Разберемся вместе, какие решения подходят под ваши задачи, и поможем сделать правильный выбор
Нужна помощь?
Решения
Детальный анализ изменений 187-ФЗ и проекта Постановления Правительства РФ № 127
Укрепление безопасности КИИ
Услуги
Как бизнесу защититься от киберугроз и не раздуть бюджет
Кейс компании «ДОМА» и УЦСБ SOC
Сервисы
Apsafe
Облачная DevSecOps-платформа для непрерывного анализа защищенности приложений
Планируемые изменения Федерального закона № 152-ФЗ
22 сентября 2025
В целях усиления защиты прав граждан на неприкосновенность частной жизни в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) планируется внесение изменений, направленных на:
В целях усиления защиты прав граждан на неприкосновенность частной жизни в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) планируется внесение изменений, направленных на:
- обеспечение технологической независимости операторов персональных данных (далее – ПДн), усиление цифрового суверенитета Российской Федерации (далее – РФ) и снижение зависимости от иностранных технологий;
- повышение уровня безопасности ПДн граждан РФ, в том числе повышение информационной безопасности (далее – ИБ);
- ужесточение ответственности за нарушения в области обработки ПДн;
- повышение прозрачности процессов обработки ПДн;
- установление особенностей обработки обезличенных ПДн при формировании составов данных и предоставления доступа к ним.
Обеспечение технологической независимости операторов ПДн
1.Правительством РФ дано поручение о внесении изменений в законодательные акты РФ, устанавливающие обязанность операторов ПДн использовать исключительно российское программное обеспечение (далее – ПО) для обработки и хранения данных граждан РФ. На основании поручения должны быть разработаны и утверждены условия перехода операторов ПДн на использование российского ПО для обработки и хранения ПДн граждан РФ.
Изменения планируются до конца 2025 года.
2.Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) предложило установить запрет на использование иностранных корпоративных облачных сервисов и ПО в информационных системах хранения и обработки ПДн для организаций крупного бизнеса.
Планируемый срок изменений 1 сентября 2027 года.
Изменения планируются до конца 2025 года.
2.Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) предложило установить запрет на использование иностранных корпоративных облачных сервисов и ПО в информационных системах хранения и обработки ПДн для организаций крупного бизнеса.
Планируемый срок изменений 1 сентября 2027 года.
Повышение уровня безопасности ПДн граждан РФ
1.В соответствии с Федеральным законом от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты РФ», не допускается обработка и хранение ПДн граждан РФ с использованием баз данных, размешенных за пределами РФ.
Изменения вступили в силу 1 июля 2025 года.
2.В Совете Федерации сенаторы выступили с предложением о подготовке новых законодательных мер для защиты информационной инфраструктуры и ПДн.
Изменения на рассмотрении.
3.В Государственную Думу внесен законопроект «О внесении изменения в статью 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», который пересматривает подход для включения в перечень иностранных государств, обеспечивающих адекватную защиту ПДн граждан РФ.
Изменения на рассмотрении.
Изменения вступили в силу 1 июля 2025 года.
2.В Совете Федерации сенаторы выступили с предложением о подготовке новых законодательных мер для защиты информационной инфраструктуры и ПДн.
Изменения на рассмотрении.
3.В Государственную Думу внесен законопроект «О внесении изменения в статью 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», который пересматривает подход для включения в перечень иностранных государств, обеспечивающих адекватную защиту ПДн граждан РФ.
Изменения на рассмотрении.
Ужесточение ответственности за нарушения в области обработки ПДн
1.Распоряжением Правительства РФ от 14.08.2025 № 2207‑р утвержден план мероприятий по реализации Концепции государственной системы противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий, в соответствии с которым регулирующие органы должны представить предложения о повышении ответственности за нарушение законодательства в области ПДн и увеличению срока давности привлечения к административной ответственности за такие правонарушения.
Изменения вступают в силу в III квартале 2027 года.
2.Руководитель фракции «Справедливая Россия – За правду» в Государственной Думе Сергей Миронов направил председателю правительства РФ Михаилу Мишустину обращение с предложением установить оборотный штраф для бизнеса за первую утечку ПДн.
Изменения на рассмотрении.
Изменения вступают в силу в III квартале 2027 года.
2.Руководитель фракции «Справедливая Россия – За правду» в Государственной Думе Сергей Миронов направил председателю правительства РФ Михаилу Мишустину обращение с предложением установить оборотный штраф для бизнеса за первую утечку ПДн.
Изменения на рассмотрении.
Повышение прозрачности процессов обработки ПДн
1.Ст.2 Федерального закона от 24.06.2025 № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты РФ» дополняет ст.9 152-ФЗ требованием о необходимости оформления согласия на обработку ПДн отдельно от иных документов, которые подписывает субъект ПДн.
Изменения вступили в силу 1 сентября 2025 года.
