14 августа 2025 года Правительство РФ утвердило План мероприятий по противодействию нарушениям в цифровой сфере. Документ задаёт стратегию регулирования в т.ч. для ПД на ближайшие три года и фактически уточняет контур обновляемой нормативной формации в области ИТ. Кстати, документ важный, полезный, интересный и даже (спасибо!) короткий, поэтому must-have к прочтению.
Что там для нас любопытного?
1. Минимизация ПД: новая жизнь старого принципа
До конца 2026 года РКН и профильные ведомства должны определить объем ПД, который необходим компаниям для их деятельности. Кстати, работа уже ведется!
Формально принцип минимизации данных уже закреплен в 152-ФЗ. Но что такое принцип без четких инструкций. Просили – получите институционализацию data-минимализма. Оно и не удивляет нас, поскольку уже долгое время РКН и ГРЧЦ призывают к цифровой гигиене, наводить порядок и вот это вот все. Значит, не шутили!
Пока непонятно, будет ли это полноценная таксономия данных (например, в формате «данные – цель – основание») или скорее белый список данных, предодобренных для сбора и обработки. Наконец, будет ли это подсказкой для бизнеса или рестриктивным инструментом и основой для кары? Непонятно, но очевидно, что компаниям придется в будущем предпринять ряд дополнительных «приседаний», чтобы обосновать необходимость всех и каждого атрибута собираемых данных вне такого белого списка. Вероятно, результатом этого мероприятия станет подготовка отраслевых стандартов.
И это значит для нас следующее:
вероятно, сбор и обработка «избыточных» данных на вырост будет активнее отслеживаться и караться по ст. 13.11 КоАП;
пока ждем рекомендаций от государства, на своей стороне маппим данные, если еще НЕТ – какие данные, как долго, в каких бизнес-процессах и целях... Не затягивайте с этим до выхода «рекомендаций».
2. Ужесточение ответственности: риск длиннее и больше
Значимое направление плана – усиление санкций и увеличение сроков давности для административных нарушений в сфере ПД. Ибо пока гром не грянет, … ну вы поняли!
Сегодня по ст. 13.11 КоАП ответственность варьируется: от 50 000 рублей до 1–3 % годового оборота. При этом срок давности при нарушении законодательства о ПД составляет лишь год с момента совершения большинства нарушений.
И это значит для нас следующее:
государство может увеличит срок давности для нарушений законодательства о ПД до двух и болеелет, а также пересмотрит размеры санкций. И да, о повышении штрафов за первичную утечку ПД уже говорят в Госдуме;
нарушения, которые раньше могли сойти с рук из-за истечения срока давности, теперь будут преследоваться дольше. Никто не уйдет от правосудия! Хотя вряд ли это как-то изменит карту / оценку рисков для компаний. А вот контролирующему органу с новыми сроками будет явно комфортнее, ну и славно!
3. Иные мероприятия
Планом также предусмотрено большое множество иных мероприятий включая использование ИИ для выявления запрещенного контента, подготовку к подписанию Конвенции ООН против киберпреступности, формирование культуры ответственного поведения в Интернете, а также создание на постоянной основе экспертно-консультативной группы, в которую войдут представители органов власти, операторов связи, банков и ОРИ. Задачи группы – выявлять и решать проблемные вопросы, предлагать совершенствования законодательства и обсуждать расширение полномочий IT-компаний в сфере компьютерных экспертиз. В общем и целом - инструмент, возможно, мягкого права. Радостно!
Итого
Да, план явно указывает на вектор государства на ужесточение контроля над цифровой средой. НО все же мы осторожно позитивно оцениваем этот вектор. Тут вам / нам и инструменты мягкого права и кастомизация рекомендаций под отрасли. Есть там свет, есть!