Давайте разберемся, какие изменения ждут нас в области обработки персональных данных, какие меры стоит предпринять заранее и как избежать неприятностей с Роскомнадзором. С 30 мая 2025 года в России вступают в силу новые требования к обработке персональных данных. Это означает, что бизнесу — от маленьких интернет-магазинов до крупных компаний — придется пересмотреть процессы сбора, хранения и использования данных клиентов и сотрудников. Нарушение этих обновленных правил может привести к серьезным штрафам.
Изменения, которые ожидают предпринимателей
Новые изменения в законодательстве коснутся почти всех предпринимателей. Основные аспекты изменений связаны с локализацией баз данных, использованием cookie и ответственностью за утечки информации. Теперь бизнесу необходимо будет более строго следовать требованиям по обработке персональных данных и учитывать повышенные штрафы. Например, несвоевременное уведомление об утечке может обернуться миллионами рублей убытков, а за повторные нарушения будут введены штрафы, зависящие от выручки компании.
Адаптация баз данных к местным условиям
Теперь операторы данных обязаны не только собирать, но и хранить и обрабатывать информацию исключительно на территории России.
Правила локализации касаются компаний, использующих иностранные сервисы для сбора и обработки пользовательских данных, такие как облачные хранилища, Google Forms и Google Analytics.
Также под действие этих правил попадают организации, применяющие зарубежные IT-решения, если их серверы расположены за пределами РФ. Кроме того, это касается тех, кто передает данные о пользователях за границу при заключении сделок с иностранными партнерами.
Ранее закон требовал проводить в России только первичную обработку данных, позволяя их последующую передачу на зарубежные серверы. Теперь такая практика станет недопустимой. Вся инфраструктура для сбора, хранения и обработки данных должна находиться в России.
Контроль за соблюдением закона будет осуществляться Роскомнадзором через автоматизированную систему «Ревизор», которая следит за местоположением серверов и анализирует трафик.
Трансграничная передача данных возможна, но только при наличии официального разрешения от Роскомнадзора. Например, туристическая компания может передавать информацию о клиентах принимающей стороны за границей, но для этого ей необходимо заранее уведомить регулятора и внести данные в Реестр трансграничных передач.
Cookie
Хотя в законодательстве нет явного упоминания о cookie, Роскомнадзор на практике часто рассматривает их использование как сбор персональных данных.
Сайты по-прежнему обязаны запрашивать согласие на сбор cookie с помощью баннеров, которые появляются при первом посещении.
Пользователи должны иметь возможность выбирать, какие данные они готовы предоставить — аналитические, рекламные или технические.
Также должна быть возможность полностью отказаться от сбора cookie, за исключением тех, которые необходимы для функционирования сайта.
Если cookie содержат идентифицирующую информацию, их обработка должна осуществляться на территории Российской Федерации.
Ответственность за нарушение безопасности персональных данных
Административная ответственность за утечки данных становится более строгой. Изменения затрагивают статью 13.11 Кодекса об административных правонарушениях РФ, в которой введены новые виды наказаний и принципы их определения.
Ответственность наступает в следующих случаях:
• отсутствие уведомления Роскомнадзора о произошедшей утечке;
• неправомерная передача информации третьим лицам без согласия субъекта данных;
• халатность оператора, приведшая к утечке;
• недостаточные меры по защите персональных данных — если организация не соблюдала требования в области информационной безопасности.
Кроме того, если электронный оператор уже был наказан за подобные нарушения, ему будут назначены штрафы, зависящие от выручки компании.
Размеры штрафов для юридических лиц и ИП
Как избежать штрафов за утечку персональных данных
Чтобы избежать финансовых потерь и сохранить репутацию, компаниям необходимо подготовиться, внедрив надежные меры защиты.
Локализация баз данных в России
Если сайт размещен за границей, его следует перенести на отечественный сервер. Также важно проверить, где обрабатывается пользовательская информация. При использовании CRM, аналитических инструментов, почтовых сервисов или облачных хранилищ необходимо уточнить их географию.
Если отказаться от иностранного инструмента невозможно, следует убедиться, что обработка пользовательских данных осуществляется на территории России.
При необходимости трансграничной передачи данных обязательно нужно уведомить Роскомнадзор.
Обеспечение защиты пользовательской информации
Компании должны не только хранить информацию в России, но и защищать ее от утечек. Это можно сделать с помощью надежного шифрования, многофакторной аутентификации для сотрудников и регулярного обновления программного обеспечения, особенно антивирусных систем. Также полезно ограничить доступ к информации, предоставляя его только тем, кому это действительно необходимо.
Настройка cookie
Необходимо предоставить пользователям возможность отказаться от обработки cookie и разделить эти данные на категории. Если cookie содержат идентифицирующую информацию, хранить ее следует исключительно на российских серверах.
Заключение
В заключение, с 30 мая вступают в силу новые требования к обработке и хранению личной информации пользователей, которые значительно ужесточают правила для компаний. Все данные должны храниться и обрабатываться исключительно на территории России, а для передачи сведений за границу необходимо получать одобрение от Роскомнадзора. Важно отметить, что файлы cookie теперь считаются персональными данными, если они содержат уникальные идентификаторы. Несоблюдение этих требований может привести к серьезным последствиям, включая миллионные штрафы за несообщение о факте утечки данных и оборотные взыскания до 3% выручки компании за повторные нарушения. Таким образом, организациям настоятельно рекомендуется заранее подготовиться к изменениям и внедрить необходимые меры защиты, чтобы избежать финансовых потерь и сохранить свою репутацию.