С персональными данными шутки плохи! Это должен знать каждый владелец бизнеса, если не хочет потерять деньги из-за выплаты штрафов.
Законы в области сбора, хранения и обработки персональных данных постоянно обновляются и дорабатываются, поэтому так важно держать руку на пульсе, чтобы не упустить ничего важного.
К счастью, следить за актуальной информацией очень легко, если вы читаете наш блог и подписаны на наш Telegram-канал, ведь здесь мы своевременно сообщаем обо всех важных изменениях в законодательстве. Вот и в этой статье расскажем, что поменяется в работе с персональными данными после 30 мая 2025 года.
А для тех, кто пропустил «предыдущие серии», небольшая подборка, чтобы войти в курс дела. Изучаем именно в такой последовательности:
-
«Политика конфиденциальности: кому, зачем и для чего»: базовая статья, которая поможет разобраться в основной терминологии, объяснит, что считается ПД, как их собирать, хранить и обрабатывать в онлайн-пространстве.
-
«Закон о персональных данных: что поменялось и как теперь правильно»: подробный разбор изменений в 152-ФЗ, которые вступили в силу в 2021 году и актуальны по сей день.
-
«Утечка персональных данных: почему это опасно и как избежать распространения личной информации»: немного подробнее о том, как безопасно собирать и хранить ПД ваших клиентов.
Теперь поговорим о свежих изменениях и разберёмся, кого они коснуться.
Больше статей на схожую тематику:
Новые требования к персональным данным: что изменится с мая 2025
Начнем с главного: поскольку новые требования касаются обработки персональных данных, о них важно знать всем – от микро-компаний до гигантов рынка, от крошечных интернет-магазинов до всем известных маркетплейсов. Несоблюдение новых правил грозит многомиллионными штрафами.
В центре изменений, которые вступают в силу официально с 30 мая 2025 года, стоит Роскомнадзор. Теперь он вправе не только проводить проверки, но и контролировать соблюдение законодательства, а значит, назначать санкции в виде штрафов.
Что же конкретно изменится и как к этому подготовиться? Давайте разбираться вместе.
-
Следим за локализацией баз данных
С конца мая 2025 года операторы персональных данных обязаны не только собирать информацию на территории Российской Федерации, но и хранить и обрабатывать ее здесь же. Это значит, что если на вашем сайте используются любые сервисы, виджеты или приложения иностранного происхождения с серверами за рубежом, например, хостинг, CRM-система, система аналитики, облачное хранилище и т.д., необходимо подобрать для них локализованные в России аналоги.
Ограничения касаются также тех компаний, которые передают информацию о пользователях через границу при работе с иностранными лицами, физическими или юридическими. Чтобы не допустить взыскания при этом, необходимо заранее получить специальное разрешение от Роскомнадзора. Прежде всего это касается компаний в сфере туризма.
Ключевая разница этого нововведение в том, что до 30 мая локальность было важно соблюдать только на этапе первичного сбора данных. Он должен был происходить исключительно на территории РФ, а дальше данные могли быть без последствий переданы за границу и обработаны там. Теперь же такой формат работы недопустим, персональные данные собираются, обрабатываются и хранятся только в России.
Для соблюдения закона Роскомнадзор будет подключать автоматизированную систему «Ревизор», цель которой – отслеживать расположение серверов и изучать, откуда на сайт поступает трафик.
-
Следим за утечками данных
Здесь, пожалуй, самые серьезные изменения и самые суровые штрафы. При возникновении утечки персональных данных и раньше возникала административная ответственность, но теперь условия становятся более жесткими. Компания попадает в объектив внимания Роскомнадзора, если:
произошла утечка данных, и о ней не сообщили
была неправомерная передача информации третьим лицам без согласия субъекта
произошла утечка по вине халатности оператора персональных данных
не соблюдены меры информационной безопасности, из-за чего случилась утечка.
Штрафы здесь весьма внушительные.
