В условиях роста объемов персональных данных в интернете новые законодательные инициативы становятся важным инструментом защиты прав граждан и регулирования бизнеса. С начала 2024 года Роскомнадзор зафиксировал случаи утечек личной информации, что подчеркивает необходимость пересмотра подходов к обработке и хранению данных. В статье рассмотрим, как новые законы повлияют на бизнес-практики и какие меры компании должны предпринять для соблюдения требований законодательства и обеспечения безопасности персональных данных.
Персональные данные: что изменилось для владельцев бизнеса
С 30 мая 2025 года вступили в силу два новых федеральных закона, которые внесли изменения в Уголовный кодекс и Кодекс об административных правонарушениях (№ 420-ФЗ и № 421-ФЗ). Эти нововведения значительно усиливают ответственность за нарушение правил обработки персональных данных и касаются большинства организаций, работающих с физическими лицами как в интернете, так и в реальной жизни.
Основные изменения:
- Штрафы за неуведомление Роскомнадзора значительно увеличены. Теперь за отсутствие регистрации в качестве оператора персональных данных компании могут быть оштрафованы на сумму от 100 до 300 тысяч рублей.
- Введены оборотные штрафы за утечку персональных данных. Если раньше такие случаи рассматривались индивидуально, то теперь организация может быть оштрафована на сумму от 1 до 3 миллионов рублей, даже если утечка произошла по вине подрядчика.
- Ужесточена уголовная ответственность. Закон № 420-ФЗ расширил определение неправомерного сбора персональных данных и установил наказание, вплоть до лишения свободы. Также предусмотрено наказание за незаконное распространение данных, особенно если это привело к массовой утечке или нанесло ущерб гражданам.
- Расширена зона ответственности. Теперь закон распространяется даже на тех, кто собирает минимальный набор данных: адрес электронной почты, номер телефона, имя. Например, онлайн-форма обратной связи на сайте уже считается обработкой персональных данных и требует регистрации.
С введением новых законов, касающихся обработки персональных данных, эксперты отмечают значительные изменения в подходах бизнеса к этой сфере. Компании будут вынуждены пересмотреть свои стратегии сбора и хранения данных, уделяя больше внимания соблюдению требований законодательства. Это приведет к увеличению инвестиций в технологии защиты данных и обучение сотрудников.
По мнению специалистов, такие изменения могут способствовать повышению доверия со стороны клиентов, так как прозрачность в обработке персональных данных станет важным конкурентным преимуществом. Однако, с другой стороны, малые и средние предприятия могут столкнуться с трудностями в адаптации к новым требованиям, что может привести к неравномерному распределению ресурсов на рынке. В целом, эксперты считают, что новые законы создадут более безопасную среду для пользователей, но потребуют от бизнеса значительных усилий для их соблюдения.
https://youtube.com/watch?v=oErWvU1W790
Не только банки и маркетплейсы: кого касаются новые требования
Новая версия законов не делает исключений по масштабу бизнеса. Оператором персональных данных автоматически считается любая компания, индивидуальный предприниматель или самозанятый, если в своей работе он:
- заключает договоры с физическими лицами;
- собирает заявки на сайте, через соцсети или мессенджеры;
- подключает эквайринг или CRM-систему;
- использует электронную почту или телефон для обратной связи;
- оформляет заказы через онлайн-магазин;
- работает с клиентами офлайн, но вносит данные в базу.
Формально даже один e-mail или номер телефона — это уже обработка персональных данных. И она должна быть не только оформлена юридически, но и технически защищена. Незнание правил, отсутствие уведомления Роскомнадзора или неактуальные документы приравниваются к нарушению. Представьте: один клиент пожаловался — и ваш бизнес в списке нарушителей со штрафом 100 тыс. руб.
Особое внимание необходимо обратить, если бизнес связан с данными сферами:
- медицина (данные о здоровье относятся к специальной категории, обрабатываются с особыми мерами защиты);
- финансовые и юридические услуги (включая кредитование, страхование, бухгалтерский консалтинг);
- образование и EdTech (где собираются данные несовершеннолетних);
- e-commerce и онлайн-сервисы, особенно если работают по модели подписки или ведут рассылки.
