Содержание
- Какие изменения ждут владельцев бизнеса
- Как избежать штрафов за утечку персональных данных
- Кратко по итогам
- FAQ
С 30 мая 2025 года в России вступают в силу новые требования к обработке персональных данных. Это значит, что бизнесу — от небольших интернет-магазинов до крупных корпораций — придется изменить процессы сбора, хранения и использования данных клиентов и сотрудников. Несоблюдение обновленных правил грозит многомиллионными штрафами.
Какие изменения ждут владельцев бизнеса
Обновленное законодательство затронет практически всех предпринимателей. Главные изменения касаются локализации баз данных, работы с cookie и ответственности за утечки. Теперь бизнесу придется не только внимательнее соблюдать требования к обработке персональных данных, но и учитывать ужесточенные штрафы. Например, несообщение об утечке может обойтись в миллионы рублей, а за повторные нарушения введут оборотные штрафы, которые будут зависеть от выручки компании.
Локализация баз данных
Теперь операторы данных обязаны не только собирать, но и хранить и обрабатывать информацию исключительно на территории Российской Федерации.
Правила по локализации распространяются на компании, которые используют иностранные сервисы для сбора и обработки пользовательской информации. Например, облачные хранилища, Google Forms, Google Analytics.
Под правила попадают и те, кто применяют иностранные IT-решения — если их серверы находятся за пределами РФ. И, конечно, те, кто передают информацию о пользователях через границу при заключении сделок с иностранными контрагентами.
Ранее закон требовал проводить в России только первичную обработку данных, допуская их последующую передачу на зарубежные серверы. Теперь такая практика станет недопустимой. Вся инфраструктура для сбора, хранения и обработки должна размещаться в РФ.
Отслеживать исполнение закона Роскомнадзор будет через автоматизированную систему «Ревизор». Она отслеживает местоположение серверов и анализирует трафик.
Трансграничная передача данных возможна, но только при наличии официального разрешения от Роскомнадзора. Например, туристическая компания может передавать информацию о клиентах принимающей стороны за границей. Но для этого турфирма должна заранее уведомить регулятор и внести информацию в Реестр трансграничных передач.
Cookie
Хотя в законе нет прямого упоминания cookie, Роскомнадзор на практике часто трактует их использование как сбор персональных данных.
Сайты, как и раньше, должны запрашивать разрешение на сбор cookie с помощью баннеров, появляющихся при первом посещении.
Пользователи должны иметь возможность выбрать, какие данные они готовы предоставить — аналитические, рекламные, технические.
Должна быть возможность полностью отказаться от сбора cookie — кроме технически необходимых.
Если cookie содержат идентифицирующие данные, они должны обрабатываться на территории РФ.
Ответственность за утечку персональных данных
Административная ответственность за утечки ужесточается. Изменения касаются ст. 13.11 КоАП РФ. В кодексе появились новые взыскания и принципы их расчета.
В каких случаях наступает ответственность:
несообщение в Роскомнадзор об утечке;
неправомерная передача информации третьим лицам без согласия субъекта;
халатность оператора, которая привела к утечке;
отсутствие мер по защите персональных данных — если компания не соблюдала нормы информационной безопасности.
Кроме того, если электронный оператор уже получал наказание за такие нарушения, ему назначат оборотные взыскания. Они зависят от выручки компании.
Размеры штрафов для юридических лиц и ИП
Основные
Правонарушение | Должностные лица | ИП и юрлица |
Обработка пользовательских данных в незаконных целях | До 100 тыс. руб. | До 300 тыс. руб. |
Повторное нарушение обработки информации | До 200 тыс. руб. | До 500 тыс. руб. |
Несвоевременное сообщение об утечке | 400–800 тыс. руб. | 1–3 млн руб. |
Утечка информации более 10 тыс. субъектов | 200–400 тыс. руб. | 3–5 млн руб. |
Оборотные
Правонарушение | Размер | Минимальная / максимальная сумма |
Повторные нарушения, повлекшие утечку | 1–3% от совокупной выручки | 20/500 млн руб. |
Утечка специальных категорий персональных данных (например, биометрии) | 1–3% от выручки | 25/500 млн руб. |
Будут и смягчающие обстоятельства. Если компания инвестировала не менее 0,1% от выручки в информационную безопасность за последние три года и соблюдала все правила, штраф снизят до 10% от минимального размера. Но он все равно составит не меньше 15 млн рублей. | ||
Как избежать штрафов за утечку персональных данных
Чтобы избежать финансовых потерь и сохранить репутацию, компаниям нужно подготовиться — внедрить надежные меры защиты.
Локализовать базы данных в России
Если сайт хостится за границей, нужно перенести его на отечественный сервер. Дополнительно проверить, где обрабатывается пользовательская информация. Если используется CRM, аналитика, почтовые сервисы или облачные хранилища, нужно уточнить их географию.
Если невозможно отказаться от иностранного инструмента, стоит убедиться, что пользовательская информация обрабатывается в РФ.
Если нужна трансграничная передача данных, обязательно нужно подать уведомление в Роскомнадзор.
Обеспечить защиту пользовательской информации
Компании должны не просто хранить информацию в России, но и ограждать ее от утечек. В этом помогут надежное шифрование, многофакторная аутентификация для сотрудников и постоянное обновление программного обеспечения — особенно антивирусных систем. Полезно ограничить доступ к информации — он должен быть только у тех, кому действительно необходим.
Настроить cookie
Нужно дать пользователям шанс отказаться от обработки cookie и разделить эти данные по категориям. Если cookie содержат идентифицирующую информацию, хранить ее нужно только на российских серверах.
Кратко по итогам
Новые требования начнут действовать с 30 мая.
Личная информация пользователей должна храниться и обрабатываться исключительно на территории РФ.
Для передачи сведений за границу необходимо получить одобрение от Роскомнадзора.
Файлы cookie теперь считаются персональными данными, если в них содержатся уникальные идентификаторы.
Несообщение о факте утечки может привести к миллионным штрафам. За повторные нарушения предусмотрены оборотные взыскания — до 3% выручки компании.
FAQ
Кого коснутся обновленные правила?
Изменения коснутся всех организаций, работающих с персональными сведениями, а также индивидуальных предпринимателей и самозанятых, если они собирают и обрабатывают данные клиентов или своих сотрудников.
Можно использовать иностранные сервисы для обработки персональных данных?
Можно, но только если информация физически хранится в России. Например, если CRM-система размещена на российских серверах, ее можно использовать.
Если произошла утечка, как избежать максимального штрафа?
Срочно уведомить Роскомнадзор, устранить уязвимость и предоставить документ, что компания инвестирует в безопасность — не менее 0,1% выручки за три года. В таком случае сумму могут снизить.
