10.06.2025

В связи с многочисленными спекуляциями и страшными разборами новелл законодательства, IT-Юрист полагает правильным перечислить те изменения в законы о персональных данных, которые действительно приняты. Удивительно, но логику внедрения согласия на обработку персональных данных, требования к обязательным чекбоксам на сайте, регламент сбора IP-адресов, дата-временные метки, блокировки кнопки отправки до получения согласия – вы в них не найдете. Получается, что фильтрация внешнего кода, удаление скриптов Google Fonts, YouTube, аналитики, уведомление о cookie с активным подтверждением и логированием – домыслы любителей юридического чтива? Многие полагают, что недоработка в логике сайта может трактоваться как нарушение, особенно в части трансграничной передачи. Итак, по- порядку, что именно изменилось и изменится в 2025 году в области персональных данных.

С 01.01.2025 года обновлены формы согласия на размещение и обработку персональных данных в ЕСИА и биометрических персональных данных в ЕБС (государственная единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных), в том числе на передачу векторов ЕБС. Речь идет о формах согласия, которые представляют на бумажном носителе или в электронном виде (Распоряжение Правительства РФ от 30.06.2018 N 1322-р). Формы предусматривают среди прочего возможность дать согласие в отношении несовершеннолетнего лица. Эти изменения затрагивают отношения, возникающие при осуществлении идентификации и (или) аутентификации физических лиц с использованием ЕБС, а также при ее взаимодействии в целях осуществления аутентификации с использованием биометрических персональных данных физических лиц с информационными системами аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц. Как мы понимаем, это ограниченный круг лиц (Распоряжение Правительства РФ от 09.04.2024 N 856-р).

Также 01.01.2025 года Федеральный закон от 08.08.2024 N 303-ФЗ определил случаи, когда отдельные положения Закона об идентификации и (или) аутентификации физлиц с использованием биометрических персональных данных не применяются при обработке таких данных иностранных граждан и лиц без гражданства. Если использование ЕБС для идентификации и (или) аутентификации иностранных граждан и лиц без гражданства обязательно по законодательству РФ в области связи, в отношении обработки их биометрических персональных данных ряд положений названного Закона не применяется. В таких случаях обработку биометрических персональных и персональных данных указанных лиц по данному Закону, в том числе их размещение в ЕБС и ЕСИА, осуществляют без согласий, приведенных в отдельных нормах этого Закона (ч. 19.1 ст. 3 указанного Закона).

Итак, то, что взбудоражило общественность в последнее время, так это внесение 30.05.2025 года изменении в части административной ответственности в области персональных данных. В частности, специальные составы административных правонарушений:

1) за невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении обрабатывать персональные данные (ч. 10 ст. 13.11 КоАП РФ);

2) обработку биометрических персональных данных, векторов единой биометрической системы для аутентификации физлиц в информационных системах госорганов, организаций, информационной системе Банка России, когда нет аккредитации либо она приостановлена или прекращена (ч. 4 ст. 13.11.3 КоАП РФ).

В первом пункте идет речь не о новой обязанности, а о введении специального штрафа, который до этого трактовался по ст. 19.7. КоАП РФ (Непредставление сведений (информации)), максимальный штраф по этой статье для юр. лиц – 5000 рублей. То есть уведомление о начале обработки персональных данных было обязательным и ранее, теперь же ужесточился штраф и конкретизирован состав.

Кроме того, Федеральным законом от 30.11.2024 N 420-ФЗ увеличен размер штрафа, установленного ч. 1, 1.1 ст. 13.11 КоАП РФ, за обработку персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработку персональных данных, несовместимую с целями их сбора. Штраф, например, для юр. лиц составляет от 150 000 до 300 000 рублей, за повторное нарушение – от 300 000 до 500 000 рублей (ч. 1, 1.1 ст. 13.11 КоАП РФ).

Таким образом, никаких новелл законодательства, уточняющих технические особенности обработки персональных данных по большому счету на текущий момент не принято, а только ужесточены штрафы за неправомерную обработку данных.

Следует отметить, что далее грядут вступление в силу с 01.07.2025 года. Теперь для записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан России по общему правилу нельзя использовать базы данных, которые находятся за ее пределами (ч. 5 ст. 18 Закона о персональных данных). Эти изменения предусмотрены Федеральным законом от 28.02.2025 N 23-ФЗ. Ранее норма предусматривала обязанность обеспечить хранение данных, то есть иными словами, можно было хранить копию данных на территории РФ, теперь же вовсе нельзя будет обрабатывать их за пределами страны.

Федеральным законом от 08.08.2024 N 233-ФЗ с 01.09.2025 года установлены особенности обработки персональных данных, полученных в результате обезличивания. Определено следующее:

1) после того как Минцифры России направляет оператору требование предоставить персональные данные, полученные в результате обезличивания, тот обязан обезличить данные и передать их в ГИС Минцифры России (ч. 2 - 4 ст. 13.1 Закона о персональных данных);

2) результаты обработки составов обезличенных персональных данных по общему правилу нельзя предоставлять иностранным юр. лицам и организациям, не имеющим статус юр. лица, иностранным гражданам и лицам без гражданства (ч. 12 ст. 13.1 Закона о персональных данных).

Наконец, Федеральным законом от 29.12.2022 N 572-ФЗ с 01.09.2025 года расширен перечень случаев, когда биометрические персональные данные могут обрабатывать без согласия субъекта персональных данных. Речь идет среди прочего о случаях, которые закреплены в уголовно-процессуальном законодательстве (ч. 2 ст. 11 Закона о персональных данных). Также определено, что в этих случаях допускается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 7 ч. 2 ст. 10 Закона о персональных данных).

В остальном обработка данных по-прежнему должна быть законной, обоснованной, оправданной целью обработки, с обязательным размещением политики конфиденциальности на сайте и в большинстве случаев – с согласия субъекта. Что касается технических мер, принимаемых оператором персональных данных, то законодательство не содержит конкретного их перечня, если таковые встречаются в обзорах и (или) статьях, посвященным обработке персональных данных, то, как правило, они являются домыслами или идеями их авторов.