НЦЗПД подвел итоги 2025 года: количество жалоб выросло на 10,5%

В 2025 году в Национальный центр защиты персональных данных (НЦЗПД) поступило 580 жалоб – на 10,5% больше, чем в 2024 году. Более половины жалоб признаны обоснованными, в отношении организаций-операторов приняты меры реагирования. «ЭГ» изучила годовой отчет регулятора, чтобы понять, как он взаимодействовал с бизнесом и на что обратить внимание в 2026 году.

Обращения граждан и организаций

В 2025 г. НЦЗПД получил почти 1,5 тыс. обращений граждан и организаций по вопросам разъяснения законодательства о персональных данных – на 12,1% больше, чем в 2024 г. (см. график).

Наиболее популярные темы:

• правовые основания обработки персональных данных (получение согласия, обработка персональных данных в рамках договорных отношений, исполнения обязанностей);

• видеонаблюдение и аудио­запись;

• размещение персональных данных на сайтах, в соцсетях и мессенджерах;

• запрос и предоставление данных третьим лицам;

• защита данных с учетом специфики деятельности операторов;

• определение правового статуса оператора и уполномоченного лица;

• трансграничная передача данных, в т.ч. в мессенджерах.

Наибольшее количество жалоб связано с обработкой персональных данных в торговле и сфере услуг – доля в общем массиве жалоб за год выросла с 33% до 38,4%. Основные жалобы: получение нежелательной рекламы; сбор избыточной личной информации (например, сбор копий документов при участии в программах лояльности); запись разговоров без согласия; видеофиксация, ограничение прав субъектов персональных данных (включая невозможность отозвать согласие на их обработку).

В банках, финансовых и страховых организациях обработка персональных данных вызвала 6,2% жалоб от общего числа.

Доля жалоб на работодателей при обработке персональных данных работников снизилась до 6%.

Часто поступали жалобы на нарушения при видеонаблюдении и аудиомониторинге на рабочих местах (16,2%), предоставление данных работников третьим лицам (33,1%), обработку без правовых оснований (15,6%), незаконный сбор копий документов (3,7%).

Проверки и контроль

В 2025 г. НЦЗПД провел 46 проверок операторов (плановые, внеплановые и камеральные).

Планово проверено 9 организаций, внепланово – 6.

Причины внеплановых проверок:

• жалобы граждан;

• уведомление оператора о нарушении системы защиты персональных данных;

• анализ интернет-сайтов.

Особенности проверок

Важно, что по результатам внеплановых проверок выносились предписания не только об устранении выявленных нарушений, но и о приостановлении обработки персональных данных в информационном ресурсе (системе) в связи с нереализацией (ненадлежащей реализацией) обязательных мер по обеспечению защиты персональных данных.

Также проведена 31 камеральная проверка. Большинство касалось информации на сайтах вузов (17 проверок) и при направлении компаниями СМС и Viber-сообщений (8 мероприятий).

Взаимодействие операторов и уполномоченных лиц

НЦЗПД обращает внимание на необходимость надлежащего контроля оператора за подрядчиками в случае передачи им в работу персональных данных. Ведь полнота ответственности по закону остается на операторе, а почти 40% нарушений систем защиты персональных данных в 2025 г. произошли по вине подрядчиков.

Операторы, как правило, допускают следующие нарушения:

• договоры с уполномоченными лицами составлены без учета положений п. 2 ст. 7 Закона от 07.05.2021 № 99-З «О защите персональных данных»;

• не производится оценка предоставленных подрядчиками гарантий принятия мер по защите данных;

• не осуществляется контроль за обработкой персональных данных уполномоченными лицами.

Привлечение к ответственности за нарушение законодательства о персональных данных

Нарушение законодательства о персональных данных может повлечь за собой как административную, так и уголовную ответственность.

Однако НЦЗПД не является органом, ведущим административный процесс, поэтому информация по признакам административных правонарушений направлялась в органы внутренних дел. В 2025 г. это произошло в 39 случаях (в 2024 г. – в 75). Большая часть материалов была направлена по ст. 23.7 КоАП «Нарушение законодательства о защите персональных данных». В семи случаях усмотрены признаки уголовно наказуемых деяний (возникли сомнения в подлинности подписей субъектов персональных данных в согласиях на обработку). Соответствующие материалы направлены в органы внутренних дел для решения вопроса о проведении проверки в рамках уголовно-процессуального законодательства.

Добровольный аудит

В 2025 г. организован добровольный аудит соблюдения требований законодательства о персональных данных по запросу пяти операторов, осуществляющих масштабную обработку персональных данных из различных сфер (банковской, торговли и общественного питания, организация-застройщик, сетевое издание).

Такие мероприятия позволяют получить экспертное мнение о соблюдении законодательства о персональных данных без риска вынесения обязательного для исполнения требования об устранении нарушений и привлечения оператора (его должностных лиц) к административной ответственности. По итогам проведения аудита направляются рекомендации, которые в отличие от требований об устранении нарушений по итогам проверок не являются обязательными.

В ходе проведения аудита НЦЗПД не только указывает на нарушения законодательства о персональных данных, но и предлагает конкретные алгоритмы по их устранению. Подробнее о проведении аудита можно узнать на сайте регулятора.

Риски компаний

Учитывая повышение правовой осведомленности граждан, бизнесу не стоит ограничиваться разработкой необходимых документов и формальным назначением ответственных за внутренний контроль. Шанс стать объектом проверки регулятора статистически не очень велик, однако риск возникновения инцидента, связанного с утечкой данных (особенно по вине подрядчика), или поступления жалобы от физлица на незаконную обработку его данных сейчас достаточно вероятен.