Ретроспектива комплаенса персональных данных в 2025г. и перспективы на 2026-2028гг.

# Актуальные тренды регулирования персональных данных в РФ

—

## О выступающем

Алексей Мунтян Основатель и СЕО в компании Privacy Advocates +7 (903) 762-64-15 alexey.muntyan@privacy-advocates.ru

- 18 лет опыта в комплаенсе персональных данных и инфоприватности - Соучредитель «Сообщества профессионалов в области инфоприватности» — RPPA.pro - Участник центра компетенций Роскомнадзора и научно-технического совета ГРЧЦ - Сопредседатель Privacy & Legal Innovation кластера РАЭК

—

## Правовые режимы информации в РФ

*(слайд содержит схему)*

—

## Тренды приватности

*(слайд содержит схему)*

—

## Тренды законодательства о ПД в РФ

*(слайд содержит схему)*

—

## Реформа 152-ФЗ в 2022–23 гг.

*(слайд содержит схему)*

—

## Комментарий к новым нормам 152-ФЗ

Практический комментарий RPPA к некоторым положениям 266-ФЗ от 14.07.2022, в котором рассматриваются следующие вопросы:

- Допустимость включения положений об обработке ПД несовершеннолетних в договор с субъектом ПД - Самостоятельная ответственность лица, обрабатывающего ПД по поручению - Отказ в оказании услуг, если субъект не предоставил биометрические ПД, либо не дал согласие на их обработку - Содержание обязанности оператора обеспечить уничтожение ПД, которые были ранее переданы за рубеж - Обязанность оператора разъяснить субъекту последствия отказа предоставить его ПД и (или) дать согласие, если получение согласия требуется по закону - Запрет издания оператором локальных актов, предусматривающих полномочия и обязанности операторов, не предусмотренных законом - Может ли оператор понести ответственность за то, что не уведомит Роскомнадзор, если узнает об инциденте с ПД по истечении 24-часового срока уведомления

Ссылка: [rppa.pro/_media/analitika/rppa_comments_266fz.pdf](https://rppa.pro/_media/analitika/rppa_comments_266fz.pdf)

—

## Ретроспектива 2025: Регуляторика и надзор

—

## Основные регуляторные новеллы в 2020–2025

—

## Усиление ответственности за ПД

01. Ужесточение ответственности по ст.13.11 КоАП РФ за утечки ПД [штраф 5–15 млн. ₽ или 1–3% от годового оборота] и неуведомление об утечках ПД [штраф 1–3 млн. ₽]

02. Включение в УК РФ ст.272.1 о незаконной обработке неправомерно полученных ПД [пока что должностные лица компаний не привлекались к ответственности за утечку ПД]

03. Ужесточение ответственности по ст.13.12 КоАП РФ за нарушение требований о защите информации [штраф до 100К ₽ с возможной конфискацией средств защиты ПД]

04. Рассмотрение всех дел по ст.13.11 КоАП РФ с 01.01.2026г. возвращается из арбитражных судов [рассматривали дела по ПД с 30.05.2025г.] обратно в суды общей юрисдикции

—

## Ландшафт юридической ответственности за ПД

*(слайд содержит схему со ссылкой)*

—

## Локализация баз с ПД 2.0 с 01.07.2025

01. Основная концепция локализации баз с ПД в РФ при сборе ПД не затронута, явных предпосылок к запрету последующей трансграничной передачи ПД не наблюдается

02. Аргументированное и доказуемое определение момента завершения сбора ПД и соответствующее окончание применимости требования ч.5 ст.18 152-ФЗ является критичным

03. Желательно не размещать собранные на территории РФ ПД в контролируемых зарубежных БД и не признавать использование таких БД в обработке собранных ПД

—

## Новые правила обезличивания ПД с 01.09.2025

! С 01.09.2025 [см. ст.13.1 152-ФЗ] операторам может поступать требование от уполномоченного органа об обезличивании ПД в соответствии с нормативно установленными требованиями, методами и порядком обезличивания ПД, а также о последующем предоставлении обезличенных ПД в ГИС «Единая информационная платформа национальной системы управления данными».

*(слайд содержит схему «Требования и методы обезличивания ПД с 01.09.2025»)*

—

## Обособление согласия на обработку ПД с 01.09.2025

«Согласие на обработку ПД должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПД» [ч.1 ст.9 152-ФЗ]

Как трактовать «отдельность»?