Отдельная зона риска — трансграничная передача данных. По закону все персональные данные россиян должны храниться на территории РФ. Использование зарубежных сервисов (например, Google Forms, Trello, Notion, Airtable, Amazon Web Services и других) без соответствующих настроек локализации может быть расценено как нарушение. При этом зачастую бизнес просто не знает, где физически находятся его базы.
| Аспект изменений | Суть изменений | Влияние на бизнес |
|---|---|---|
| Ужесточение требований к согласию на обработку данных | Согласие должно быть конкретным, информированным и однозначным. Нельзя использовать «галочки по умолчанию». | Усложнение процесса сбора данных, необходимость пересмотра форм согласия, возможное снижение объема собираемых данных. |
| Расширение прав субъектов данных | Право на доступ, исправление, удаление, переносимость данных, а также право на возражение против обработки. | Увеличение нагрузки на IT-системы для реализации этих прав, необходимость разработки процедур обработки запросов от пользователей. |
| Усиление ответственности за нарушения | Значительное увеличение штрафов за несоблюдение законодательства о персональных данных. | Повышение рисков для бизнеса, необходимость инвестиций в системы защиты данных и обучение персонала. |
| Обязательная оценка воздействия на защиту данных (DPIA) | Для высокорисковых операций с персональными данными требуется проведение оценки воздействия. | Дополнительные затраты времени и ресурсов на проведение оценок, необходимость привлечения экспертов. |
| Назначение ответственного за защиту данных (DPO) | Для определенных категорий компаний обязательно назначение DPO. | Дополнительные кадровые расходы, необходимость поиска квалифицированных специалистов. |
| Трансграничная передача данных | Усложнение процедур передачи данных за пределы страны, необходимость обеспечения адекватного уровня защиты. | Ограничение возможностей для международного сотрудничества, необходимость пересмотра контрактов с зарубежными партнерами. |
| Принцип минимизации данных | Бизнес должен собирать только те данные, которые необходимы для заявленной цели. | Необходимость пересмотра процессов сбора данных, отказ от избыточной информации. |
| Уведомление о нарушениях | Обязанность уведомлять надзорные органы и субъектов данных о нарушениях безопасности данных. | Увеличение репутационных рисков, необходимость разработки планов реагирования на инциденты. |
| Принцип подотчетности | Бизнес должен быть способен продемонстрировать соблюдение законодательства о персональных данных. | Необходимость ведения подробной документации, аудитов и проверок. |
Интересные факты
Вот несколько интересных фактов о том, как новые законы могут изменить подход бизнеса к персональным данным:
-
Ужесточение ответственности: Новые законы, такие как GDPR в Европе и аналогичные инициативы в других странах, вводят строгие штрафы за нарушение правил обработки персональных данных. Это заставляет компании пересматривать свои внутренние процессы и внедрять более строгие меры безопасности, чтобы избежать финансовых потерь и репутационных рисков.
-
Прозрачность и согласие: С введением новых норм акцент смещается на необходимость получения явного согласия пользователей на обработку их данных. Это приводит к тому, что компании начинают активно информировать клиентов о том, как и зачем используются их данные, что может повысить уровень доверия и лояльности со стороны потребителей.
-
Инновации в обработке данных: В ответ на новые требования бизнеса приходится искать инновационные решения для обработки и хранения персональных данных. Это может включать использование технологий, таких как блокчейн, для обеспечения безопасности и прозрачности, а также внедрение искусственного интеллекта для автоматизации процессов соблюдения законодательства.
https://youtube.com/watch?v=He1lGbdSG4U
Читайте также:
Типичные ошибки, которые совершают компании
- Отсутствие регистрации в Роскомнадзоре часто связано с недопониманием, что сбор адресов электронной почты или номеров телефонов через форму на сайте уже считается обработкой персональных данных.
- Шаблонные документы, не адаптированные под конкретные бизнес-процессы, — политика обработки персональных данных зачастую копируется из интернета без учета реальных условий.
- Обработка данных без получения согласия или с установленной «галочкой по умолчанию» является нарушением законодательства, особенно если информация передается третьим лицам, таким как подрядчики, колл-центры или IT-компании.
- Сбор избыточной информации или ее бессрочное хранение — отсутствуют ограничения по срокам, удалению и контролю доступа к данным.
- Использование зарубежных облачных сервисов без предварительного анализа рисков — размещение баз данных за пределами российской юрисдикции может привести к штрафам в размере от 150 до 300 тысяч рублей.
Чтобы избежать подобных проблем, достаточно провести аудит бизнес-процессов и обновить документы в соответствии с актуальными требованиями. Полагаться на старые поблажки больше не следует.
