Закон о персональных данных 2025: что ждет бизнес и как избежать штрафов в новых условиях
Речь идет не только о юридических рисках и возможных штрафах, но и о стратегической задаче — сохранении доверия клиентов и устойчивости бизнеса в новых условиях. Рассказываем, что это означает для компаний и какие шаги необходимо предпринять уже сегодня.
Что поменялось
По сути, речь идет не о глобальных изменениях, а о переформулировке старых требований. Если раньше в законе была обязанность оператора при сборе ПДн обеспечить их локализацию, то теперь это требование сформулировано через прямой запрет.
Как и прежде, при сборе ПДн оператор обязан первично записывать и в целом впоследствии актуализировать их, обновлять, изменять и уточнять с использованием баз данных, которые находятся на территории России. Таким образом, формулировка про «полный запрет на хранение персональных данных россиян за рубежом» является неверной.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Кого это касается и к чему готовиться
Новые требования касаются всех компаний, которые так или иначе обрабатывают ПДн граждан РФ:
- российские компании любых размеров и сфер деятельности;
- иностранные компании, предоставляющие услуги на территории России;
- интернет‑сервисы и платформы, регистрирующие российских пользователей.
Даже если бизнес не ведет деятельность в интернете, но использует облачные решения иностранных вендоров, — новые правила все равно применимы. Также это касается использования аналитических инструментов, таких как Google Analytics, сервисы кадрового документооборота, CRM‑системы и другие.
Роскомнадзор усиливает надзорную деятельность, в особенности в отношении сайтов операторов. Поэтому компании должны быть готовы к анализу систем обработки данных, требованиям доказать локализацию данных и запросам на предоставление пакета внутренней документации. В каждой компании стоит создать систему быстрого реагирования на запросы регуляторов, назначить ответственных и внедрить инструменты внутреннего контроля.
Для клиентов и пользователей изменения будут менее заметными: при переходе на новые инфраструктурные решения могут быть перебои, но это временное явление.
Какие процессы нужно пересмотреть бизнесу
Переход к полной локализации ПДн потребует от бизнеса пересмотра процессов. В первую очередь, это касается ИТ‑инфраструктуры, договорной базы и процессов внутреннего контроля.
Для начала нужно разобрать процедуры сбора ПДн — схематично представить, на каком этапе происходит сбор данных и трансграничная передача. Если сбор происходит на стороне оператора (а не иностранной компании), то процесс должен выглядеть так: данные сначала поступают на российские базы данных, а уже после этого при необходимости отправляются на иностранные серверы через трансграничную передачу. Актуализироваться, дополняться и изменяться они тоже должны в рамках российских баз.
Существующие требования в первую очередь обязывают не только локализовывать данные, но и обеспечить нахождение в России самой актуальной базы. Таким образом, нарушениями признаются сбор данных россиян напрямую на иностранные сервисы, так же как и если этот процесс происходит параллельно друг другу, то есть, данные собираются одновременно и на российские сервера, и на иностранные. В том числе нарушением считается обновление и актуализация иностранных баз, содержащих данные российских граждан, раньше аналогичных баз данных, находящихся на территории РФ.
Адаптация к изменениям
Главное, что необходимо сделать — перенести базы данных на российские серверы в тех процессах обработки ПДн, где происходит сбор. Для начала проведите аудит текущих хранилищ и определите, какие из них расположены за рубежом. Затем выберете отечественного хостинг‑провайдера, способного обеспечить безопасность и отказоустойчивость, и организуйте перенос данных с минимальными рисками потери или компрометации информации.
Нужно провести пересмотр и всех договоров с иностранными поставщиками. В контрактах должны быть положения о локализации данных, а при необходимости стоит заключить к каждому договору дополнительное соглашение о соблюдении этих требований. Если возникают трудности с адаптацией документов или другая сторона отказывается соблюсти эти требования, от сотрудничества лучше отказаться, чтобы избежать претензий контролирующих органов. Стоит пересмотреть и регламентировать сбор согласий пользователей, алгоритмы хранения и доступа, внутреннюю отчетность по операциям с ПДн и процедуры трансграничной передачи данных.
Практические советы для бизнеса: с чего начать
Компании, которые хотят минимизировать риски и пройти адаптацию без потерь, должны действовать уже сейчас.
Проведите аудит данных:
- определите, где и как хранятся ПДн;
- определите, в каких процессах происходит сбор ПДн;
- зафиксируйте объемы, источники и маршруты передачи данных;
- составьте карту использования зарубежных сервисов.
Рассмотрите варианты локализации:
- выберите российских ИТ‑партнеров;
- разработайте план поэтапного переноса;
- протестируйте новые решения.
Обновите документацию:
- скорректируйте политики конфиденциальности;
- пересмотрите договоры с контрагентами;
- подготовьте новые формы согласий;
- организуйте хранение журналов регистрации операций с ПДн.
Пересмотрите используемые сервисы:
- откажитесь от нерегламентированных решений;
- заключите договоры с поставщиками, соблюдающими требования;
- найдите отечественные аналоги критически важных систем.
Штрафы и ответственность
Нарушение требований локализации чревато существенными финансовыми рисками. Так, согласно части 8 и части 9 статьи 13.11 КоАП РФ:
- за первое нарушение — штраф до 6 млн рублей;
- за повторное — до 18 млн рублей.
Для компаний, работающих в публичном поле, это может также обернуться репутационными издержками. При этом на данный момент практика такова, что штрафуют иностранные компании, а не российских операторов.
Что с трансграничной передачей: можно, но осторожно
Что касается трансграничной передачи данных, здесь все осталось по‑прежнему: есть страны, обеспечивающие адекватную защиту, а есть страны, которые этого не делают. Они перечислены в специальном перечне, который утверждает Роскомнадзор. Также остается и требование уведомлять Роскомнадзор про намерение осуществить трансграничную передачу и проводить оценку конфиденциальности и безопасности такой передачи.
Отличия здесь будут в оценке — оценка в отношении стран, которые относятся к обеспечивающим адекватную защиту ПДн, производится проще, чем в отношении стран, обеспечивающих недостаточную защиту данных. Разница также и в том, что по странам с адекватной защитой передавать данные можно сразу после подачи уведомления, а по странам с недостаточной защитой нужно подождать 10 рабочих дней, в течение которых Роскомнадзор может задать вопросы.
Нововведения в этой области касаются механизма признания стран обеспечивающими адекватную защиту. Если раньше это определялось по участию страны в Конвенции 108, то теперь решение принимает сам Роскомнадзор — исходя из реальной правоприменительной практики, а не формального статуса.
В целом, бизнес не должен столкнуться с глобальными проблемами при адаптации к изменениям. Своевременная подготовка позволит избежать штрафов, снизить риски и укрепить позиции на рынке. Новые правила — это не только про соответствие требованиям, но и про зрелость бизнеса в вопросах информационной безопасности и отношения к данным своих клиентов.
