Изменения в обработке персональных данных с 30 мая 2025 года

Существенное ужесточение ответственности за нарушения в сфере обработки персональных данных

Основное изменение, вступившее в силу 30 мая — радикальное усиление мер ответственности за нарушения в сфере персональных данных. Законодатель ввел новые составы правонарушений и серьезно увеличил размеры штрафов по существующим, в частности:

1. Увеличены размеры штрафов по общему составу за обработку персональных данных в случаях, непредусмотренных законодательством РФ либо обработку, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частями 2, 11 — 18 данной статьи и статьей 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния (ч. 1. ст. 13.11. КоАП РФ).

Штраф по указанной норме увеличился до:

• 10 000 — 15 000 руб. для граждан;
• 50 000 — 100 000 руб. для должностных лиц;
• 150 000 — 300 000 руб. для организаций.

За повторное совершение такого нарушения штрафы составят:

• 15 000 — 30 000 руб. для граждан;
• 100 000 — 200 000 руб. для должностных лиц;
• 300 000 — 500 000 руб. для организаций.

2. Введены новые «градуированные» штрафы за утечку персональных данных (ст. 13.11 КоАП РФ). Теперь размер штрафа напрямую зависит от масштаба утечки:

За утечку данных 1 000 — 10 000 человек ИЛИ 10 000 — 100 000 уникальных идентификаторов штраф составит:

• Граждане: 100 — 200 тыс. руб.
• Должностные лица: 200 — 400 тыс. руб.
• Организации: 3 — 5 млн руб.

Утечка данных 10 000 — 100 000 человек ИЛИ 100 000 — 1 000 000 идентификаторов:

• Граждане: 200 — 300 тыс. руб.
• Должностные лица: 300 — 500 тыс. руб.
• Организации: 5 — 10 млн руб.

Утечка данных свыше 100 000 человек ИЛИ свыше 1 000 000 идентификаторов:

• Граждане: 300 — 400 тыс. руб.
• Должностные лица: 400 — 600 тыс. руб.
• Организации: 10 — 15 млн руб.

Утечка данных спецкатегории (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни):

• Граждане: 300 — 400 тыс. руб.
• Должностные лица: 1 — 1,3 млн руб.
• Организации: 10 — 15 млн руб.

Утечка биометрических данных:

• Граждане: 400 — 500 тыс. руб.
• Должностные лица: 1,3 — 1,5 млн руб.
• Организации: 15 — 20 млн руб.

3. Введен запрет на отказ в услуге из-за непрохождения биометрической проверки. За это нарушение, добавленное в ст. 5.63 КоАП РФ, предусмотрены следующие наказания:

• Для должностных лиц госорганов и муниципалитетов: штраф 20 — 25 тыс. рублей либо дисквалификация на срок 6 месяцев.
• Для сотрудников МФЦ и Росреестра (Роскадастра): штраф 5 — 10 тыс. рублей либо дисквалификация на срок 6 месяцев.

4. Статья 13.11 КоАП РФ дополнена штрафами за нарушения обязанности уведомлять Роскомнадзор о начале обработки персональных данных:

Неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать ПДн:

• Граждане: 5 — 10 тыс. руб.
• Должностные лица: 30 — 50 тыс. руб.
• Организации: 100 — 300 тыс. руб.

Неуведомление Роскомнадзора в случае установления факта утечки ПДн (санкции в 10 раз строже!):

• Граждане: 50 — 100 тыс. руб.
• Должностные лица: 400 — 800 тыс. руб.
• Организации: 1 — 3 млн руб.

5. Предусмотрена административная ответственность за непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных. Это касается следующих ситуаций:

• Обработка биометрических данных в Единой биометрической системе (ЕБС): если оператор ЕБС или систем, взаимодействующих с ней, не обеспечил должный уровень защиты биометрии.
• Обработка биометрических данных в иных информационных системах: это относится к любым другим системам, которые используют биометрические данные для аутентификации граждан, включая информационные системы аккредитованных государственных органов.

За указанные нарушения предусмотрены административные штрафы:

• Должностные лица: 300 — 500 тыс. руб.
• Организации: 1-1,5 млн руб.

