employee
The article discusses current issues of legal regulation of personal data protection in the context of digitalization of public relations. It analyzes the latest changes in Russian legislation on personal data, including the tightening of administrative liability for operators, the introduction of new requirements for notifying authorized bodies, and the expansion of opportunities for processing anonymized data without the consent of personal data subjects. Special attention is paid to the legal risks arising from the development of artificial intelligence technologies, automated decision-making, and big data processing. The key challenges of modern legal regulation are identified, which are caused by the technological advancements ahead of legislation, mass personal data leaks, cross-border information transfer, and the uncertainty of operators' liability criteria. The need for a comprehensive approach to minimizing legal risks is substantiated, which includes improving legislation, developing law enforcement practices, and enhancing the legal literacy of participants in digital relations.
personal data; digitalization; information protection; legal risks; anonymized data; administrative liability; personal data operator; artificial intelligence
Цифровизация всех сфер общественной жизни привела к существенному увеличению объемов, собираемых и обрабатываемых персональных данных, а также к усложнению способов их использования. В условиях активного внедрения цифровых платформ, технологий искусственного интеллекта и анализа больших данных особую значимость приобретает проблема правового обеспечения защиты персональных данных. Нарушения в данной сфере способны повлечь не только имущественный и моральный вред гражданам, но и подорвать доверие к государственным и коммерческим цифровым сервисам.
Базовым нормативным правовым актом, регулирующим отношения, связанные с обработкой персональных данных, в настоящее время является Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[1]. Важно отметить, что сегодня в сфере регулирования отношений, связанных с обработкой персональных данных, произошли самые существенные изменения. Эти изменения, вступили в силу поэтапно и в целом ужесточили требования, ответственность и контроль в сфере обработки персональных данных.
Рассмотрим наиболее значимые изменения:
1)Федеральный закон от 30 ноября 2024 г. № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»[2]. Указанным законом были значительно увеличены размеры административных штрафов, предусмотренных статьей 13.11 КоАП РФ, для физических, должностных и юридических лиц. Кроме того, указанная статья была дополнена частями 10-18, устанавливающими ответственность за неисполнение или несвоевременное исполнение обязанности оператора по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных.
2)Федеральный закон от 28 февраля 2025 г. № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации» внес изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ и иные нормативные правовые акты, определив особенности обработки персональных данных сотрудников органов федеральной службы безопасности, внешней разведки, государственной охраны, внутренних дел, а также лиц, подлежащих государственной защите[3]. Закон закрепил право соответствующих органов направлять обязательные для исполнения предписания владельцам информационных систем и баз данных о предоставлении доступа к ним в целях обработки персональных данных указанных категорий лиц.
3) Существенное значение для практики обработки персональных данных имеет Федеральный закон от 24 июня 2025 г. № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации», которым установлено требование об отдельном оформлении согласия на обработку персональных данных, не допускающем его включение в иные документы[4].
4) Федеральный закон от 8 августа 2024 г. № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» закрепил возможность обработки надлежащим образом обезличенных персональных данных без получения согласия субъекта с 1 сентября 2025 г.[5]. Указанный закон дополнил Федеральный закон от 27 июля 2006 г. № 152-ФЗ новой статьей 13.1, регламентирующей обращение с обезличенными персональными данными и вводящей понятие «состав обезличенных данных». Законодатель также предусмотрел механизм обязательного предоставления обезличенных данных в государственную информационную систему по требованию Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, при одновременном запрете использования биометрических персональных данных в таких целях.
Несмотря на активное развитие нормативного регулирования, в сфере защиты персональных данных сохраняется ряд системных правовых вызовов.
1.Одним из них является технологическое опережение правового регулирования. Законодательство о персональных данных, в частности Федеральный закон № 152-ФЗ, разрабатывалось и принималось в условиях иного уровня цифровизации и сегодня не всегда учитывает современные способы обработки данных, такие как: машинное обучение и анализ больших данных (Big Data); автоматизированное принятие решений; использование нейросетей и рекомендательных алгоритмов; обработка поведенческих и производных данных.
В результате возникают правовые неопределённости в части:
- отнесения новых типов информации к персональным данным;
- допустимости вторичной обработки данных;
- оценки законности алгоритмической обработки без прямого участия человека.
Это создаёт риски как для операторов персональных данных, так и для субъектов, чьи права могут быть нарушены в отсутствие чётких правовых гарантий.
2. Серьёзной проблемой остаётся расширение понятия персональных данных и сложность их идентификации. Использование косвенных цифровых идентификаторов позволяет осуществлять повторную идентификацию личности даже на основе обезличенных сведений, что затрудняет разграничение персональных и неперсональных данных.
С правовой точки зрения существует проблема: определения момента, когда обезличенные данные перестают быть таковыми; разграничения персональных данных и технической информации; оценки риска повторной идентификации субъекта.
Отсутствие единых критериев порождает неоднородную правоприменительную практику и повышает риск привлечения операторов к ответственности.