*(слайд содержит схему «Требования к получению согласия» и «Требования к обособлению согласия»)*

—

## Обновление ПП РФ от 29.06.2021 № 1046

С 02.09.2025 действует новая редакция Положения о государственном контроле (надзоре) за обработкой ПД, обновленная ПП РФ от 27.08.2025 № 1286 и применяемая с учетом ПП РФ от 01.10.2025 № 1511:

- Риск-ориентированный подход разделения организаций и ИП (как операторов ПД) на категории в зависимости от тяжести возможных последствий из-за нарушения требований к обработке ПД остался неизменным. Сочетание тяжести и вероятности даёт одну из 5 категорий риска — высокая, значительная, средняя, умеренная, низкая. - Плановые контрольно-надзорные мероприятия (проверка раз в два года либо ежегодный обязательный профвизит) проводятся только в отношении объектов высокого риска. - Без плановых проверок обойдутся объекты контроля категории значительного, среднего, умеренного или низкого риска, но для них предусмотрены обязательные профвизиты для:

1. значительного риска — не более одного обязательного профвизита в 3 года;
2. среднего риска — не более одного обязательного профвизита в 5 лет;
3. умеренного риска — не более одного обязательного профвизита в 6 лет;
4. низкого риска — обязательных профвизитов не предусмотрено.

- Как увеличить свои шансы на профвизит? Ведите деятельность в финансово-кредитном секторе, в сфере жилищно-коммунального хозяйства, медицины, образования, туризма или интернет-магазинов, платформ дистанционной торговли в сети «Интернет» (маркетплейсы), оказывать интеллектуальные услуги (юридические, маркетинговые (рекламные), консалтинговые) или услуги по доставке товаров. - Если в ходе дистанционного контроля без взаимодействия с контролируемым лицом будут выявлены нарушения обязательных требований к обработке ПД, то такому лицу могут быть направлены не только предостережение, но и требование об уничтожении ПД.

—

## Обновление критериев риска в ПП-1046

- Содержание групп вероятности было обновлено в соответствии с актуальной редакцией статей 13.11, 13.11.2, 13.11.3 КоАП РФ. - Существенному обновлению подверглись критерии, по которым деятельность операторов ПД относится к группам тяжести последствий возможного нарушения требований в области ПД. - В группу тяжести «А» (самую высокую) теперь входит обработка ПД на основании согласия субъекта ПД в случаях, если федеральным законом не предусмотрена обязанность получения такого согласия.

—

## Проверка категорий риска и план профвизитов на 2026

Проверить категорию риска можно в Едином реестре видов контроля. План обязательных профвизитов Роскомнадзора на 2026.

*(слайд содержит схему)*

—

## Система мониторинга прав субъектов ПД в сети

Функционал системы:

- поиск ресурсов со сбором и распространением ПД, оценивать соблюдение законодательства; - проверка информационных ресурсов, на которые пожаловались, и ресурсов в плане мероприятий РКН; - интеграция с формой обращений граждан, расположенной на сайте РКН; - мониторинг 500 000 информационных ресурсов в сети «Интернет» ежегодно, не менее 15 000 еженедельно, по ключевым словам, например: «согласие», «обработка», «подтверждаю», «персональный», «имя», «фамилия», «скачать базу», «продам базу», «база данных», «персональный» и т.д.; - модуль по доказательной базе выявленных нарушений.

Ранжирование нарушений:

- нет согласия на обработку ПД; - нет Политики ПД; - несоответствие объема, собираемого формой, Политике; - наличие ссылок на сторонние формы сбора ПД; - осуществление сбора ПД граждан РФ при зарубежном хостинге сайта; - отсутствие информации об осуществлении трансграничной передачи ПД в Политике (при зарубежном хостинге сайта); - сбор метрической информации в отсутствие указания об этом в Политике ПД; - отсутствие или некорректное указание срока (условия) прекращения обработки ПД в Политике; - обработка ПД без уведомления Роскомнадзора.

Приоритетность мониторинга:

- финансово-кредитные организации (банки, НПФ, МФО, небанковские платежные компании и т.д.); - страховые компании; - коллекторские агентства; - социальные сети; - операторы связи; - интернет-магазины; - транспортные компании и компании, выполняющие пассажирские перевозки; - почтовые сервисы; - медицинские учреждения; - образовательные учреждения; - организации в сфере ЖКХ, управляющие компании; - многофункциональные центры предоставления государственных и муниципальных услуг; - государственные и муниципальные органы власти.

