О том, чем запомнится уходящий год в области регулирования персональных данных и о главных вызовах предстоящего года, которые многое изменят для бизнеса, мы попросили рассказать Артема Дмитриева.
Чем запомнился уходящий год
Контроль стал более изысканным, а санкции более жесткими
Установлены новые штрафы и даже оборотные штрафы по ст. 13.11 КоАП за нарушение Федерального закона от 27.07.2006 № 152 «О персональных данных» (далее — Федеральный закон № 152). Теперь такие дела рассматривают арбитражные суды, а не суды общей юрисдикции. Релевантной арбитражной практики пока немного, но та, что дает бизнесу основания для осторожного оптимизма, уже имеется. Подробнее об этом далее.
Появилась первая практика по ст. 272.1 УК РФ. Попытки бизнес-сообщества оперативно скорректировать «криминальный» состав не увенчались успехом. Применяемая выборочно и очень даже по делу статья тем не менее тревожит бизнес из-за риска признания его представителей privacy-преступниками за весьма рутинную практику работы с персональными данными (далее — ПД).
Роскомнадзор (далее — РКН) интенсивнее, чем раньше, осуществлял дистанционный мониторинг сайтов с охватом более 50 тыс. сайтов в год. И это еще не предел пропускной возможности сервиса мониторинга РКН. Закончился ставший привычным с ковидных времен мораторий на проведение внеплановых проверок РКН. Кроме того, ведомством проведено уже почти 20 административных расследований — для РКН это новый контрольный механизм. В сравнении с привычными проверками такие расследования могут оказаться более обременительными для бизнеса.
Многие операторы ПД демонстрировали активный каминг-аут в связи с введением штрафа за неуведомление РКН о начале обработки ПД. Уже имеется первая практика по привлечению к ответственности за неуведомление о начале обработки, как и за неуведомление РКН о трансграничной передаче ПД, поэтому ждем включения в реестр все большего количества операторов.
Утечки ПД
Недавно РКН поделился информацией более чем о 100 фактах утечек ПД в 2025 г. При этом было заявлено более чем о 15 протоколах РКН по утечкам, переданных в суд. Куда делись остальные — непонятно. Из года в год остается неизменным количество компаний, допустивших утечку, но не получивших штраф, ибо доказавших свою privacy-совестливость, а именно каждая восьмая компания в суде не получает штраф даже при громкой утечке ПД.
Подросла стоимость инцидента в области информационной безопасности (далее — ИБ). Она, как правило, включает затраты на расследование инцидента, стоимость штрафа и компенсации, снижение доходов в связи с простоем и иными тратами, включая будущие убытки и расходы на ИБ. Для некоторых компаний такие расходы могут стать губительными. Вспомним печальный пример «Винлаба»: по разным оценкам, каждый день простоя из-за кибератаки стоил компании около 250 млн рублей без учета других убытков. А дней таких было не два, и не три…
Отрадно, что ряд компаний продемонстрировал умение антикризисно реагировать на ИБ-инциденты: как пример, 12 STOREEZ с их пресс-релизом по кибератаке.
Арбитражные суды проявляли обоснованную лояльность. Так, при рассмотрении одного из дел суд заменил штраф на предупреждение. Из-за компрометации пароля данные «угнали», однако степень вины, характер вреда, а также то, что правонарушение без отягчающих обстоятельств было совершено впервые, позволили суду отказаться от наложения штрафа.
Главным разочарованием года стало то, что кибер-страховка в части штрафов свернулась не развернувшись. Сколько-то полисов было продано, но в целом идею застраховать штрафы хладнокровно засыпали регуляторными запретами. Всероссийский союз страховщиков велел признать недобросовестной практикой обещание клиентам страховать штрафы за утечку ПД. В итоге оно не работает в прежнем виде.
Открытость РКН для коммуникации с бизнес и экспертным сообществом
Из мероприятий вспоминаются День открытых дверей РКН и тематические вебинары. Представители РКН активно выступали на конференциях и встречах с отраслевыми и бизнес-ассоциациями. Были представлены разъяснения ведомства, например по поводу того, что использование Google-таблиц или передача ПД через иностранный мессенджер (Telegram и пр.) гражданину России не являются трансграничной передачей данных.