2.Опубликован законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия правонарушениям, совершаемым с использованием информационно-коммуникационных технологий)», которым предлагается внести изменения в том числе в 152-ФЗ. В случае принятия законопроекта, обработка ПДн будет осуществляться с согласия субъекта ПДн на обработку его ПДн, обязанность получения которого предусмотрена международным договором или федеральным законом. Оператор не вправе требовать дачи согласия на обработку ПДн в случаях, если международным договором РФ или федеральным законом не предусмотрена обязанность получения такого согласия.
Также устанавливается обязанность оператора передавать в единую систему идентификации и аутентификации информацию о факте обработки ПДн.
В случае принятия законопроекта, данные нормы вступят в силу 01.03.2028.
3.Подготовлен законопроект о новой редакции ст.5 152-ФЗ, запрещающий операторам ПДн автоматически обрабатывать ПДн с целью анализа личности и предугадывания интересов, предпочтений и поведения людей без отдельного согласия субъекта ПДн.
Изменения на рассмотрении.
4.Распоряжением Правительства РФ от 14.08.2025 № 2207‑р утвержден план мероприятий по реализации Концепции государственной системы противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий, в соответствии с которым регулирующие органы должны определить объем обрабатываемых ПДн, необходимых хозяйствующим субъектам для осуществления своей деятельности, а также представить в Правительство РФ соответствующие предложения.
Изменения вступят в силу в IV квартале 2026 года.
Изменения вступили в силу 1 сентября 2025 года.
2.Опубликован законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия правонарушениям, совершаемым с использованием информационно-коммуникационных технологий)», которым предлагается внести изменения в том числе в 152-ФЗ. В случае принятия законопроекта, обработка ПДн будет осуществляться с согласия субъекта ПДн на обработку его ПДн, обязанность получения которого предусмотрена международным договором или федеральным законом. Оператор не вправе требовать дачи согласия на обработку ПДн в случаях, если международным договором РФ или федеральным законом не предусмотрена обязанность получения такого согласия.
Также устанавливается обязанность оператора передавать в единую систему идентификации и аутентификации информацию о факте обработки ПДн.
В случае принятия законопроекта, данные нормы вступят в силу 01.03.2028.
3.Подготовлен законопроект о новой редакции ст.5 152-ФЗ, запрещающий операторам ПДн автоматически обрабатывать ПДн с целью анализа личности и предугадывания интересов, предпочтений и поведения людей без отдельного согласия субъекта ПДн.
Изменения на рассмотрении.
4.Распоряжением Правительства РФ от 14.08.2025 № 2207‑р утвержден план мероприятий по реализации Концепции государственной системы противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий, в соответствии с которым регулирующие органы должны определить объем обрабатываемых ПДн, необходимых хозяйствующим субъектам для осуществления своей деятельности, а также представить в Правительство РФ соответствующие предложения.
Изменения вступят в силу в IV квартале 2026 года.
Установление особенностей обработки обезличенных ПДн
Федеральным законом от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» введена ст. 13.1 152-ФЗ, которая регламентирует особенности обработки обезличенных ПДн при формировании составов данных и предоставления доступа к ним.
В целях реализации положений ст.13.1 152-ФЗ принят ряд нормативных правовых актов, регламентирующих особенности обработки обезличенных ПДн при формировании составов данных и предоставления доступа к ним, а именно:
Автор: Виктория Мурзо, аналитик направления аудитов и соответствия требованиям ИБ
В целях реализации положений ст.13.1 152-ФЗ принят ряд нормативных правовых актов, регламентирующих особенности обработки обезличенных ПДн при формировании составов данных и предоставления доступа к ним, а именно:
- постановление Правительства РФ от 24.04.2025 № 538 «Об утверждении перечня случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных», согласно которому Минцифры России формирует составы данных, полученных в результате обезличивания ПДн;
- правила проверки соответствия пользователей Единой информационной платформы национальной системы управления данными (далее – ЕИП НСУД) требованиям, указанным в ч. 7 ст. 13.1 152-ФЗ, утвержденные постановлением Правительства Российской Федерации от 2.05.2025 № 702;
- правила формирования составов обезличенных ПДн и доступ к ним и правила предоставления доступа к составам обезличенных ПДн, утвержденные постановлением Правительства РФ от 26.06.2025 № 961;
- правила взаимодействия Минцифры России с операторами ПДн, а также ЕИП НСУД и ИС операторов ПДн, утвержденные постановлением Правительства РФ от 26.06.2025 № 966;
- постановление Правительства РФ от 01.08.2025 № 1154 «Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных», согласно которому загружать в государственную информационную систему Минцифры России дата-сеты по запросу будут госорганы и компании-операторы данных. В запросе будут указаны методы обезличивания ПДн, которые необходимо использовать;
- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзора) от 19.06.2025 № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9-1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Стоит отметить, что приказ отменяет действие приказа Роскомнадзора от 05.09.2013 № 996, но при этом содержит в себе все те методы по обезличиванию, что были регламентированы в указанном приказе Роскомнадзора. Дополнительно в приказе вводится новый метод преобразования массива ПДн, который можно использовать дополнительно к используемым ранее методам в целях исключения связи между атрибутами ПДн и субъектами ПДн.
Автор: Виктория Мурзо, аналитик направления аудитов и соответствия требованиям ИБ
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных