2025 год ознаменовал изменение тренда обработки персональных данных в сторону ужесточения регулирования. Появились новые нормы, запреты и ограничения, ужесточился контроль за их исполнением.
Судебная практика по спорам, связанным с обработкой персональных данных, продолжила формироваться и демонстрировать типичные ошибки, допускаемые компаниями.
Продолжая наш ежегодный обзор трендов практики защиты персональных данных, ниже приведем ключевые кейсы 2025 года, иллюстрирующие наиболее распространенные проблемные ситуации.
- Передача данных третьим лицам без надлежащего согласия.
Показательным является дело ПАО «ТНС энерго Н. Новгород» против Управления Роскомнадзора по ПФО. Поводом обращения в суд послужила жалоба клиента, после которой регулятор выдал предписание о недопущении нарушений закона о персональных данных. В частности, компании указано прекратить передачу персональных данных клиента третьим лицам и усилить внутренний контроль за соблюдением законодательства. ТНС энерго попыталось оспорить это требование, но суды всех инстанций встали на сторону Роскомнадзора. Арбитражный суд Нижегородской области установил, что предписание соответствует закону и не нарушает прав компании, отказав в признании его недействительным. Апелляция и кассация оставили это решение без изменения [1].
В ходе разбирательства выяснилось, что компания передавала данные клиента контрагенту без прямого согласия субъекта. Суды подчеркнули: обработка персональных данных допустима лишь при наличии однозначного согласия субъекта или иной законной основы, и общий договор энергоснабжения не может служить оправданием передачи данных сторонним организациям. Данный кейс демонстрирует, что передача сведений о клиентах третьим лицам без явно выраженного согласия незаконна, даже если такая передача продиктована договорными отношениями с клиентом.
- Избыточный сбор персональных данных (биометрия без необходимости).
Ещё один важный пример – спор ООО «Компания Стройгрупп» против налогового органа (МИ ФНС № 3 по Московской области) из-за требования предоставить фотографию заявителя при выдаче квалифицированного сертификата электронной подписи. Налоговая инспекция отказала компании в выдаче сертификата, поскольку представитель заявителя отказался фотографироваться и подписывать форму согласия, содержащую спорные условия. В иске компания потребовала признать незаконными действия инспекции, указывая что включение фотографии в перечень запрашиваемых персональных данных не соответствует целям обработки при оказании государственной услуги. Первоначально Арбитражный суд Московской области в иске отказал, однако Десятый арбитражный апелляционный суд встал на сторону заявителя. Апелляция отменила решение первой инстанции, признала требования фотографирования незаконными и обязала налоговый орган выдать электронный сертификат без сбора излишних данных. Налоговая инспекция пыталась обжаловать это решение, ссылаясь на необходимость идентификации, однако суд кассационной инстанции оставил апелляционное постановление в силе, указав на недопустимость сверх необходимого сбора персональных данных [2].
Кейс подчёркивает: организациям запрещено требовать у клиентов лишние персональные данные (тем более биометрические), не обусловленные прямой необходимостью, иначе такие требования могут быть успешно оспорены как незаконные.
- Отказ госоргана предоставить данные, необходимые бизнесу.
Интересным примером является дело регионального оператора по обращению с отходами ООО «Экоград-Н» против ГУ МВД по Ростовской области. Компания, являясь оператором коммунальной услуги по вывозу твёрдых отходов, обратилась к МВД с запросом сведений о собственниках и зарегистрированных жильцах ряда домов (ФИО, дата рождения, паспортные данные) – эти данные были нужны для корректировки лицевых счетов потребителей, правильного начисления платы и взыскания задолженностей. МВД отказало, сославшись на режим конфиденциальности и особые условия (в т.ч. наличие в регионе военных объектов и действие режима СВО) и посчитав, что предоставление адресных данных нарушит права третьих лиц на защиту их персональных данных. Компания оспорила отказ в арбитражном суде. Суд первой инстанции признал отказ незаконным и обязал МВД предоставить запрошенную информацию, с чем согласилась апелляция. Северо-Кавказский округ в постановлении от 29.08.2025 № Ф08-5231/2025 оставил эти решения без изменения (дело № А53-44826/2024) [3]. Суд кассационной инстанции подчеркнул, что запрошенные сведения необходимы оператору для исполнения возложенных на него законом обязанностей, и ссылка полиции на защиту данных третьих лиц необоснованна, поскольку закон прямо разрешает предоставлять адресно-справочную информацию в подобных случаях.
Этот кейс показывает, что ограничение доступа к персональным данным со стороны госорганов не должно создавать препятствий законной деятельности компаний. Иными словами, баланс интересов подразумевает предоставление необходимых данных тем, кто вправе их получать в силу закона или договора – отказ под предлогом общей конфиденциальности может быть признан судом неправомерным.
- Согласие на рекламу и права клиентов.
Российская судебная практика строго исходит из того, что использование персональных данных в рекламных и маркетинговых рассылках допускается только при наличии отдельного, информированного и недвусмысленного согласия субъекта. Так, клиент АО «Газпромбанк», отказавшийся от рекламной рассылки и участия в программе лояльности при заключении договора, успешно отстоял своё право не получать маркетинговые сообщения. Определением Шестого кассационного суда общей юрисдикции от 26.08.2025 (дело № 88-15087/2025) установлено, что проставление клиентом отметки «не согласен» лишает банк и его партнёров права направлять ему какие-либо рекламные предложения. Суд подчеркнул: само по себе предложение оформить согласие на рекламу не противоречит закону, однако отправка сообщений без добровольного согласия адресата недопустима. Таким образом, компаниям следует максимально прозрачно и дробно получать согласия на каждую маркетинговую активность (e-mail-рассылку, SMS-сообщение, телефонный звонок, push-уведомление, передачу данных третьим лицам и т.д.), иначе высок риск привлечения внимания регуляторов и судов, которые последовательно стоят на защите права граждан не получать рекламу без их разрешения.
Выводы
Анализ судебной практики 2025 годов в сфере персональных данных показывает, что суды последовательно отстаивают принципы закона 152-ФЗ. Требования регуляторов по устранению нарушений чаще всего признаются обоснованными, если компания действительно не соблюдала нормы (как в случае с передачей данных без согласия). Суды готовы защищать права субъектов данных – будь то клиенты или сотрудники – от избыточного сбора информации и навязанных условий. Одновременно отмечается и защита законных интересов добросовестных компаний: когда организация действует в рамках закона и нуждается в данных для выполнения своих обязательств, отказ госоргана предоставить такую информацию может быть признан незаконным. Таким образом, практика споров акцентирует: персональные данные должны обрабатываться строго в правовых рамках, и отклонения от этих рамок неизбежно влекут правовые риски.
[1] Постановление Арбитражного суда Волго-Вятского округа от 23.08.2024 по делу № А43-25737/2023.
[2] Постановление Арбитражного суда Московского округа от 05.02.2025 № Ф05-30737/2024 по делу № А41-98381/2023.
[3] Постановление Арбитражного суда Северо-Кавказский округа от 29.08.2025 № Ф08-5231/2025 по делу № А53-44826/2024.
Автор
Анастасия Полежаева
- Старший юрист