—

## Практика автоматизированного дистанционного контроля

- Для мониторинга интернет-ресурсов на предмет соблюдения требований законодательства о ПД Роскомнадзор использует автоматизированную систему мониторинга прав субъектов ПД в сети Интернет (АС МПД). - Точность выявления нарушений в автоматическом режиме в среднем составляет 89%. - В 2024 году система выявила признаки нарушения требований законодательства на 77% ресурсов, то есть более чем три четверти интернет-ресурсов работали некорректно. За полгода 2025-го провели уже почти 27 тыс. проверок, признаки нарушения требований законодательства обнаружены в 84% случаев. - Система настроена таким образом, что в проверку попадают в первую очередь ресурсы из тех сфер деятельности, на которые больше всего жалуются граждане в Роскомнадзор, — организации финансового сектора, интернет-магазины, учреждения сферы образования и жилищно-коммунальной отрасли. - В 2024 году в организации направили около 6,5 тыс. требований о приведении деятельности сайта в соответствие с законодательством, в 2025 году — уже 8 тыс. требований.

—

## Ретроспектива 2025: Судебная практика

—

## Тренды-2025 судебной практики ПД по КоАП РФ

В 2025 году было смешение практики СОЮ (до 30 мая) и АС (с 30 мая).

Распределение по основным составам:

- незаконная обработка ПД и небольшие утечки [ч.ч.1–1.1 13.11 КоАП] — 63%; - неполучение обязательного письменного согласия [ч.ч.2–2.1 13.11 КоАП] — 5%; - неопубликование политики, нереализация прав субъектов и невыполнение требований Роскомнадзора, нарушения в ручной обработке [ч.ч.3–6 13.11 КоАП] — 22%; - нелокализация баз с ПД [ч.ч.8–9 13.11 КоАП] — 4%; - не отмечено случаев крупных штрафов по новым «спецсоставам» ст.13.11 КоАП.

Кого привлекали к ответственности: банки, телеком, госучреждения, школы, больницы, цифровые сервисы, ЖКУ (УК/ТСЖ/СНТ), физлица.

Особенности привлечения к ответственности: более 57% — предупреждение (возможно только при первом случае привлечения, признании вины и устранении нарушений).

Основные инициаторы привлечения к ответственности: Роскомнадзор — 72%, прокуратура — 28%.

—

## ФИО и адрес пользователя, оставившего отзыв, могут не быть персональными данными

ИП обратился в суд с заявлением об оспаривании отказа Управления Роскомнадзора по ЦФО в возбуждении дела об административном правонарушении в отношении ООО «ВебСайтСофт».

Заявитель утверждал, что на сайте Otzovik.com, администрируемом ООО «ВебСайтСофт», был размещен отзыв, содержащий его персональные данные и порочащие сведения.

Суд установил, что ФИО в спорной публикации были частично скрыты символами (звездочками), что делает невозможной идентификацию конкретного физического лица.

Также суд выяснил, что указанный в отзыве адрес относится к складским помещениям в Москве, тогда как заявитель зарегистрирован в Туле, следовательно, адрес не является его персональными данными.

Дополнительно было отмечено, что заявитель не предоставил доказательств, подтверждающих его отношение к компании «Роботоп», о которой шла речь в отзыве.

ООО «ВебСайтСофт» выступает информационным посредником (т.е. не является СМИ или соцсетью с аудиторией более 500 тыс./сутки — см. ст.10.6 149-ФЗ) и не несет ответственности за информацию, размещенную третьими лицами, без знания о ее незаконности (см. Постановление Конституционного Суда РФ от 09.07.2013 № 18-П). Ответственность посредника наступает только когда он узнал или должен был узнать о нарушении (получил претензию или запрос Роскомнадзора) и бездействовал.

Суд пришел к выводу, что Роскомнадзор правомерно отказал в возбуждении дела в связи с отсутствием состава и события административного правонарушения по ст. 13.11 КоАП РФ. В удовлетворении заявленных требований ИП было отказано в полном объеме.