Принят план мероприятий по противодействию нарушениям в цифровой среде. Он закрепил многие будущие инициативы РКН, о которых расскажем далее.
Несмотря на ряд позитивных тенденций, накопились и проблемы, включая утечки, спам, мошенничество, «болото» на пути воплощения регуляторных инициатив экономики данных и т. д. Мы неоднократно говорили, что интенсивность изменений законодательства прошлых лет не дала сколько ни будь значимого эффекта, ибо и граждане, и бизнес, и, вероятно, государство не особо довольны итогом. Конечно, в большей мере это связано с особенностями правоприменения, нежели с самим законотворчеством. На наш взгляд, российская система правоприменения ПД нуждается в реновации и уже находится на ее пороге.
Нельзя не упомянуть и появление номинации «Эффективная правовая защита персональных данных» в ежегодном конкурсе The DEPARTMENT, проводимом Legal Insight. Она призвана популяризировать лучшие практики управления и защиты персональных данных.
Победителем года стала команда «Авито», на втором и третьем месте команды компаний «Арнест ЮниРусь» и «Точка». С нетерпением ждем заявок на участие в этой номинации в 2026 г.
Privacy-предсказания на год грядущий
С учетом всего изложенного мы многого ожидаем от наступающего года.
Инфляция доберется и до согласий.
Вероятно, изменится баланс оснований обработки ПД в связи с рутированием управления согласиями через Единую систему идентификации и аутентификации (ЕСИА), а также активной борьбой РКН с культом согласий. Напомним, что в новой редакции проекта «Антифрод-2» законодатель предусмотрел следующие нововведения:
В проект также внесено положение о передаче в ЕСИА сведений о согласиях, полученных оператором без ЕСИА непосредственно от субъекта. Это делает ЕСИА единым реестром согласий и наделяет регулятора инструментом перманентного мониторинга.
Для бизнеса такие драматичные новации обернутся неотвратимым ростом операционных затрат, поскольку потребуется перенастройка бизнес-процессов с учетом ЕСИА. Кроме того, скоро граждане смогут в режиме реального времени свободно давать или отзывать свое согласие, а РКН будет отслеживать нарушения. В связи с этим ожидаем, что согласия станут еще более неудобным и неэкологичным инструментом. Другими словами, они подорожают как в части стоимости получения и управления, так и в части риск-нагрузки. Полагаем целесообразным переходить к более устойчивым правовым основаниям: исполнению договора, выполнению обязанностей по закону или реализации законного интереса.
Предстоит развитие «мягкого права».
РКН планирует разбавить императивное регулирование отраслевыми стандартами и разъяснениями для рынка. Первые стандарты будут разработаны для сфер образования, ЖКХ, здравоохранения и туризма. В разработке примут участие отраслевые ведомства. В этих стандартах планируется зафиксировать типовые цели и категории данных, правовые основания, рекомендуемые сроки хранения и условия передачи третьим лицам. По сути, речь идет о прикладной интерпретации требований Федерального закона № 152 для типовых бизнес-сценариев. Стандарты могут стать эффективным элементом комплаенса — рекомендациями, на которые компании смогут опираться при построении бизнес-процессов.
Кроме того, на базе ГРЧЦ разрабатываются конкретные кейсы, в рамках которых обработка может основываться на законном интересе, а также методики легализации такой обработки. Столь прекрасное начинание может продвинуть российское privacy-законодательство вперед. С нетерпением ждем в следующем году одобренных РКН практик.
Намечается коммерциализация privacy нарушений.
На фоне дефицита бюджета законодатель ищет стабильные источники «допдоходов» для финансирования своих инициатив. Одним из таких дополнительных источников доходов для национального проекта «Экономика данных и цифровая трансформация государства» стали штрафы за нарушение требований Федерального закона № 152 По мнению законодателя, их выплата является удобным инструментом пополнения казны и финансирования проекта. К тому же имеет место инициатива по поводу введения оборотного штрафа за первую же утечку.