6. Статья 13.11 КоАП РФ дополнена пунктом, устанавливающим ответственность за нарушение порядка обработки биометрических персональных данных:

1. Обработка биометрических данных в Единой биометрической системе (ЕБС): Речь идёт о любых отклонениях от установленных правил работы с биометрией непосредственно внутри ЕБС.

2. Обработка биометрических данных и векторов ЕБС в информационных системах:

• Государственных органов;
• Центрального банка Российской Федерации;
• Аккредитованных организаций, которые проводят аутентификацию граждан с использованием биометрических данных.

3. Нарушение требований к информационным технологиям и техническим средствам: это касается оборудования и программного обеспечения, используемого для обработки биометрических данных и векторов ЕБС с целью идентификации или аутентификации.

Данный пункт охватывает широкий спектр потенциальных нарушений, связанных с порядком обработки. Это может включать, помимо прочего:

• Несоблюдение утверждённых процедур сбора, хранения, использования или удаления биометрических данных.
• Использование неутверждённых или несертифицированных информационных технологий и технических средств для обработки биометрии.
• Нарушение регламентов взаимодействия между ЕБС и другими информационными системами.
• Обработка биометрических данных способами, не соответствующими установленным стандартам безопасности и конфиденциальности.

За указанные нарушения предусмотрены следующие административные штрафы:

• для должностных лиц: 100 — 300 тыс. руб.
• для юридических лиц: 500 тыс. — 1 млн руб.

7. Также напомним, что Уголовный кодекс РФ с 11 декабря 2024 г. дополнен новой статьей 272.1 (Федеральный закон от 30 ноября 2024 г. № 421-ФЗ). Данная норма предусматривает уголовную ответственность за:

• Использование, передачу, распространение или предоставление доступа к ПДн, полученным незаконно.
• Сбор или хранение компьютерной информации с ПДн, если известно, что она получена незаконно.
• Создание или поддержание работы ресурсов, специально предназначенных для незаконного хранения или распространения ПДн.

Максимальная санкция по данной статье — лишение свободы до 10 лет со штрафом до 3 млн руб. Это серьезный сигнал о недопустимости торговли «слитыми» базами или создания незаконных хранилищ персональных данных.

Последующие изменения: на что обратить внимание в будущем

Помимо майских изменений, в 2025 и 2027 годах вступят в силу другие важные поправки в Закон о персональных данных:

С 1 июля 2025 года в соответствии с Федеральным законом от 28.02.2025 № 23-ФЗ вступают в силу ужесточенные требования к локализации хранения ПДн. Будет введен прямой законодательный запрет на использование информационных систем и баз данных, физически расположенных за пределами территории Российской Федерации, для осуществления основных операций с персональными данными российских граждан:

• запись (фиксация);
• систематизация;
• накопление;
• хранение;
• уточнение (актуализация, изменение);
• извлечение.

Таким образом, устанавливается безусловный приоритет использования российских дата-центров для базовых функций обработки ПДн граждан РФ.

С 1 сентября 2025 г. вступают в силу изменения в законодательстве, касающиеся обработки биометрических и обезличенных данных. Эти поправки уточняют правила и расширяют полномочия по работе с такой информацией в определённых случаях, а также усилят контроль за обезличенными данными.

Обработка биометрических данных без согласия субъекта

Согласно Федеральному закону от 28.12.2024 № 519-ФЗ, расширяется список ситуаций, когда обработка биометрических данных (например, отпечатков пальцев, изображений лица) может проводиться без согласия гражданина. В основном это коснётся случаев, прямо предусмотренных уголовно-процессуальным законодательством. Например, биометрические данные могут быть использованы правоохранительными органами для розыска лиц или в ходе расследования преступлений.

Кроме того, разрешается обработка специальных категорий персональных данных (таких как расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья и интимная жизнь) в тех же самых случаях, что и биометрия, если это предусмотрено уголовно-процессуальным законодательством.

Правила работы с обезличенными данными

Федеральный закон от 08.08.2024 № 233-ФЗ устанавливает более строгие правила для данных, которые были обезличены, то есть из которых удалена информация, позволяющая идентифицировать человека.

