Новые правила работы с персональными данными затрагивают почти каждую компанию в России. Что делать, чтобы избежать миллионных штрафов и уголовной ответственности.
Это касается всех
С 25 мая 2025 года в России вступают в силу новые жёсткие требования к обработке персональных данных. Закон уже принят и начнёт действовать в полном объёме в ближайшие месяцы.
Если у вас есть:
- сотрудники;
- клиенты;
- сайт с формой обратной связи;
- CRM-система;
- база пользователей или подписчиков;
значит, вы работаете с персональными данными. И несёте за них полную юридическую и финансовую ответственность.
Что именно меняется
Существенно повышаются штрафы:
- за утечку от 1 до 10 тысяч записей — от 3 до 5 миллионов рублей;
- за утечку более 100 тысяч записей — до 15 миллионов рублей;
- повторное нарушение — до 3% годового оборота компании или до 500 миллионов рублей.
Ужесточается уголовная ответственность:
- за незаконную обработку данных, особенно несовершеннолетних — штраф до 700 тысяч рублей или до 5 лет лишения свободы;
- за утечку с последствиями — до 10 лет тюремного заключения.
Вводятся особые требования к биометрии:
- нарушение правил обработки — штраф до 1 миллиона рублей;
- отсутствие аккредитации при работе с Единой биометрической системой — до 2 миллионов рублей.
Что теперь считается персональными данными
Список расширился. Под защиту попадают:
- фамилия, имя, отчество;
- дата рождения, паспортные данные;
- номера телефонов, электронная почта, адрес;
- IP-адреса, cookies, история посещений сайта;
- фото и видео, в том числе с камер наблюдения;
- биометрические данные — лицо, голос, отпечатки;
- медицинская и финансовая информация.
Даже простая форма «Оставьте заявку» на сайте — это уже сбор персональных данных. Если вы используете онлайн-оплаты, формы обратной связи, e-mail маркетинг или аналитику трафика — вы подпадаете под регулирование.
Что нужно сделать бизнесу уже сейчас
1. Провести аудит всех точек сбора и хранения данных.
Посмотрите, как обрабатываются данные в HR, CRM, на сайте, в рассылках, через чат-боты, колл-центр. Проверьте, кто имеет доступ и где хранятся базы — на локальных компьютерах, в облаке или сторонних сервисах.
2. Проверить наличие согласий.
Есть ли актуальные согласия от клиентов, пользователей, сотрудников? Есть ли политика конфиденциальности на сайте? Работает ли форма отзыва согласия?
3. Назначить ответственного за защиту персональных данных.
Это может быть внутренний сотрудник или внешний консультант. Но обязанность по управлению рисками должна быть закреплена документально.
4. Обучить сотрудников.
Утечка чаще всего происходит не из-за хакеров, а из-за незнания или халатности. Один сотрудник, переславший клиентскую таблицу через личную почту, — и вот уже повод для иска и проверок.
5. Вложиться в информационную безопасность.
Даже 0,1% от выручки, потраченные на ИБ, могут стать смягчающим обстоятельством в случае инцидента. А главное — покажут добросовестность бизнеса.
Почему это важно
Это не про страх перед законом. Это про устойчивость бизнеса, репутацию и доверие клиентов. Никто не захочет иметь дело с компанией, где данные могут «утечь» на флешке или через Telegram.
Если раньше работа с персональными данными была «технической темой для юристов», то с 2025 года это — вопрос стратегического выживания. Особенно в условиях цифровизации и ужесточения контроля.
Следующая статья серии:
Что будет, если сотрудник «заберёт с собой базу» — кейсы, практика, ответственность я рассказала в своем Telegram-канале. Переходите по ссылке https://t.me/BusINpro/362.
Подписывайтесь, если вы управляете бизнесом, автоматизируете процессы или просто хотите избежать рисков в новых реалиях. Всё по делу — на основе опыта и живых кейсов.