В целом стоит ожидать куда большей решительности от судов при наличии признаков правонарушения, в частности утечки. Посмотрим, настанет ли коммерциализация таких нарушений или же арбитражные суды займут более лояльную по отношению к бизнесу позицию.
Дальнейшее развитие цифрового суверенитета.
С 1 июля 2025 г. действуют новые требования по локализации обработки ПД. По содержанию формулировка изменилась незначительно, однако чувствуется явное намерение законодателя сделать данное требование более рестриктивным, а именно запретить сбор данных российских граждан с использованием зарубежных баз и сервисов.
Также планируется наложение новых ограничений на трансграничную передачу. Так, в Госдуму был внесен законопроект, изменяющий порядок подхода к определению privacy-адекватности стран — получателей ПД. Участие страны в Конвенции № 108 не будет гарантировать ее «адекватность», что усложнит передачу данных.
Не стоит забывать и про наказание за неисполнение обязанности по предоставлению возможности авторизоваться через отечественные сервисы, ЕБС и эксперимент по использованию сервиса MAX для верификации возраста. Все эти инициативы свидетельствуют о стремительном рутировании бизнес-процессов через государственные интерфейсы.
Рivacy сбор как элемент нового социального контракта.
Увеличение штрафов за утечку ПД и появление смягчающего обстоятельства в виде инвестиций в ИБ за три года до инцидента стимулируют компании увеличивать бюджет на защиту информации. Одновременно растут и риски: от вайбхакинга и целевых атак на инфраструктуру до эксплуатации уязвимостей и ошибок персонала, что требует модернизации контуров ИБ и принятия дополнительных решений. Добавляются новые обязательные статьи расходов: рутирование согласий через ЕСИА, развитие процессов privacy-комплаенса и перманентное обновление технических средств защиты.
В совокупности все это приведет к устойчивому росту издержек на ИБ и работу с ПД, которые компании будут закономерно закладывать в стоимость товаров и услуг. Так сформируется фактический «privacy-сбор»: конечный потребитель будет компенсировать возросшие затраты на выполнение требований и обеспечение безопасности данных, что станет элементом нового социального контракта в сфере ПД.
Возможны и другие тренды, хотя в их реалистичность и масштабируемость в 2026 г. верится слабо.
Диверсификация рынка. Теоретически может завершиться «сага» со спецоператорами ПД — институтом, который должен был стать точкой доверия и единым технологическим контуром для критичных процессов обработки. Однако проект буксует: неясна механика окупаемости и распределения ответственности между бизнесом и спецоператором. Сейчас этот вопрос обсуждается с представителями бизнеса, однако конкретики еще нет. Более жизнеспособной выглядит добровольная модель делегирования обработки с четкими правилами и понятной зоной рисков. Пока же перспективы института остаются неопределенными.
Развитие экономики данных. Экономика данных будет опираться на расширение использования ИИ и ужесточение требований к безопасной работе с данными. Для масштабирования наборов данных и обучения моделей бизнесу потребуется более зрелая privacy-архитектура: использование PET-технологий с понятным регуляторным фреймворком для них, внедрение института доверенных посредников данных и переход к риск-ориентированному обезличиванию. Эти элементы могут стать частью будущей экосистемы, но их широкое внедрение в 2026 г. маловероятно в связи с крайне консервативным подходом государственных органов.
Если прошлый год завершился с ощущением нарастающих privacy-тревог, то нынешний заканчивается с большей ясностью и осторожным оптимизмом. Регулирование меняется радикально: усиливается контроль, растут требования, происходит глубокая реновация privacy-режима через системное ужесточение и стандартизацию. Всем участникам рынка предстоит много работы: как по преодолению последствий «культа согласий», так и по адаптации к принудительному перераспределению данных через государственные интерфейсы. Тем интереснее будет наблюдать за развитием отрасли в 2026 г.
