Итак, с 30 мая 2025 года в России вступают в силу новые требования к обработке персональных данных. Это значит, что бизнесу — от небольших интернет-магазинов до крупных корпораций — придется изменить процессы сбора, хранения и использования данных клиентов и сотрудников. Несоблюдение обновленных правил грозит многомиллионными штрафами.
Что меняется?
Самое главное — изменения затрагивают всех предпринимателей. А обновленное законодательство ужесточает требование к локализации баз данных, работе с cookie-файлами и увеличивает ответственность за утечку персональных данных.
Утечки персональных данных становятся дорогими. Несообщение об утечке может обойтись в миллионы рублей, а повторная утечка привести к оборотным штрафам.
Локализация баз данных
Теперь операторы баз данных, содержащих персональные данные, обязаны хранить и обрабатывать эти данные исключительно на территории РФ. Что поменялось? Ранее закон требовал только первичную обработку ПД на территории РФ, и не исключал передачу данных на зарубежные серверы и сервисы. Теперь это недопустимо.
Cookie
Тут все не понятно. В законе нет их прямого упоминания, но Роскомнадзор приравнивает cookie к сбору персональных данных. Стоит быть аккуратными, уведомлять о согласии на обработку cookies, давать возможность отказаться от передачи всех cookies кроме технически необходимых.
Ответственность за утечку
Тут все стало серьезнее. Изменения касаются ст. 13.11 КоАП РФ. В кодексе появились новые взыскания и принципы их расчета.
В каких случаях наступает ответственность:
- отсутствие мер по защите персональных данных — если компания не соблюдала нормы информационной безопасности.
- несообщение в Роскомнадзор об утечке;
- неправомерная передача информации третьим лицам без согласия субъекта;
- халатность оператора ПД, которая привела к утечке;
Кроме того, если ранее оператор ПД уже ранее получал наказание за подобные нарушения, к нему начинает применяться уже оборотный штраф, который зависит от годового оборота компании. Ну а более подробно о штрафах можно прочитать в Консультант Плюсе.
Как избежать штрафов?
Как обычно — лучше подготовиться заранее и проанализировать используемое ПО и сервисы.
Локализация баз данных в России
Если ваш сайт размещается за границей, перенести его на отечественный сервер. Также стоит убедиться что вся пользовательская информация обрабатывается на территории РФ. Да, к сожалению под требования попадают и CRM, и почтовые сервисы, и много чего еще. Как минимум стоит задать этим сервисам вопрос, как и где они обрабатывают персональные данные, ну а после уже принимать решения.
Обеспечить защиту ПД
Нужно не просто обрабатывать и хранить персональные данные на территории РФ, но и обеспечивать их защиту. Как минимум шифрованием, антивирусной защитой, многофакторной аутентификацией и своевременным обновлением ПО.
Собственно, пока время еще есть, но его очень мало. Стоит помнить что дешевле подготовится сейчас, чем потом «тушить пожар» и получить многомиллионные штрафы.