*Арбитражный суд Москвы — решение от 07.11.2025г. по делу № А40-236948.*

—

## Передача ПД работника для исполнения трудового договора и выполнения обязанностей работодателя

Фабула дела: В рамках трудового спора работником заявлены аргументы о нарушениях работодателем положений Трудового кодекса при передаче её ПД другой компании, привлеченной для ведения бухгалтерского или налогового учета работодателя, а также арендодателю офисного помещения для оформления пропуска.

Решение суда:

«При приёме на работу работодатель вправе обрабатывать персональные данные сотрудника без его отдельного письменного согласия, если такая обработка требуется для исполнения трудового договора и выполнения обязанностей работодателя (ч. 1 ст. 86 ТК РФ, п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ)».

Позиция по согласию субъекта ПД: не требовалось.

*Савеловский районный суд — решение от 02.07.2025г. по делу № 2-2324/2025.*

—

## Дело РЖД и судебная практика объективного вменения при утечках данных

Девятый арбитражный апелляционный суд (Постановление от 16.02.2026 №09АП-62551/2025) отменил штраф ОАО «РЖД» за утечку данных 17 млн строк.

Суть дела: Роскомнадзор выявил в Telegram-каналах (включая проукраинские хакерские группы) базу данных сотрудников РЖД — более 17 млн строк (ФИО, должности, email). Суд первой инстанции оштрафовал компанию на ₽ 150 тыс. по ч.1 ст.13.11 КоАП РФ, посчитав, что оператор не обеспечил защиту данных.

Линия защиты: РЖД не согласились со штрафом. Их ключевой аргумент: утечка произошла не из-за халатности, а в результате целенаправленной кибератаки. Компания обратилась в МВД и ФСБ, в результате чего было возбуждено уголовное дело по ч.1 ст.272.1 УК РФ (незаконная обработка компьютерной информации, содержащей ПД).

Ключевой вывод суда: апелляция разрушила привычную логику «раз взломали — значит, плохо защищали», сославшись на ч.2 ст.2.1 КоАП РФ (понятие вины юридического лица):

- *Сам факт утечки ≠ вина компании.* Суд указал, что административная ответственность наступает только при наличии вины. Нельзя штрафовать компанию просто за то, что инцидент произошел (объективное вменение). РКН обязан доказать, какие именно меры компания могла принять, но не приняла. - *Субъективная сторона правонарушения.* Суд подчеркнул: в деле нет доказательств того, что РЖД бездействовало. Напротив, доступ к данным получили третьи лица (хакеры) в результате преступления (ст. 272.1 УК РФ). Если воля компании была направлена на защиту, а вред нанесен преступниками, вины оператора в административном смысле нет. - *Презумпция невиновности.* Вывод РКН о единоличной вине РЖД суд назвал преждевременным, пока не завершено расследование уголовного дела о взломе. - *Контекст имеет значение.* Суд принял во внимание напряженную геополитическую обстановку вокруг РФ и рост хакерских атак со стороны недружественных государств как общеизвестный факт, снижающий степень вины атакуемого бизнеса.

—

## Оценка субъективной стороны утечек: запросы судов по делам ГК Орион Телеком

В деле № А74-10378/2025:

- Роскомнадзору необходимо описать меры, которые должно было предпринять общество для защиты информации, но не приняло; - Ответчику необходимо описать и документально подтвердить меры, принятые обществом для защиты информации.

В деле № А33-29369/2025:

- Роскомнадзору необходимо оценить доводы о системах технической защиты, обосновать дату доступа к ИСПД (дата передачи информации), разъяснить что понимается под неправомерной передачей информации и в какой момент правонарушение является оконченным; - Ответчику необходимо представить доказательства принятия всех необходимых мер, направленных на защиту персональных данных (какие меры принимаются превентивно).

—

## Мониторинговый сервис DLBI выиграл суд у мониторингового сервиса Роскомнадзора

Роскомнадзор, использовавший собственную систему мониторинга (АС МПД), настаивал на том, что DLBI выступает посредником, предоставляющим пользователям доступ к нелегальным базам данных (в том числе из Даркнета) без правовых оснований (ч. 1 ст. 13.11 КоАП РФ). Ведомство ссылалось на результаты собственного мониторинга, где зафиксировало функционал поиска по утечкам.

DLBI указал на ошибочность объединения двух разных процессов: обработки данных посетителей сайта (где DLBI является легальным оператором) и работы поискового алгоритма: DLBI не хранит и не обрабатывает ПД в открытом виде (номера телефонов или e-mail). Вместо этого используются хеши (зашифрованные слепки), которые не позволяют восстановить исходную информацию. Кроме того, сам функционал проверки предоставляется не напрямую через сайт, а через партнеров (например, систему «Защитник» от МТС).

Суд отказал в удовлетворении иска Роскомнадзора и указал, что:

- сервис обрабатывает не ПД, но все данные, в которых производится поиск признаков наличия в них ПД пользователей, а Роскомнадзор не смог доказать принадлежность анализируемых сервисом сведений к «персональным данным», охраняемым законом; - деятельность DLBI соответствует мировой практике и направлена на предупреждение об утечках, тогда как система РКН сфокусирована на проверке формального соблюдения закона операторами.

*Арбитражный суд Москвы — решение от 10.12.2025г. по делу А40-201075/25.* Роскомнадзор подал апелляцию в 9 АСС — рассмотрение 10.03.2026г.

—

## Тренды-2025 судебной практики ПД по ст.272.1 УК РФ

- По данным МВД, за десять месяцев 2025 года по ст.272.1 УК РФ зарегистрировано 923 преступления. Многие из этих преступлений до 2025 года квалифицировались по статьям 137, 272, 274 УК РФ. - Кого привлекали больше всего: работников салонов связи, сотрудников правоохранительных органов, МФЦ и налоговых служб, курьеров банков, мед. специалистов. - В 2025 году не было отмечено случаев привлечения к уголовной ответственности DPO. Если DPO совершит преступление, не будет важна его должность для наличия/отсутствия ответственности, это важно лишь для специальных составов. - Под уголовную ответственность могут подпадать и владельцы специальных ботов по проверке/поиску данных — пример Userbox. Преследуют и «серых дата-брокеров». - В чем обычно выражается преступление: слив данных конкретному лицу, схемы с сим-картами, продажи сканов паспортов, фото с компьютеров.

—

## Применение ст.272.1 УК: позиция Минцифры

Кому грозит уголовная ответственность:

- тем, кто незаконно использует, передаёт, собирает и хранит ПД, доступ к которым получен неправомерно; - тем, кто создаёт и обеспечивает работу ресурсов, где хранится и распространяется такая информация.

Под неправомерным доступом понимается незаконное воздействие на серверы, компьютеры и сети для нарушения процесса обработки и хранения ПД. Например, взлом, незаконное проникновение и кража.

Специалистам по кибербезопасности часто приходится выяснять причины и источник утечек. Чтобы лучше противодействовать мошенникам, им приходится иметь дело с незаконно распространяемыми данными. Чтобы ИБ-специалисты могли не бояться уголовного преследования за свою работу, в законе установлены основания, при которых допускается обработка таких ПД. Например, для обеспечения защиты жизни, здоровья и других интересов граждан.

При соблюдении установленных законом условий добросовестные ИБ-компании могут, как и прежде, заниматься защитой ПД.

*[Интернет-публикация Минцифры от 28.07.2025]*

—

## Перспективы 2026–2028: Скучать не придется

—

## Симптомы исчерпания концепции согласия

*(слайд содержит хронологическую схему: 2007 — 2011 — 2022 — 2025)*

—

## Утилизация «культа согласий»

- Институт согласия на обработку персональных данных является морально устаревшим. Эта норма могла быть действенной в начальный период существования Закона № 152-ФЗ, поскольку тогда она предоставляла гражданину и организации, запрашивающей подписание документа, свободу в определении его условий. - Объем предоставляемых гражданами согласий достиг чрезмерных масштабов, что делает практически невозможным эффективный контроль над их обработкой. В сложившейся ситуации необходим переход от текущей модели, при которой для каждого действия каждой организации требуется отдельное разрешение человека, к внедрению отраслевых стандартов и детальному регулированию на уровне целых отраслей.

*Руководитель Роскомнадзора Андрей Липов, 31.10.2025*

- Согласие в законе о персональных данных стоит первым в списке из нескольких равновеликих оснований и, по всей видимости, ошибочно воспринимается как главное. - Однако для компаний неоспоримое преимущество согласия в том, что взять его у человека довольно легко, использование согласия не несет правовых и административных рисков для организации, а в случае отзыва согласия компания без труда подбирает себе иное основание для обработки.

*Замруководителя Роскомнадзора Милош Вагнер, 30.06.2025*

—

## Регуляторная деприоритезация согласий

«Приземление» процесса получения, учета и отзыва согласий на платформу ЕСИА/ЕПГУ [обсуждалось во 2-м пакете мер по противодействию кибермошенничеству («Антифрод-2»)]:

- Предоставление и отзыв согласий на обработку ПД либо непосредственно оператору, либо с использованием ЕСИА — в установленных Правительством РФ случаях и порядке. - Обжалование с помощью ЕПГУ (без)действия оператора в отношении обработки ПД с согласия. - Передача в ЕСИА сведений о всех получаемых согласиях.

Деприоритезация согласий приведет к увеличению издержек и рисков:

- Повышение стандартов получения/отзыва согласия и корреспондирующий рост потенциала оспоримости согласия [ч.1 ст.9 152-ФЗ]. - Квалификация получения согласия вне не предусмотренной законом обязанности как высокорисковой деятельности оператора при осуществлении контроля за обработкой ПД [пп.«в» п.2 прил. к ПП-1046]. - Увеличение стоимости инфраструктуры учета и управления согласиями в рамках интеграции с ЕСИА/ЕПГУ [«Антифрод-2»].

—

## От монополии согласия к монополистической конкуренции

2025: одно согласие, чтоб править всеми

2026–2028:

- Права и законные интересы - Договор с субъектом ПД - Согласие на обработку ПД - Функции, полномочия, обязанности

—

## Согласие как исключение из правила

Получение согласия предпочтительно в ограниченном наборе сценариев, например:

- включение ПД в общедоступные источники [ст.8 152-ФЗ] - обработка специальных категорий ПД [ст.10 152-ФЗ] - распространение ПД [ст.10.1 152-ФЗ] - обработка биометрических ПД [ст.11 152-ФЗ] - прямые маркетинговые/информационные контакты [ст.15 152-ФЗ] - принятие решений на основании автоматизированной обработки [ст.16 152-ФЗ] - передача ПД работника [ст.88 ТК РФ] - получение ПД работника не от него самого [ст.86 ТК РФ]

Обязанность (в недалеком будущем) интеграции с ЕСИА при получении и отзыве согласия.

Согласие на обработку ПД ≠ согласие на поручение обработки ПД (?)

—

## Договор — средство, но не самоцель

Недопустимые условия договора с субъектом ПД:

- обработка ПД на основании договора, когда законом предусмотрено другое основание; - бездействие субъекта ПД в качестве условия заключения договора; - обработка ПД, которые не требуются для заключения и исполнения договора; - передача ПД неопределенному кругу лиц; - избыточный срок обработки ПД; - положения, ограничивающие права и свободы субъекта ПД; - обработка ПД несовершеннолетних в случаях, не предусмотренных законом.

Строгое регулирование заключения, исполнения, изменения и расторжения договоров с потребителями.

Риски признания договора недействительным (в т.ч. по причине противоправности, мнимости, притворности, кабальности).

Проблематика определения обработки ПД как предмета договора.

—

## Туманный законный интерес: понять — значит упростить

- В российском праве нет механизмов оценки и балансировки законности интереса (ЗИ), что не обеспечивает надлежащую предсказуемость и повторяемость результатов оценки ЗИ. - ЗИ оказался в серой зоне: ссылка на него как основание обработки не дает оператору уверенности в законности его действий, а явно незаконная обработка может прикрываться «законными интересами». - Необходима предварительная отрицательная селекция («фильтрация») обработок ПД, которые потенциально создают дисбаланс интересов субъекта ПД и оператора, что требует углубленной оценки применимости ЗИ и возможного принятия дополнительных мер защиты прав и свобод субъектов ПД.

—

## Отраслевые стандарты обработки ПД

Распоряжение Правительства РФ от 14.08.2025 №2207-р о плане реализации концепции противодействия киберпреступности:

- П.1 плана: Роскомнадзор, Минцифры, МВД, Минэкономразвития, Минфин, ФСБ, Росфинмониторинг во взаимодействии с Генеральной прокуратурой, Следственным комитетом и ЦБ к IV кварталу 2026г. должны будут определить объем обрабатываемых персональных данных, необходимых хозяйствующим субъектам для осуществления своей деятельности, а также представить в Правительство РФ соответствующие предложения.