Чем запомнился уходящий год
Контроль стал более изысканным, а санкции более жесткими
Установлены новые штрафы и даже оборотные штрафы по ст. 13.11 КоАП за нарушение Федерального закона от 27.07.2006 № 152 «О персональных данных» (далее — Федеральный закон № 152). Теперь такие дела рассматривают арбитражные суды, а не суды общей юрисдикции. Релевантной арбитражной практики пока немного, но та, что дает бизнесу основания для осторожного оптимизма, уже имеется. Подробнее об этом далее.
Появилась первая практика по ст. 272.1 УК РФ. Попытки бизнес-сообщества оперативно скорректировать «криминальный» состав не увенчались успехом. Применяемая выборочно и очень даже по делу статья тем не менее тревожит бизнес из-за риска признания его представителей privacy-преступниками за весьма рутинную практику работы с персональными данными (далее — ПД).
Роскомнадзор (далее — РКН) интенсивнее, чем раньше, осуществлял дистанционный мониторинг сайтов с охватом более 50 тыс. сайтов в год. И это еще не предел пропускной возможности сервиса мониторинга РКН. Закончился ставший привычным с ковидных времен мораторий на проведение внеплановых проверок РКН. Кроме того, ведомством проведено уже почти 20 административных расследований — для РКН это новый контрольный механизм. В сравнении с привычными проверками такие расследования могут оказаться более обременительными для бизнеса.
Многие операторы ПД демонстрировали активный каминг-аут в связи с введением штрафа за неуведомление РКН о начале обработки ПД. Уже имеется первая практика по привлечению к ответственности за неуведомление о начале обработки, как и за неуведомление РКН о трансграничной передаче ПД, поэтому ждем включения в реестр все большего количества операторов.
Утечки ПД
Недавно РКН поделился информацией более чем о 100 фактах утечек ПД в 2025 г. При этом было заявлено более чем о 15 протоколах РКН по утечкам, переданных в суд. Куда делись остальные — непонятно. Из года в год остается неизменным количество компаний, допустивших утечку, но не получивших штраф, ибо доказавших свою privacy-совестливость, а именно каждая восьмая компания в суде не получает штраф даже при громкой утечке ПД.
Подросла стоимость инцидента в области информационной безопасности (далее — ИБ). Она, как правило, включает затраты на расследование инцидента, стоимость штрафа и компенсации, снижение доходов в связи с простоем и иными тратами, включая будущие убытки и расходы на ИБ. Для некоторых компаний такие расходы могут стать губительными. Вспомним печальный пример «Винлаба»: по разным оценкам, каждый день простоя из-за кибератаки стоил компании около 250 млн рублей без учета других убытков. А дней таких было не два, и не три…
Отрадно, что ряд компаний продемонстрировал умение антикризисно реагировать на ИБ-инциденты: как пример, 12 STOREEZ с их пресс-релизом по кибератаке.
Арбитражные суды проявляли обоснованную лояльность. Так, при рассмотрении одного из дел суд заменил штраф на предупреждение. Из-за компрометации пароля данные «угнали», однако степень вины, характер вреда, а также то, что правонарушение без отягчающих обстоятельств было совершено впервые, позволили суду отказаться от наложения штрафа.
Главным разочарованием года стало то, что кибер-страховка в части штрафов свернулась не развернувшись. Сколько-то полисов было продано, но в целом идею застраховать штрафы хладнокровно засыпали регуляторными запретами. Всероссийский союз страховщиков велел признать недобросовестной практикой обещание клиентам страховать штрафы за утечку ПД. В итоге оно не работает в прежнем виде.
Открытость РКН для коммуникации с бизнес и экспертным сообществом
Из мероприятий вспоминаются День открытых дверей РКН и тематические вебинары. Представители РКН активно выступали на конференциях и встречах с отраслевыми и бизнес-ассоциациями. Были представлены разъяснения ведомства, например по поводу того, что использование Google-таблиц или передача ПД через иностранный мессенджер (Telegram и пр.) гражданину России не являются трансграничной передачей данных.
