Персональные данные с 30 мая 2025
С 30 мая 2025 года в России начнут действовать новые требования к обработке личных данных. Все компании обязаны будут правильно собирать, хранить и использовать данные клиентов и сотрудников. Если не следовать правилам, грозят увеличенные штрафы.
Основные изменения:
— Данные нужно хранить только в России.
— Следить за использованием файлов cookie.
БАЗЫ ДАННЫХ В РФ
Все компании теперь обязаны хранить и обрабатывать личные данные россиян только на серверах внутри страны. Нельзя пользоваться иностранными сервисами вроде Google Forms или облаками за рубежом. Раньше разрешалось частично передавать данные за границу после первичной обработки, но теперь это запрещено. За соблюдением следит Роскомнадзор через систему «Ревизор».
За утечку данных штрафы могут быть миллионными, особенно если скрывать такие случаи. Повторные нарушения обойдутся еще дороже — размер штрафа будет зависеть от доходов компании.
Передавать данные за рубеж можно только с разрешения Роскомнадзора, например, если это связано с услугами для туристов.
COOKIE
Использование файлов cookie тоже меняется.
— Сайтам всё ещё нужно запросить разрешение на их сбор, предлагая пользователям выбор, какие данные они хотят предоставить (аналитические, технические, рекламные) .
— Можно отказаться от сбора большинства cookie, кроме тех, что нужны для технической работы сайта.
А если cookie собирают персональные данные, то их обработка должна происходить в России.
ОТВЕТСТВЕННОСТЬ
За утечки данных введены строгие наказания. Изменения касаются ст. 13.11 КоАП РФ. В кодексе появились новые взыскания и способы их расчета.
Ответственность наступает:
— если не сообщила в Роскомнадзор об утечке данных;
— передала информацию другим людям без разрешения владельца;
— допустила утечку из-за небрежности;
— не обеспечила защиту данных, нарушив правила безопасности.
Основные
| Правонарушение | Должностные лица | ИП и юрлица |
| Обработка пользовательских данных в незаконных целях | До 100 тыс. руб. | До 300 тыс. руб. |
| Повторное нарушение обработки информации | До 200 тыс. руб. | До 500 тыс. руб. |
| Несвоевременное сообщение об утечке | 400–800 тыс. руб. | 1–3 млн руб. |
| Утечка информации более 10 тыс. субъектов | 200–400 тыс. руб. | 3–5 млн руб. |
Оборотные
| Правонарушение | Размер | Минимальная / максимальная сумма |
| Повторные нарушения, повлекшие утечку | 1–3% от совокупной выручки | 20/500 млн руб. |
| Утечка специальных категорий персональных данных (например, биометрии) | 1–3% от выручки | 25/500 млн руб. |
| Будут и смягчающие обстоятельства. Если компания инвестировала не менее 0,1% от выручки в информационную безопасность за последние три года и соблюдала все правила, штраф снизят до 10% от минимального размера. Но он всё равно составит не меньше 15 млн рублей. | ||
Как избежать штрафов?
- Локализовать базы данных: Перенести сервера с данными в Россию. Убедиться, что используемые инструменты (CRM, аналитика, почта и облака) работают в РФ. Если нужен обмен данными с заграницей, получить разрешение у Роскомнадзора.
- Защитить данные: Использовать шифрование, двухфакторную аутентификацию, регулярно обновлять ПО. Ограничить доступ к данным только необходимым сотрудникам.
- Правильно настроить cookie: Дать пользователям возможность отказаться от ненужных cookie. Идентифицируемые данные хранить только в России.
FAQ
Кто попадет под новые правила?
Новые правила затронут все организации, ИП и самозанятых, работающие с личной информацией клиентов или сотрудников.
Можно ли применять иностранные сервисы?
Да, если они хранят данные в России. Например, можно использовать CRM, если её сервер находится в РФ.
Как уменьшить штраф при утечке?
Немедленно оповестить Роскомнадзор, исправить проблему и доказать инвестиции в безопасность (не менее 0,1% выручки за 3 года). Тогда штраф может быть снижен.
с уважением,
команда веб-студии BISTEM
Midjourney
Midjourney
Midjourney