С первого месяца лета 2025 года российское законодательство вводит обновленные жесткие требования к обработке персональных данных гражданами и организациями. Новые правила касаются любых предприятий, начиная с небольших виртуальных магазинов и заканчивая крупными корпорациями. Компании обязаны переосмыслить подходы к получению, хранению и применению информации о клиентах и сотрудниках. Несоблюдение новелл чревато серьезными штрафами.
Обязанность локализации данных в России
Теперь операторам предписывается не только собирать личную информацию, но и организовывать ее сохранение и обработку исключительно на территории Российской Федерации. Изменения коснутся тех организаций, которые пользуются иностранными платформами и инструментами (например, облаками, формами опроса Google или системами аналитики).
Регулированию подвергнутся также предприятия, использующие иностранные сервисы с серверами за пределами России или передающие персональные данные третьим лицам, находящимся за границей.
- Ранее действовавшие нормы позволяли сначала обрабатывать данные в России, а потом передавать их на зарубежные серверы. Новая норма запрещает подобную практику — вся инфраструктура должна располагаться на территории нашей страны.
- Мониторингом соблюдения нововведений занимается автоматизированная система «Ревизор», созданная Роскомнадзором. Она отслеживает размещение серверов и контролирует маршруты прохождения данных.
- Вывоз данных за границу разрешается только после специального разрешения Роскомнадзора. Организации, работающие с международными партнёрами, такими как турфирмы, обязаны подать заявление и зарегистрироваться в реестре трансграничных потоков данных.
Применение cookie-файлов
Официально новый закон не затрагивает напрямую технологию cookie, однако Роскомнадзор фактически рассматривает их как средство сбора личной информации.
- Веб-сайты должны предупреждать пользователей о факте сбора cookie и запрашивать согласие на их использование. Во время первой загрузки ресурса пользователям предлагается специальный баннер, позволяющий согласиться или отклонить использование куков.
- Посетителям предоставляется возможность выбора типа передаваемых данных (аналитических, рекламных, функциональных) и полный отказ от трекинга, кроме обязательных файлов, критичных для работоспособности сайта.
- Если cookie содержат персональные данные, их обработка должна происходить исключительно на российском хостинге.
Наказания за нарушение правил
Несоблюдение нормативных актов приведет к повышенной административной ответственности в соответствии с изменениями статьи 13.11 Кодекса административных правонарушений.
Компании привлекаются к ответственности в случаях:
- скрытия фактов взлома и утечек данных;
- незаконной передачи личной информации третьим сторонам;
- халатности сотрудников, приведшей к утечке информации;
- недостаточной защищённости инфраструктуры из-за игнорирования стандартов кибербезопасности.
Если организация повторно нарушает установленные правила, ей грозит крупный оборотный штраф, размер которого зависит от дохода предприятия.
Что предпринять бизнесу для избежания потерь?
Чтобы избежать значительных финансовых потерь и сохранить репутацию, компаниям рекомендуется предпринимать ряд шагов:
- Переход на отечественное хранилище данных
- Зарегистрированным за пределами России сайтам и доменам необходимо перенести весь технологический стек на российские серверы. Рекомендуется проверить используемые внешние инструменты (CRM, аналитические платформы, email-провайдеры, облачные сервисы), чтобы убедиться, что данные российских пользователей хранятся в РФ.
- Если перенос на российскую площадку невозможен, следует организовать экспорт данных исключительно на территорию России.
- Отправка данных за границу должна сопровождаться своевременным извещением Роскомнадзора и оформлением соответствующей документации.
- Повышение уровня защиты данных
- Размещение данных в России недостаточно — необходимо усилить их защиту от хакерских атак. Для этого рекомендуется внедрение современных решений шифрования, двухэтапной аутентификации для сотрудников и регулярного обновления системных программ и антивирусных пакетов. Ограничьте доступ к базам данных, открывая его только тем специалистам, кому это действительно необходимо.
- Управление файлами cookie
- Следует предусмотреть механизм отказа пользователей от сбора cookie и классификации типов собираемых данных. Информация, содержащая идентификационные данные, должна сохраняться исключительно на серверах, расположенных в России.