Теперь операторы, работающие с такими данными, будут обязаны по требованию Минцифры России обезличивать определённые данные и передавать их в государственную информационную систему Минцифры. Это направлено на повышение прозрачности и контроля за использованием больших объёмов обезличенной информации.

Важное нововведение — запрет на передачу результатов обработки обезличенных данных иностранным юридическим лицам, иностранным организациям без образования юридического лица, иностранным гражданам и лицам без гражданства. Исключения возможны только в случаях, прямо предусмотренных законом. Эта мера направлена на защиту национальной безопасности и конфиденциальности данных российских граждан.

С 1 января 2027 года вступает в силу ряд важных нововведений, касающихся работы с биометрическими персональными данными (ФЗ от 29.12.2022 № 572-ФЗ):

Централизация хранения биометрических данных в Единой биометрической системе (ЕБС)

Ключевое изменение — запрет на хранение биометрических персональных данных в региональных сегментах ЕБС. Это означает, что операторы региональных систем больше не смогут напрямую хранить биометрическую информацию граждан, вся биометрия должна будет храниться исключительно в централизованной ЕБС.

Таким образом, вместо распределённого хранения по множеству региональных баз данных, что могло бы создавать дополнительные риски утечек или несанкционированного доступа, вся биометрическая информация будет аккумулироваться в одной, строго регулируемой и защищённой системе. Это обеспечит более жёсткий контроль и стандартизацию процессов хранения и обработки биометрических данных.

Обязанность операторов уничтожать биометрические данные после использования

Второе важное изменение касается сроков хранения биометрических данных после их использования для аутентификации. С 1 января 2027 года оператор регионального сегмента ЕБС будет обязан уничтожать биометрические данные в течение 10 суток после их использования для аутентификации.

Это нововведение направлено на минимизацию рисков, связанных с длительным хранением биометрических данных. Если сейчас не всегда чётко регламентированы сроки удаления этой информации, то с даты вступления изменений операторы будут обязаны оперативно избавляться от неё после выполнения функции аутентификации. Такой подход способствует уменьшению объёма хранимых данных, что, в свою очередь, снижает потенциальный ущерб в случае кибератак или иных угроз безопасности.

Действующие изменения с 2025 года: что уже работает

Отметим, что с начала 2025 года в российском законодательстве о персональных данных уже начали действовать некоторые важные нововведения. Эти изменения касаются как правил работы с биометрией иностранных граждан, так и форм согласий на обработку ПДн.

Особые правила для биометрии иностранцев

С 1 января 2025 года вступили в силу особые правила, касающиеся обработки биометрических данных иностранных граждан и лиц без гражданства (Федеральный закон от 08.08.2024 № 303-ФЗ).

Если российское законодательство о связи обязывает использовать ЕБС для идентификации или аутентификации иностранцев или лиц без гражданства (например, для получения определённых услуг связи), то теперь обработка их биометрических и других персональных данных для этих целей в ЕБС и Единой системе идентификации и аутентификации (ЕСИА) может осуществляться без получения отдельного согласия, которое обычно требуется по закону.

Это означает, что в случаях, прямо предусмотренных законом о связи, иностранцам и лицам без гражданства не потребуется давать дополнительное согласие на обработку их биометрических и иных персональных данных для целей идентификации и аутентификации в ЕБС и ЕСИА. Это упрощает и ускоряет процедуры, связанные с предоставлением услуг, требующих обязательной идентификации, но при этом подчёркивает принудительный характер сбора данных в определённых ситуациях, регулируемых государством. Цель таких изменений — унифицировать и оптимизировать процессы идентификации в соответствии с государственными требованиями безопасности и регулирования рынка связи.

Обновлённые формы согласий на обработку ПДн

Помимо изменений, касающихся иностранцев, с начала 2025 года также введены в действие новые формы согласий на обработку персональных данных (Распоряжение Правительства РФ от 09.04.2024 № 856-р).

