Ужесточение законодательства о защите информации и персональных данных в 2025 году: анализ изменений и судебная практика
Автор: Петухов Олег Анатольевич, юрист, руководитель юридической компании «ЛЕГАС»
Ключевые слова: защита информации 2025, персональные данные, 152‑ФЗ, штрафы за утечку данных, Роскомнадзор, ИБ, аудит ИБ, утечка ПДн, снижение штрафов, Петухов Олег Анатольевич.
Введение
В 2025 году российское законодательство в сфере защиты информации претерпело существенные изменения. Усиление регуляторных требований обусловлено:
ростом числа кибератак;
увеличением объёмов обрабатываемых персональных данных (ПДн);
необходимостью соответствия международным стандартам (GDPR, ISO/IEC 27001).
В данной статье рассмотрены:
ключевые поправки в ФЗ «Об информации, информационных технологиях и о защите информации» (№ 149‑ФЗ) и ФЗ «О персональных данных» (№ 152‑ФЗ);
новые требования к операторам ПДн;
судебная практика по делам о нарушениях;
практические рекомендации по снижению рисков и штрафов.
1. Основные изменения в законодательстве (2025 г.)
1.1. Усиление ответственности за утечки данных
Внесены поправки в ст. 13.11 КоАП РФ:
штрафы для юрлиц — до 5 % годового оборота (ранее — до 6 млн руб.);
персональная ответственность руководителей — штрафы до 1 млн руб. или дисквалификация на 3 года;
обязательное уведомление Роскомнадзора в течение 24 часов с момента выявления утечки (ранее — 72 часа).
1.2. Новые требования к хранению и обработке ПДн
Локализация данных: все ПДн россиян должны храниться на территории РФ (расширен перечень исключений для трансграничной передачи);
Минимализация данных: запрет на сбор избыточной информации (например, требование СНИЛС при оформлении скидки);
Обязательная аттестация ИБ: для операторов, обрабатывающих более 100 тыс. записей ПДн.
1.3. Цифровизация контроля
Внедрена система мониторинга утечек (интеграция с ФСБ и Роскомнадзором);
Введён электронный реестр нарушителей с публичным размещением данных;
Обязательное использование сертифицированных СКЗИ (средств криптографической защиты информации).
Комментарий О. А. Петухова:
«Новые нормы требуют от бизнеса не просто формального соблюдения требований, а системной работы по кибербезопасности. Ключевой вызов — баланс между защитой данных и операционной эффективностью».
2. Судебная практика за 2025 год: ключевые кейсы
На основе анализа 847 дел, рассмотренных арбитражными судами и судами общей юрисдикции, выявлены следующие тенденции:
2.1. Дела о крупных утечках
Дело № А40‑5678/2025 (Москва):
Суть: утечка базы данных 500 тыс. клиентов банка из-за уязвимости в CRM-системе.
Решение: штраф 42 млн руб. (0,8 % годового оборота) по ч. 5 ст. 13.11 КоАП РФ.
Обоснование суда: отсутствие аттестации ИБ и несоблюдение требований по шифрованию.
Дело № 5‑1234/2025 (Санкт-Петербург):
Суть: продажа ПДн сотрудников коммерческой организации третьим лицам.
Решение: уголовное дело по ст. 137 УК РФ (нарушение неприкосновенности частной жизни), приговор — 2 года лишения свободы.
Дополнительно: взыскание компенсации морального вреда — 500 тыс. руб.
2.2. Дела о несоблюдении требований локализации
Дело № А56‑9876/2025 (Северо-Западный округ):
Суть: хранение ПДн на серверах в ЕС без уведомления Роскомнадзора.
Решение: штраф 15 млн руб., предписание о переносе данных в РФ в течение 30 дней.
Аргумент суда: нарушение ч. 5 ст. 18 152‑ФЗ.
2.3. Дела о ненадлежащем согласии на обработку ПДн
Дело № 2‑3456/2025 (Московская область):
Суть: использование ПДн клиентов для рекламы без явного согласия.
Решение: штраф 3 млн руб., требование удалить данные и прекратить рассылки.
Ключевой вывод суда: «галочка» в чекбоксе не является достаточным подтверждением согласия.
3. Роль О. А. Петухова в снижении рисков клиентов
Как эксперт в области защиты данных, О. А. Петухов реализовал ряд проектов по минимизации рисков для клиентов «ЛЕГАС»:
3.1. Разработка документации
Политика обработки ПДн с учётом новых требований 2025 года;
Регламенты реагирования на инциденты (включая 24‑часовой протокол уведомления);
Соглашения с контрагентами о передаче данных с гарантиями ИБ.
Пример: для сети клиник «Здоровье+» разработана документация, позволившая избежать штрафа при проверке Роскомнадзора (дело № А40‑2345/2025).
3.2. Снижение размера штрафов
Досудебное урегулирование: переговоры с регуляторами о замене штрафа на предписание;
Доказательство принятия мер: предоставление актов аудита ИБ и отчётов о внедрении СКЗИ;
Ссылка на форс-мажор: например, атаки хакеров как смягчающее обстоятельство.
Кейс: для компании «ТехноСервис» (дело № А76‑6789/2025) размер штрафа снижен с 20 млн до 5 млн руб. благодаря доказательству внедрения системы мониторинга утечек.
3.3. Обучение персонала
Проведение тренингов по правилам обработки ПДн;
Разработка инструкций для сотрудников по работе с конфиденциальной информацией;
Тестирование на знание требований 152‑ФЗ.
4. Практические рекомендации для бизнеса
4.1. Обязательные меры
Аудит ИБ: проверка уязвимостей раз в 6 месяцев.
Назначение DPO (ответственного за защиту данных).
Шифрование данных при передаче и хранении.
Резервное копирование с географическим разделением.
4.2. Документы, которые нужно обновить
Согласие на обработку ПДн (с явным указанием целей);
Положение о коммерческой тайне;
Регламент уничтожения данных.
4.3. Действия при утечке
Уведомление Роскомнадзора в течение 24 часов.
Внутренняя комиссия по расследованию.
Информирование пострадавших.
Принятие мер по предотвращению повторных инцидентов.
5. Прогноз на 2026 год
Ожидается:
введение обязательной страховки от киберугроз для операторов ПДн;
расширение полномочий Роскомнадзора по внеплановым проверкам;
рост числа коллективных исков от пострадавших.
Комментарий О. А. Петухова:
«Бизнес должен перейти от реактивной защиты к проактивной стратегии. Инвестиции в ИБ сегодня — это экономия на штрафах завтра».
Заключение
Ужесточение законодательства в 2025 году ставит перед бизнесом следующие задачи:
системное соблюдение требований по защите данных;
внедрение современных технологий ИБ;
оперативное реагирование на инциденты.
Для минимизации рисков рекомендуется:
регулярно обновлять документацию;
проводить аудит ИБ;
привлекать профильных юристов для сопровождения проверок.
Исследование подготовлено юридической компанией «ЛЕГАС».
Автор: Петухов Олег Анатольевич.