Замруководителя Роскомнадзора Милош Вагнер [30.06.2025]:

- Необходимо сформулировать четкие инструкции соблюдения принципов обработки ПД. Строгие отраслевые стандарты должны определить перечень ПД и сроки их обработки, необходимые именно этому бизнесу именно в этой сфере отношений, что позволит исключить при этом необходимость получения согласия человека на их обработку. - Подобные отраслевые стандарты должны разрабатываться профильными ведомствами по направлению деятельности: здравоохранение, образование, финансы, жилищно-коммунальное хозяйство и прочие — при согласовании с Роскомнадзором.

—

## Возможная структура типового стандарта обработки ПД

Описание процесса и параметров обработки ПД:

- Цель обработки ПД - Правовое основание обработки ПД - Категории субъектов ПД - Перечень обрабатываемых ПД («белый список») - Перечень ПД, ограниченных/запрещенных к обработке («черный список») - Допустимые источники получения ПД для каждой категории субъектов - Сроки обработки (хранения) - Алгоритмы уничтожения ПД - Передача ПД третьим лицам - Особые условия для чувствительной обработки ПД

Требования к обеспечению безопасности ПД:

- Типовой перечень организационных и правовых мер безопасности ПД - Типовой перечень технических мер безопасности ПД

Требования к порядку реализации прав субъектов ПД

—

## Дифференциация операторов ПД

Распоряжение Правительства РФ от 14.08.2025 №2207-р о плане реализации концепции противодействия киберпреступности:

- П.4 плана: МВД, Минцифры, Минэкономразвития, ФСБ, Роскомнадзор во взаимодействии с Генеральной прокуратурой и Следственным комитетом к III кварталу 2027г. должны будут представить предложения о повышении ответственности за нарушение законодательства в области персональных данных и увеличению срока давности привлечения к административной ответственности за такие правонарушения.

Заместитель руководителя Роскомнадзора Милош Вагнер об отложении введения механизма спецоператоров [24.09.2025]:

«Сейчас мы видим всего два препятствия для создания института спецоператоров. Так, крупные компании, которые оказывают услуги по защите персональной информации, завалены заказами на долгое время вперед, и им экономически нецелесообразно оказывать подобные услуги по более низкой стоимости сегменту МСБ».

«Социальная обязанность, конечно, может быть навязана государством в какой-то момент времени. И, наверное, будет навязана. Но бизнес сам должен прийти к этому: каким бы крупным он не был, утекают данные граждан его страны. И когда это понимание произойдет, тогда проект по созданию механизма спецоператоров и будет реализован».

—

## Переход от локализации 2.0 к приземлению обработки ПД

- До конца 2025 года Минцифры и ФСТЭК должны определить условия перехода операторов ПД на использование российского программного обеспечения. Об этом говорится в перечне поручений председателя правительства РФ Михаила Мишустина по итогам конференции ЦИПР. - Минцифры предлагает установить запрет на использование иностранных корпоративных облачных сервисов и программного обеспечения (ПО) в информационных системах обработки ПД с 01.09.2027. - Запрет не коснется малых и средних предприятий, индивидуальных предпринимателей (ИП) и физических лиц. Полной блокировки доступа к иностранному ПО предложением Минцифры также не предусмотрено. - Минцифры предлагает ввести поэтапный запрет на использование для каждой категории и класса таких решений и сервисов с учетом зрелости и конкурентоспособности имеющихся для них российских аналогов, а соответствующие законопроекты разработать совместно с Минпромторгом и другими ведомствами к 01.05.2026. - В Минпромторге согласны с подходом о необходимости поэтапного введения ограничений на использование иностранного ПО в работе государственных органов и объектов критической информационной инфраструктуры (КИИ). Сейчас в России действует запрет на использование иностранных облачных сервисов только для госструктур.

—

## Данные всегда переходят из слабых рук в сильные

01. ✅ Ужесточение юридической ответственности за нарушения ПД

02. ✅ Цифровой оброк для наполнения «госозера» данными

03. ⏳ Деприоритезация согласий как основания обработки ПД

04. ⏳ Минимизация обработки ПД через отраслевые стандарты

05. ⏳ Дифференциация операторов ПД по возможностям обработки ПД

06. ⏳ Переход от локализации 2.0 к приземлению обработки ПД в РФ

Тенденция ближайших лет — концентрация обработки ПД в крупных структурах