Новый режим трансграничной обработки и охраны персональных данных: правовой анализ изменений с 1 июля 2025 года

С 1 июля 2025 года вступили в силу значимые изменения в регулировании обработки персональных данных, затрагивающие как общий порядок трансграничной обработки, так и особенности правового режима данных отдельных категорий лиц, находящихся под государственной защитой.
В условиях цифровизации управления, роста количества онлайн-сервисов и угроз кибербезопасности данные новеллы являются не просто техническим уточнением, а системным усилением режима охраны персональной информации.
Ужесточение трансграничной обработки: новая формула статьи 18 Закона о персональных данных
Федеральным законом от 28.02.2025 № 23-ФЗ изменилась редакция части 5 статьи 18 Закона от 27.07.2006 № 152-ФЗ «О персональных данных», устанавливающая требования к локализации баз данных.
Новая формулировка прямо запрещает операторам производить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием информационных систем, размещённых за пределами Российской Федерации, вне зависимости от места первоначального сбора данных.
Таким образом, утрачивает юридическую значимость прежняя формулировка, обязывавшая операторов лишь «обеспечить использование» российских баз данных.
Новый запрет носит императивный характер, не допускает исключений и ориентирован на жёсткую территориальную привязку обработки.
Юридическое значение новеллы заключается в:
• исключении гибкости трактовки термина «использование»,
• установлении экстерриториального контроля со стороны Роскомнадзора и других регулирующих органов,
• формировании технических и организационных предпосылок для блокировки деятельности несоблюдающих требований субъектов (включая транснациональные IT-компании).
Особые категории защищаемых лиц: режим «повышенной конфиденциальности»
Федеральный закон № 23-ФЗ, а также Постановление Правительства РФ от 25.06.2025 № 957 и совместный Приказ ФСБ, СВР, МО, ФСО и МВД от 25.06.2025, определяют особенности обработки персональных данных следующих категорий лиц:
• сотрудники ФСБ, СВР, ФСО, МВД;
• лица, содействовавшие им на конфиденциальной основе;
• судьи и иные участники правосудия;
• потерпевшие и свидетели в уголовном процессе;
• лица, подлежащие государственной защите.
Для таких лиц вводится особый режим:
1. Обязательные меры технического и правового контроля
Органы вправе выдавать предписания владельцам информационных систем, обязывающие:
• предоставить доступ к базам данных для внесения, актуализации и контроля сведений,
• вносить персональные данные по инициативе органов защиты,
• ограничивать доступ или распространение сведений о защищаемых лицах при наличии угроз.
2. Полномочия на зашифровку и маскирование данных
В рамках оперативно-разыскной деятельности уполномоченные органы вправе:
• изменять информацию в ИС, затрудняя идентификацию личности,
• шифровать сведения о принадлежности к ведомствам,
• приостанавливать распространение сведений в интересах обеспечения конфиденциальности.
Такой подход подтверждает преобладание публичного интереса над автономией оператора, и представляет собой особый правовой режим — режим повышенной информационной закрытости.
Ответственность и институциональные механизмы
Руководитель соответствующего органа определяет перечень должностных лиц, уполномоченных обрабатывать персональные данные защищаемых лиц. Обязанность за сохранность и ответственность за неправомерное использование данных прямо возлагается на оператора, осуществившего обработку.
Важно отметить, что речь идёт не о стандартной модели аутсорсинга, а об установлении жёсткой вертикали контроля, где инициатива, объём доступа и порядок внесения информации контролируются со стороны государства, а не самого оператора.
Заключение: вызовы для правоприменителя
Рассматриваемые изменения требуют от юристов и операторов персональных данных:
• переоценки архитектуры ИТ-систем, с исключением удалённых баз данных за рубежом;
• внедрения процедур разграничения доступа и ограничения распространения информации о сотрудниках органов и защищаемых лицах;
• разработки локальных нормативных актов, учитывающих полномочия государственных органов на доступ и коррекцию информации.
Ожидается усиление надзора со стороны Роскомнадзора и увеличение числа проверок в части трансграничной обработки.
В условиях санкционного давления и цифрового суверенитета российское законодательство последовательно выстраивает модель замкнутого правового пространства персональных данных, где государство реализует не только регулятивную, но и превентивно-защитную функцию.
________________________________________
Подготовлено на основе:
• Федерального закона от 28.02.2025 № 23-ФЗ
• Постановления Правительства РФ от 25.06.2025 № 957
• Приказа ФСБ России № 245, СВР № 56, Минобороны РФ № 399, ФСО № 85, МВД № 411 от 25.06.2025