов ст. 272.1 УК РФ и ст. 13.11 КоАП РФ произвести непросто. Возбужденные за 2025 год дела концентрировались на деяниях с очевидно высокой степенью общественной опасности - неправомерная передача значительных объемов данных большого числа субъектов, а также данных, содержащих чувствительные категории персональных данных. Тем больше внимания в 2026 году компаниям следует уделить privacy-комплаенсу, проанализировав устоявшиеся практики работы с ПДн.
Легитимизация рутинных практик работы с ПДн
В потоке ужесточения требований к операторам как никогда хочется искать светлые моменты, и одним из таких стал День открытых дверей РКН 27 августа 2025 года. На нем удалось услышать ответы на многие вопросы, касающиеся практик работы с персональными данными. Несмотря на то, что РКН не управомочен давать разъяснения по вопросам, отнесенным к сфере его ведения (в отличие от, например, Минцифры), а реальная практика правоприменения остается на стороне судов, мнения контролирующего органа помогают сориентироваться в многообразии трактовок законодательных норм. Так, РКН подтвердил, что:
· Проименовывать в договоре/согласии перечень всех привлекаемых обработчиков не требуется; его вполне может заменить ссылка на регулярно обновляемый перечень таких организаций. Будет полезно тем, у кого динамично меняются подрядчики, обеспечивающие техническую поддержку, или регулярно подключаются новые сервисы – это позволит избежать внесения изменений в договор или нового сбора согласий.
· Привлечение субобработчиков возможно при соблюдении двух условий - наличии согласия субъекта на субобработку и прямое указание в поручении на право обработчика привлекать субобработчиков. Отныне привлечение подрядчиком собственных субподрядчиков не является проблемой для оператора.
· Привлечение обработчика может быть обусловлено не только согласием, но и договором. Если основанием обработки ПДн субъекта выступает договор, отдельное согласие на поручение обработки можно не брать; соответствующее положение может стать условием договора, в том числе публичного.
· В согласиях, собираемых в любой форме, позволяющих подтвердить факт их получения, можно указывать несколько целей. Позиция не новая, но в очередной раз получившая свое подтверждение. Пригодится владельцам сайтов с обширным функционалом и числом форм сбора; объединение согласий позволит просто-напросто не запутаться в них.
· Согласие в любой форме, позволяющей подтвердить факт его получения, можно дать нескольким операторам. В силу наличия конкурирующего разъяснения Минцифры применять советуем с осторожностью, однако советуем обратить внимание на этот тезис группам компаний - во многом он позволит упростить оборот согласий.
· Подавать уведомление о намерении осуществлять трансграничную передачу не нужна, если, например, ведется переписка в зарубежном мессенджере или почтовом клиенте с лицом, находящимся на территории РФ. Позиция, получившая неоднократное подтверждение как на ДОД, так и в ответах на запросы РКН, упрощает для операторов работу с подобными сервисами, если они используются для связи работников внутри РФ.
Разъяснения Роскомнадзора, прозвучавшие в 2025 году, действительно упростили правовые конструкции работы с персональными данными - в части поручений обработки, субобработчиков и формулировок согласий. Однако с точки зрения информационной безопасности эта либерализация одновременно повысила требования к управлению цепочкой обработки.
Чем больше в процессе обработки задействовано внешних сервисов, подрядчиков и субподрядчиков, тем выше значимость технического контроля: ограничения и сегментации доступов, принципа минимальной необходимости, управления сроками и объемом предоставляемых прав, журналирования действий и выстроенной процедуры отзыва доступов. Юридическая допустимость тех или иных практик не отменяет необходимости управлять рисками экосистемы обработки данных - напротив, она делает эту задачу более сложной и многослойной.
ИБ-итоги 2025 и фокус 2026
Итоги 2025 года в сфере персональных данных и информационной безопасности сходятся в одной точке: регуляторное давление все чаще проверяется через реальные процессы и их техническую реализуемость. Цена ошибок в учете данных, управлении доступами и реагировании на инциденты заметно выросла. На передний план вышли три взаимосвязанные темы: социальная инженерия нового качества, включая подмену и имитацию коммуникаций; вымогательские атаки и комбинированные инциденты, где остановка процессов сочетается с риском компрометации данных; а также атаки через подрядчиков и внешние сервисы, формирующие цепную реакцию внутри экосистемы.
Ключевой практический вывод на 2026 год выглядит достаточно однозначно: выигрывают не те, у кого больше защитных мер «на бумаге», а те, кто выстроил управляемый цикл - от понимания, где и какие данные обрабатываются, до способности доказуемо показать, кто, когда и на каком основании имел к ним доступ, а также как организация обнаруживает, расследует и отрабатывает инциденты и восстанавливает процессы.
Фото: Предоставлено автором
