Как не попасть на миллионы: разбираем новые требования по обработке персональных данных

С персональными данными шутки плохи! Это должен знать каждый владелец бизнеса, если не хочет потерять деньги из-за выплаты штрафов.

Законы в области сбора, хранения и обработки персональных данных постоянно обновляются и дорабатываются, поэтому так важно держать руку на пульсе, чтобы не упустить ничего важного.

К счастью, следить за актуальной информацией очень легко, если вы читаете наш блог и подписаны на наш Telegram-канал, ведь здесь мы своевременно сообщаем обо всех важных изменениях в законодательстве. Вот и в этой статье расскажем, что поменяется в работе с персональными данными после 30 мая 2025 года.

А для тех, кто пропустил «предыдущие серии», небольшая подборка, чтобы войти в курс дела. Изучаем именно в такой последовательности:

1. «Политика конфиденциальности: кому, зачем и для чего»: базовая статья, которая поможет разобраться в основной терминологии, объяснит, что считается ПД, как их собирать, хранить и обрабатывать в онлайн-пространстве.

2. «Закон о персональных данных: что поменялось и как теперь правильно»: подробный разбор изменений в 152-ФЗ, которые вступили в силу в 2021 году и актуальны по сей день.

3. «Утечка персональных данных: почему это опасно и как избежать распространения личной информации»: немного подробнее о том, как безопасно собирать и хранить ПД ваших клиентов.

Теперь поговорим о свежих изменениях и разберёмся, кого они коснуться.

Новые требования к персональным данным: что изменится с мая 2025

Начнем с главного: поскольку новые требования касаются обработки персональных данных, о них важно знать всем – от микро-компаний до гигантов рынка, от крошечных интернет-магазинов до всем известных маркетплейсов. Несоблюдение новых правил грозит многомиллионными штрафами.

В центре изменений, которые вступают в силу официально с 30 мая 2025 года, стоит Роскомнадзор. Теперь он вправе не только проводить проверки, но и контролировать соблюдение законодательства, а значит, назначать санкции в виде штрафов.

Что же конкретно изменится и как к этому подготовиться? Давайте разбираться вместе.

1. Следим за локализацией баз данных

   С конца мая 2025 года операторы персональных данных обязаны не только собирать информацию на территории Российской Федерации, но и хранить и обрабатывать ее здесь же. Это значит, что если на вашем сайте используются любые сервисы, виджеты или приложения иностранного происхождения с серверами за рубежом, например, хостинг, CRM-система, система аналитики, облачное хранилище и т.д., необходимо подобрать для них локализованные в России аналоги.

   Ограничения касаются также тех компаний, которые передают информацию о пользователях через границу при работе с иностранными лицами, физическими или юридическими. Чтобы не допустить взыскания при этом, необходимо заранее получить специальное разрешение от Роскомнадзора. Прежде всего это касается компаний в сфере туризма.

   Ключевая разница этого нововведение в том, что до 30 мая локальность было важно соблюдать только на этапе первичного сбора данных. Он должен был происходить исключительно на территории РФ, а дальше данные могли быть без последствий переданы за границу и обработаны там. Теперь же такой формат работы недопустим, персональные данные собираются, обрабатываются и хранятся только в России.

   Для соблюдения закона Роскомнадзор будет подключать автоматизированную систему «Ревизор», цель которой – отслеживать расположение серверов и изучать, откуда на сайт поступает трафик.

2. Следим за утечками данных

   Здесь, пожалуй, самые серьезные изменения и самые суровые штрафы. При возникновении утечки персональных данных и раньше возникала административная ответственность, но теперь условия становятся более жесткими. Компания попадает в объектив внимания Роскомнадзора, если:

   • произошла утечка данных, и о ней не сообщили

   • была неправомерная передача информации третьим лицам без согласия субъекта

   • произошла утечка по вине халатности оператора персональных данных

   • не соблюдены меры информационной безопасности, из-за чего случилась утечка.

   Штрафы здесь весьма внушительные.