Принят план мероприятий по противодействию нарушениям в цифровой среде. Он закрепил многие будущие инициативы РКН, о которых расскажем далее.
Несмотря на ряд позитивных тенденций, накопились и проблемы, включая утечки, спам, мошенничество, «болото» на пути воплощения регуляторных инициатив экономики данных и т. д. Мы неоднократно говорили, что интенсивность изменений законодательства прошлых лет не дала сколько ни будь значимого эффекта, ибо и граждане, и бизнес, и, вероятно, государство не особо довольны итогом. Конечно, в большей мере это связано с особенностями правоприменения, нежели с самим законотворчеством. На наш взгляд, российская система правоприменения ПД нуждается в реновации и уже находится на ее пороге.
Нельзя не упомянуть и появление номинации «Эффективная правовая защита персональных данных» в ежегодном конкурсе The DEPARTMENT, проводимом Legal Insight. Она призвана популяризировать лучшие практики управления и защиты персональных данных.
Победителем года стала команда «Авито», на втором и третьем месте команды компаний «Арнест ЮниРусь» и «Точка». С нетерпением ждем заявок на участие в этой номинации в 2026 г.
Privacy-предсказания на год грядущий
С учетом всего изложенного мы многого ожидаем от наступающего года.
Инфляция доберется и до согласий.
Вероятно, изменится баланс оснований обработки ПД в связи с рутированием управления согласиями через Единую систему идентификации и аутентификации (ЕСИА), а также активной борьбой РКН с культом согласий. Напомним, что в новой редакции проекта «Антифрод-2» законодатель предусмотрел следующие нововведения:
- управление согласиями через ЕСИА, включая их предоставление и отзыв;
- возможность для граждан видеть в личном кабинете «Госуслуг» сведения об обработке их ПД на основании согласий и т. д.
В проект также внесено положение о передаче в ЕСИА сведений о согласиях, полученных оператором без ЕСИА непосредственно от субъекта. Это делает ЕСИА единым реестром согласий и наделяет регулятора инструментом перманентного мониторинга.
Для бизнеса такие драматичные новации обернутся неотвратимым ростом операционных затрат, поскольку потребуется перенастройка бизнес-процессов с учетом ЕСИА. Кроме того, скоро граждане смогут в режиме реального времени свободно давать или отзывать свое согласие, а РКН будет отслеживать нарушения. В связи с этим ожидаем, что согласия станут еще более неудобным и неэкологичным инструментом. Другими словами, они подорожают как в части стоимости получения и управления, так и в части риск-нагрузки. Полагаем целесообразным переходить к более устойчивым правовым основаниям: исполнению договора, выполнению обязанностей по закону или реализации законного интереса.
Предстоит развитие «мягкого права».
РКН планирует разбавить императивное регулирование отраслевыми стандартами и разъяснениями для рынка. Первые стандарты будут разработаны для сфер образования, ЖКХ, здравоохранения и туризма. В разработке примут участие отраслевые ведомства. В этих стандартах планируется зафиксировать типовые цели и категории данных, правовые основания, рекомендуемые сроки хранения и условия передачи третьим лицам. По сути, речь идет о прикладной интерпретации требований Федерального закона № 152 для типовых бизнес-сценариев. Стандарты могут стать эффективным элементом комплаенса — рекомендациями, на которые компании смогут опираться при построении бизнес-процессов.
Кроме того, на базе ГРЧЦ разрабатываются конкретные кейсы, в рамках которых обработка может основываться на законном интересе, а также методики легализации такой обработки. Столь прекрасное начинание может продвинуть российское privacy-законодательство вперед. С нетерпением ждем в следующем году одобренных РКН практик.
Намечается коммерциализация privacy нарушений.
На фоне дефицита бюджета законодатель ищет стабильные источники «допдоходов» для финансирования своих инициатив. Одним из таких дополнительных источников доходов для национального проекта «Экономика данных и цифровая трансформация государства» стали штрафы за нарушение требований Федерального закона № 152 По мнению законодателя, их выплата является удобным инструментом пополнения казны и финансирования проекта. К тому же имеет место инициатива по поводу введения оборотного штрафа за первую же утечку.