Утверждены унифицированные формы согласия на размещение и обработку персональных данных в ЕСИА, а также на размещение и обработку биометрических персональных данных в ЕБС. Важно отметить, что эти формы теперь включают согласие на передачу биометрических векторов. Биометрический вектор — это математическое представление биометрических данных (например, лица или голоса), которое позволяет системе идентифицировать человека, не храня при этом само исходное изображение или запись голоса. Это повышает уровень безопасности данных.

Новые формы доступны как в бумажном, так и в электронном виде. Кроме того, специально предусмотрены формы согласия для несовершеннолетних, что является важным шагом в защите прав детей при работе с их персональными данными. Это нововведение призвано стандартизировать процесс получения согласий, сделать его более прозрачным и понятным для граждан, а также обеспечить соблюдение всех необходимых правовых требований.

Подводя итог, можно отметить, что регулирование персональных данных (ПДн) в России находится в состоянии непрерывного развития. Цель всех этих изменений — усиление защиты прав граждан на неприкосновенность их личной информации и повышение ответственности всех, кто работает с ПДн.

Основные изменения, которые уже вступили или скоро вступят в силу:

• Ужесточение ответственности с 30 мая 2025 года. Это, пожалуй, самое значимое изменение. Введены новые, «градуированные» штрафы за утечки данных, размеры которых теперь напрямую зависят от масштаба инцидента. Штрафы могут достигать десятков миллионов рублей для организаций и сотен тысяч для граждан. Кроме того, появилась уголовная ответственность за незаконное использование и распространение ПДн. Это чёткий сигнал: государство не будет терпеть небрежное отношение к данным и тем более их незаконный оборот.
• Запрет на отказ в услуге из-за непрохождения биометрической проверки. Это важное изменение, направленное на защиту прав граждан и предотвращение дискриминации.
• Ужесточение правил уведомления Роскомнадзора. Теперь за несвоевременное или некорректное уведомление, особенно в случае утечек, предусмотрены значительно более строгие санкции.
• Локализация данных с 1 июля 2025 года. Вводится прямой запрет на хранение и обработку основных операций с ПДн российских граждан за пределами России. Это обеспечивает суверенность данных и упрощает контроль со стороны регулятора.
• Изменения в работе с биометрией и обезличенными данными с 1 сентября 2025 года. Расширяются случаи использования биометрии без согласия (например, для правоохранительных целей), а также вводятся строгие правила для обезличенных данных, включая их передачу в государственную систему и запрет на передачу иностранным субъектам.
• Централизация биометрии в ЕБС и её быстрое удаление с 1 января 2027 года: Все биометрические данные будут храниться только в Единой биометрической системе, а операторы региональных сегментов будут обязаны удалять их в течение 10 дней после использования. Это значительно повысит безопасность хранения и минимизирует риски.

Эти изменения требуют от всех, кто работает с персональными данными, пересмотра своих внутренних бизнес-процессов, политик и систем безопасности. Необходимо не только внимательно изучить новые нормы, но и оперативно внедрить соответствующие корректировки.

Что предпринять?

Несоблюдение новых требований может привести к серьёзным финансовым потерям и репутационным рискам. Поэтому крайне важно:

1. Провести аудит своих процессов обработки ПДн на соответствие новым требованиям, особенно в части безопасности и уведомления Роскомнадзора.
2. Обновить внутренние документы (политики, согласия, инструкции).
3. Обучить сотрудников, работающих с ПДн, новым правилам и мерам ответственности.
4. Усилить защиту данных от утечек, внедрив современные технические и организационные меры.
5. Настроить четкие процедуры реагирования на инциденты утечки с обязательным и немедленным уведомлением Роскомнадзора.

Соблюдение законодательства о персональных данных перестает быть формальностью. Это необходимое условие для ведения легальной деятельности и защиты репутации в условиях стремительно ужесточающегося контроля. Не откладывайте приведение своих процессов в соответствие — риски стали слишком высоки.

Наша команда ООО «ПРАВОВЕСТ Аудит» готова помочь разобраться во всех тонкостях нового законодательства. Если у вас возникнут вопросы по обработке персональных данных, наши специалисты будут рады проконсультировать и предложить эффективные решения для соблюдения всех требований.