Если была обработка ПД в незаконных целях: до 100 000 рублей (должностные лица); до 300 000 рублей (юридические лица и ИП)
Если произошло повторное нарушение обработки ПД: до 200 000 рублей (должностные лица); до 500 000 рублей (юридические лица и ИП)
Если имело место несвоевременное сообщение об утечке ПД: от 400 000 до 800 000 рублей (должностные лица); от 1 000 000 до 3 000 000 рублей (юридические лица и ИП)
Если произошла утечка ПД более 10 тысяч субъектов: от 200 000 до 400 000 рублей (должностные лица); от 3 000 000 до 5 000 000 рублей (юридические лица и ИП)
Если утечка произошла повторно или были утеряны специальные данные, например, биометрические, то штраф будет рассчитываться от размеров оборота компании, суммы могут составлять до 3%.
Но есть и хорошие новости! :)
Если компания инвестирует в информационную безопасность не менее 0,1 % от своей выручки в течение последних 3 лет, то штраф уменьшится до 10% от минимального размера.
Так что главные выводы по этому пункту: в случае утечки сразу же сообщаем о ней Роскомнадзору, как можно быстрее устраняем последствия и подтверждаем факт инвестирования компанией в безопасность. В этом случае штраф будет минимальным. Но лучше всего, конечно, заранее убедиться, что у вас всё в порядке с мерами защиты персональных данных.
-
Следим за cookie
Они теперь тоже причислены к персональным данным, поскольку в них может содержаться идентифицирующая информация. Так что компания теперь обязана не только уведомлять пользователей на сайте о сборе cookie, но и позволить пользователю выбрать, какие данные он хочет дать: аналитические, рекламные или технические. Кроме того, важно дать пользователю возможность отказаться предоставить две первые категории и дать только технические cookie.
Кстати, обрабатываться cookie тоже могут только в России, поскольку они официально считаются персональными данными.
-
Следим за биометрическими данными
По действующему законодательству все персональные данные можно разделить на три категории:
Биометрические (любые физические характеристики, например, отпечатки пальцев или голос)
Специальные (информация о человеке – о его состоянии здоровья, наличии судимостей, вероисповедании и т.д.)
Обычные (имя, фамилия, возраст, адрес, любые контакты, в том числе cookie, о которых говорили выше)
С учетом грядущих изменений тип согласия на обработку данных будет зависеть от их категории.
Проще всего с обычными ПД, здесь нужно только согласие по договору. Для сбора и обработки специальных ПД требуется явно выраженное согласие. И, наконец, биометрические ПД могут собираться и обрабатываться только при наличии письменного согласия пользователя. Это важно учитывать тем компаниям, у которых на сайте или в мобильном приложении предусмотрена, например, система распознавания лиц или голосовых команд. В этом случае следует убедиться, что все пользователи дают свое письменное согласие, в противном случае закон будет нарушен.
Примеры роста кликов, конверсий, заказов и прибыли:
Краткие итоги
Как говорится, предупрежден, значит вооружен! Еще раз пройдемся по самым ключевым моментам:
Собираем, храним и обрабатываем персональные данные только на территории РФ. Если характер вашей работы подразумевает взаимодействие с иностранными компаниями и передачу данных им, обязательно получите специальное разрешение от Роскомнадзора.
Заменяем все иностранные сервисы и IT-решения на аналоги, локализованные в России.
Помним, что cookie – это теперь тоже вид персональных данных, а значит, о их сборе, хранении и обработке нужно должным образом сообщать пользователю.
Уведомляем Роскомнадзор первым делом, если произошла утечка персональных данных.
Инвестируем не менее 0.1% от выручки в информационную безопасность.
Получаем письменное согласие пользователей, если производим сбор, обработку или хранение биометрических персональных данных.
И, конечно, лучше всего провести тщательную проверку мер безопасности и защиты персональных данных на вашем сайте, чтобы не было лишних поводов для тревоги!
Руководитель SMM-отдела сервиса 1PS.RU
© 1PS.RU, при полном или частичном копировании материала ссылка на первоисточник обязательна