   • Если была обработка ПД в незаконных целях: до 100 000 рублей (должностные лица); до 300 000 рублей (юридические лица и ИП)

   • Если произошло повторное нарушение обработки ПД: до 200 000 рублей (должностные лица); до 500 000 рублей (юридические лица и ИП)

   • Если имело место несвоевременное сообщение об утечке ПД: от 400 000 до 800 000 рублей (должностные лица); от 1 000 000 до 3 000 000 рублей (юридические лица и ИП)

   • Если произошла утечка ПД более 10 тысяч субъектов: от 200 000 до 400 000 рублей (должностные лица); от 3 000 000 до 5 000 000 рублей (юридические лица и ИП)

   Если утечка произошла повторно или были утеряны специальные данные, например, биометрические, то штраф будет рассчитываться от размеров оборота компании, суммы могут составлять до 3%.

   Но есть и хорошие новости! :)

   Если компания инвестирует в информационную безопасность не менее 0,1 % от своей выручки в течение последних 3 лет, то штраф уменьшится до 10% от минимального размера.

   Так что главные выводы по этому пункту: в случае утечки сразу же сообщаем о ней Роскомнадзору, как можно быстрее устраняем последствия и подтверждаем факт инвестирования компанией в безопасность. В этом случае штраф будет минимальным. Но лучше всего, конечно, заранее убедиться, что у вас всё в порядке с мерами защиты персональных данных.

3. Следим за cookie

   Они теперь тоже причислены к персональным данным, поскольку в них может содержаться идентифицирующая информация. Так что компания теперь обязана не только уведомлять пользователей на сайте о сборе cookie, но и позволить пользователю выбрать, какие данные он хочет дать: аналитические, рекламные или технические. Кроме того, важно дать пользователю возможность отказаться предоставить две первые категории и дать только технические cookie.

   Кстати, обрабатываться cookie тоже могут только в России, поскольку они официально считаются персональными данными.

4. Следим за биометрическими данными

   По действующему законодательству все персональные данные можно разделить на три категории:

   • Биометрические (любые физические характеристики, например, отпечатки пальцев или голос)

   • Специальные (информация о человеке – о его состоянии здоровья, наличии судимостей, вероисповедании и т.д.)

   • Обычные (имя, фамилия, возраст, адрес, любые контакты, в том числе cookie, о которых говорили выше)

   С учетом грядущих изменений тип согласия на обработку данных будет зависеть от их категории.

   Проще всего с обычными ПД, здесь нужно только согласие по договору. Для сбора и обработки специальных ПД требуется явно выраженное согласие. И, наконец, биометрические ПД могут собираться и обрабатываться только при наличии письменного согласия пользователя. Это важно учитывать тем компаниям, у которых на сайте или в мобильном приложении предусмотрена, например, система распознавания лиц или голосовых команд. В этом случае следует убедиться, что все пользователи дают свое письменное согласие, в противном случае закон будет нарушен.

Краткие итоги

Как говорится, предупрежден, значит вооружен! Еще раз пройдемся по самым ключевым моментам:

1. Собираем, храним и обрабатываем персональные данные только на территории РФ. Если характер вашей работы подразумевает взаимодействие с иностранными компаниями и передачу данных им, обязательно получите специальное разрешение от Роскомнадзора.

2. Заменяем все иностранные сервисы и IT-решения на аналоги, локализованные в России.

3. Помним, что cookie – это теперь тоже вид персональных данных, а значит, о их сборе, хранении и обработке нужно должным образом сообщать пользователю.

4. Уведомляем Роскомнадзор первым делом, если произошла утечка персональных данных.

5. Инвестируем не менее 0.1% от выручки в информационную безопасность.

6. Получаем письменное согласие пользователей, если производим сбор, обработку или хранение биометрических персональных данных.

И, конечно, лучше всего провести тщательную проверку мер безопасности и защиты персональных данных на вашем сайте, чтобы не было лишних поводов для тревоги!

---