В целом стоит ожидать куда большей решительности от судов при наличии признаков правонарушения, в частности утечки. Посмотрим, настанет ли коммерциализация таких нарушений или же арбитражные суды займут более лояльную по отношению к бизнесу позицию.
Дальнейшее развитие цифрового суверенитета.
С 1 июля 2025 г. действуют новые требования по локализации обработки ПД. По содержанию формулировка изменилась незначительно, однако чувствуется явное намерение законодателя сделать данное требование более рестриктивным, а именно запретить сбор данных российских граждан с использованием зарубежных баз и сервисов.
Также планируется наложение новых ограничений на трансграничную передачу. Так, в Госдуму был внесен законопроект, изменяющий порядок подхода к определению privacy-адекватности стран — получателей ПД. Участие страны в Конвенции № 108 не будет гарантировать ее «адекватность», что усложнит передачу данных.
Не стоит забывать и про наказание за неисполнение обязанности по предоставлению возможности авторизоваться через отечественные сервисы, ЕБС и эксперимент по использованию сервиса MAX для верификации возраста. Все эти инициативы свидетельствуют о стремительном рутировании бизнес-процессов через государственные интерфейсы.
Рivacy сбор как элемент нового социального контракта.
Увеличение штрафов за утечку ПД и появление смягчающего обстоятельства в виде инвестиций в ИБ за три года до инцидента стимулируют компании увеличивать бюджет на защиту информации. Одновременно растут и риски: от вайбхакинга и целевых атак на инфраструктуру до эксплуатации уязвимостей и ошибок персонала, что требует модернизации контуров ИБ и принятия дополнительных решений. Добавляются новые обязательные статьи расходов: рутирование согласий через ЕСИА, развитие процессов privacy-комплаенса и перманентное обновление технических средств защиты.
В совокупности все это приведет к устойчивому росту издержек на ИБ и работу с ПД, которые компании будут закономерно закладывать в стоимость товаров и услуг. Так сформируется фактический «privacy-сбор»: конечный потребитель будет компенсировать возросшие затраты на выполнение требований и обеспечение безопасности данных, что станет элементом нового социального контракта в сфере ПД.
Возможны и другие тренды, хотя в их реалистичность и масштабируемость в 2026 г. верится слабо.
Диверсификация рынка. Теоретически может завершиться «сага» со спецоператорами ПД — институтом, который должен был стать точкой доверия и единым технологическим контуром для критичных процессов обработки. Однако проект буксует: неясна механика окупаемости и распределения ответственности между бизнесом и спецоператором. Сейчас этот вопрос обсуждается с представителями бизнеса, однако конкретики еще нет. Более жизнеспособной выглядит добровольная модель делегирования обработки с четкими правилами и понятной зоной рисков. Пока же перспективы института остаются неопределенными.
Развитие экономики данных. Экономика данных будет опираться на расширение использования ИИ и ужесточение требований к безопасной работе с данными. Для масштабирования наборов данных и обучения моделей бизнесу потребуется более зрелая privacy-архитектура: использование PET-технологий с понятным регуляторным фреймворком для них, внедрение института доверенных посредников данных и переход к риск-ориентированному обезличиванию. Эти элементы могут стать частью будущей экосистемы, но их широкое внедрение в 2026 г. маловероятно в связи с крайне консервативным подходом государственных органов.
Если прошлый год завершился с ощущением нарастающих privacy-тревог, то нынешний заканчивается с большей ясностью и осторожным оптимизмом. Регулирование меняется радикально: усиливается контроль, растут требования, происходит глубокая реновация privacy-режима через системное ужесточение и стандартизацию. Всем участникам рынка предстоит много работы: как по преодолению последствий «культа согласий», так и по адаптации к принудительному перераспределению данных через государственные интерфейсы. Тем интереснее будет наблюдать за развитием отрасли в 2026 г.
Источник: https://legalinsight.ru/journal/archive/%E2%84%96-10-146-2025/