Обзор ключевых изменений в законодательстве о персональных данных

2025-ый год ознаменован массовыми нововведениями в законодательстве о персональных данных. Часть из них уже действует, другие изменения, как ожидается, вступят в силу в течение года. В большинстве своем они представляют собой ужесточение административной и уголовной ответственности за нарушение установленных правил и ограничений, но есть среди них также немало поправок, предусматривающих установление новых правил и обязанностей в отношении субъектов персональных данных. Что ж, обо всем по порядку. 

Для сведения:

• персональные данные (ПДн) – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
• ЕСИА – единая система идентификации и аутентификации;
• ЕБС – единая биометрическая система. 

С 01.01.2025 г. начали действовать обновленные формы согласия на размещение и обработку персональных данных в ЕСИА и биометрических персональных данных в ЕБС, в том числе на передачу векторов ЕБС (распоряжение Правительства РФ от 30.06.2018 г. № 1322-р).

Обратите внимание: в новых бланках есть отметка о том, что согласие на обработку ПДн несовершеннолетнего даёт его законный представитель. Данное нововведение направлено на устранение типичной ошибки, при которой организации и индивидуальные предприниматели принимают согласие на обработку ПДн несовершеннолетнего, которое дает любой его родственник (а не один из родителей, как того требует закон). К слову, цена такой ошибки достаточно велика – так, например, юридическое лицо за подобное нарушение может получить штраф до 700000 руб. (п. 2 ст. 13.11 КоАП РФ).

Не отходя далеко от темы, отметим, что с марта этого года предлагается установить запрет включения согласия на обработку персональных данных в состав других документов, подписываемых субъектом ПДн.

От запрета, нацеленного на предотвращение случаев несогласованной обработки персональных данных субъектов ПДн, перейдем к разрешению обработки таких данных в предусмотренных законом случаях.

В начале 2025 года вступили в силу изменения, внесенные в Федеральный закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» (далее – «Закон»). Внесенными поправками определены случаи, когда отдельные положения Закона не применяются при обработке персональных данных иностранных граждан и лиц без гражданства (ч. 19.1 ст. 3 Закона). Так, например, если использование ЕБС для идентификации и (или) аутентификации иностранных граждан и лиц без гражданства обязательно по законодательству РФ в области связи, в отношении обработки их биометрических персональных данных ряд положений названного Закона не применяется. В таких случаях обработку биометрических персональных и персональных данных указанных лиц, в том числе их размещение в ЕБС и ЕСИА, осуществляют без согласий, приведенных в отдельных нормах Закона.

Вернемся к запретам. Законодатели хотят запретить продавцам ограничивать доступ потребителя к информации о товарах, услугах, работах из-за того, что он отказался предоставить свои персональные данные.

Движемся далее. С 01.09.2025 г. у операторов ПДн появится новая обязанность – начиная с этой даты, они должны будут по запросу Минцифры передавать в государственную информационную систему обезличенные данные, то есть те данные, которые не позволяют установить принадлежность конкретному человеку (федеральный закон от 08.08.2024 г. № 233-ФЗ). Состав таких данных, сроки передачи, порядок обезличивания будут определены Правительством РФ по согласованию с ФСБ РФ.

Предполагается, что указанная государственная система будет закрытой, а доступ к ней предоставят государственным и муниципальным органам, гражданам России и российскому бизнесу. Для получения доступа нужно будет соответствовать следующим условиям:

– состоять в реестре операторов персональных данных на 2025 год;

– не находиться под контролем иностранных лиц и компаний;

– не иметь записи о недостоверности сведений в ЕГРЮЛ;

– не быть причастными к терроризму и экстремистской деятельности;

– не иметь иностранного гражданства, действующей судимости, привлечения к уголовной ответственности в течение последних пяти лет (для граждан РФ и единоличных исполнительных органов компаний).

Перейдем к нововведениям в области государственной геномной регистрации. В Федеральный закон «О порядке отбывания административного ареста» внесены изменения, в соответствии с которыми лица, подвергнутые административному аресту, подлежат обязательной государственной геномной регистрации. Такая регистрация проводится администрациями и сотрудниками мест отбывания административного ареста совместно с подразделениями органов внутренних дел, к компетенции которых относится указанный вид деятельности. Поправки начали действовать с января этого года.

Вернемся в начало нашего обзора. Федеральным законом от 26.12.2024 г. № 494-ФЗ продлен срок, в течение которого допускается подписание простой электронной подписью согласия физического лица на обработку персональных данных и биометрических персональных данных. Согласно принятым поправкам, использовать в указанных целях простую электронную подпись можно до 01.01.2027 г.

Таким образом, можно наблюдать тенденцию усиления ответственности за нарушение законодательства о персональных данных. В связи с принимаемыми поправками у предпринимателей появляются новые обязанности, связанные с обработкой и защитой персональных данных. Во избежание возможных проблем операторам ПДн необходимо не только регулярно отслеживать изменения в законодательстве о персональных данных и соблюдать его, но и своевременно принимать меры, направленные на недопущение возможных нарушений прав субъектов ПДн при обработке их персональных данных.