3. Массовые утечки персональных данных и коллективный вред. Одной из наиболее острых проблем является массовый характер утечек персональных данных, при котором ущерб причиняется неопределённому кругу лиц. Правовые сложности в данной сфере связаны с тем, что:
- трудно установить конкретный объём вреда каждому субъекту;
- отсутствуют эффективные механизмы коллективной защиты прав;
- судебная практика по компенсации морального вреда остаётся противоречивой.
Кроме того, существующая система ответственности часто не соразмерна реальным последствиям утечек, что снижает превентивную функцию права.
4. Трансграничная передача и локализация персональных данных
В условиях глобализации цифровых сервисов особое значение приобретает проблема трансграничной передачи персональных данных. Введение требований о локализации данных граждан РФ усилило правовую защиту, однако породило новые вызовы:
- необходимость технической перестройки IT-инфраструктуры;
- правовые коллизии с международными обязательствами;
- сложности для образовательных, научных и коммерческих платформ, использующих зарубежные сервисы.
Операторы вынуждены балансировать между требованиями национального законодательства и логикой глобальной цифровой экономики.
5. Рост ответственности операторов и неопределённость критериев вины. Ужесточение административной ответственности за нарушения в сфере персональных данных сопровождается нечеткостью критериев оценки добросовестности оператора. В частности, остаётся дискуссионным вопрос:
- какие меры безопасности считаются достаточными;
- где проходит граница между технической ошибкой и правонарушением;
- как учитывать влияние человеческого фактора.
Это повышает регуляторные риски и создаёт правовую неопределённость для организаций, даже при наличии формально выстроенной системы защиты данных.
6. Автоматизированные решения и дискриминационные риски. Использование алгоритмов и искусственного интеллекта при обработке персональных данных формирует новый пласт правовых вызовов, связанных с: непрозрачностью алгоритмов; невозможностью объяснить логику принятия решений; риском дискриминации отдельных групп лиц.
Действующее российское законодательство пока не содержит комплексного регулирования автоматизированных решений, что ограничивает возможности защиты прав субъектов персональных данных.
7. Недостаточная правовая грамотность участников цифровых отношений. Отдельным системным вызовом остается низкий уровень правовой и цифровой грамотности как субъектов персональных данных, так и отдельных операторов. Это приводит к:
- игнорированию требований законодательства;
- формальному подходу к защите данных;
- слабому использованию правовых механизмов защиты.
Таким образом, защита персональных данных в условиях цифровизации представляет собой комплексную и многоуровневую задачу современного правового регулирования. Российское законодательство последовательно развивается в направлении усиления защиты прав субъектов персональных данных и повышения ответственности операторов, однако эффективность этих мер во многом зависит от качества правоприменительной практики, уровня информационной безопасности и правовой культуры участников цифровых отношений. Минимизация правовых рисков в данной сфере возможна лишь при интеграции правовых, технических и организационных механизмов защиты персональных данных.
1. O personal'nyh dannyh. Federal'nyy zakon ot 27 iyulya 2006 g. № 152-FZ // Sobranie zakonodatel'stva Rossiyskoy Federacii ot 31 iyulya 2006 g. № 31 (chast' I) st. 3451. DOI: https://doi.org/10.1353/abr.2006.0111
2. O vnesenii izmeneniy v Kodeks Rossiyskoy Federacii ob administrativnyh pravonarusheniyah. Federal'nyy zakon ot 30 noyabrya 2024 g. № 420-FZ // Sobranie zakonodatel'stva Rossiyskoy Federacii, 2 dekabrya 2024 g. № 49 (chast' IV) st. 7411.
3. O vnesenii izmeneniy v Federal'nyy zakon «O personal'nyh dannyh» i otdel'nye zakonodatel'nye akty Rossiyskoy Federacii. Federal'nyy zakon ot 28 fevralya 2025 g. № 23-FZ // Sobranie zakonodatel'stva Rossiyskoy Federacii, 3 marta 2025 g. № 9 st. 852.
4. O sozdanii mnogofunkcional'nogo servisa obmena informaciey i o vnesenii izmeneniy v otdel'nye zakonodatel'nye akty Rossiyskoy Federacii. Federal'nyy zakon ot 24 iyunya 2025 g. № 156-FZ // Sobranie zakonodatel'stva Rossiyskoy Federacii, 30 iyunya 2025 g. № 26 (chast' I) st. 3486.
5. O vnesenii izmeneniy v Federal'nyy zakon «O personal'nyh dannyh» i Federal'nyy zakon «O provedenii eksperimenta po ustanovleniyu special'nogo regulirovaniya v celyah sozdaniya neobhodimyh usloviy dlya razrabotki i vnedreniya tehnologiy iskusstvennogo intellekta v sub'ekte Rossiyskoy Federacii - gorode federal'nogo znacheniya Moskve i vnesenii izmeneniy v stat'i 6 i 10 Federal'nogo zakona «O personal'nyh dannyh». Federal'nyy zakon ot 8 avgusta 2024 g. № 233-FZ // Sobranie zakonodatel'stva Rossiyskoy Federacii, 12 avgusta 2024 g. № 33 (chast' I) st. 4929.