«Существует ошибочное мнение, что Роскомнадзор не обратит внимания на малый бизнес. Но это лишь вопрос времени. В настоящее время под особым контролем находятся крупные корпорации, однако практика показывает, что малый и средний бизнес — следующий в списке. Поэтому лучше заранее разобраться в требованиях и наладить систему работы с персональными данными, чем потом спешно исправлять все в экстренном порядке», — подчеркивает Тимур Либерман.
Как подготовить бизнес к новым требованиям
В 2025 году недостаточно просто «не нарушать закон» — важно заранее выстроить систему защиты персональных данных. Вот пошаговая инструкция:
https://youtube.com/watch?v=i5Zrob6mfxI
1. Уведомить Роскомнадзор
Первый и необходимый этап — регистрация в реестре операторов персональных данных. Этот процесс следует завершить до начала обработки персональных данных, а не после. Заявку можно подать на сайте Роскомнадзора, указав цели обработки, категории данных, методы защиты и другие важные параметры.
Даже если ваша компания просто собирает адреса электронной почты для рассылок или принимает заказы через интернет — регистрация является обязательной.
2. Создать комплект локальных документов
В зависимости от характера работы с ПДн нужно оформить:
- политику обработки персональных данных (публичную);
- внутренние положения и регламенты по работе с данными;
- формы согласия под каждую цель обработки (для клиентов, сотрудников, партнеров);
- обязательства сотрудников о неразглашении;
- инструкции при инцидентах (например, в случае утечки).
Шаблонные документы из интернета в большинстве случаев не соответствуют требованиям и создают ложное чувство безопасности. Контрольные органы оценивают содержание и релевантность документов, а не их наличие.
3. Обеспечить техническую и организационную защиту данных
Персональные данные должны соответствовать следующим требованиям:
-
Читайте также:
- храниться исключительно на серверах, находящихся на территории Российской Федерации;
- быть защищены с помощью различных средств безопасности: шифрование, антивирусные программы, контроль доступа, резервное копирование;
- быть доступными только для тех сотрудников, которым это действительно необходимо;
- подлежать удалению или обезличиванию по завершении срока их обработки.
Кроме того, необходимо установить порядок действий в случае инцидентов, включая уведомление Роскомнадзора и субъектов данных.
4. Провести аудит или привлечь экспертизу
Оценка бизнес-процессов позволяет выявить неочевидные риски: старые формы на сайте, незащищенные CRM, подрядчики без согласий и доступов. Данный процесс занимает от одного дня (аудит) до двух недель (разработка и внедрение документации).
При отсутствии специалиста по информационной безопасности или юриста, отвечающего за ПДн, целесообразно обратиться к подрядчику. Это снижает вероятность ошибок и экономит ресурс на исправление нарушений.
Защита данных — не формальность, а необходимость
Изменения в законодательстве, касающемся персональных данных, не являются попыткой ограничить бизнес новыми штрафами и требованиями. Это реакция на реальную угрозу: утечки информации становятся инструментом для мошенников, спамеров и недобросовестных компаний.
Здесь речь идет не столько о контроле, сколько о развитии всей экосистемы. Государство усиливает надзор, чтобы побудить бизнес пересмотреть свое отношение к персональным данным. Это действительно правильный шаг. С ростом цифровизации, развитием отечественного программного обеспечения и усилением контроля за информационной безопасностью бизнес начинает трансформироваться. Формируется осознание: данные — это актив, который необходимо защищать системно.
Мнение автора может не совпадать с позицией редакции.
5. Обучить сотрудников основам работы с персональными данными
С введением новых законов, касающихся обработки и защиты персональных данных, компании сталкиваются с необходимостью пересмотра своих внутренних процессов и подходов к работе с данными клиентов. Одним из ключевых аспектов этого процесса является обучение сотрудников основам работы с персональными данными. Это не просто формальность, а важный шаг к обеспечению соблюдения законодательства и минимизации рисков, связанных с утечками и неправомерным использованием данных.
Во-первых, обучение сотрудников должно охватывать основные понятия, связанные с персональными данными, такими как что такое персональные данные, какие категории данных существуют и как они могут быть использованы. Сотрудники должны понимать, какие данные они обрабатывают в своей повседневной работе и какие права имеют субъекты данных. Это знание поможет им осознанно подходить к своей деятельности и избегать ошибок, которые могут привести к юридическим последствиям.
Во-вторых, важно обучить сотрудников правилам и процедурам обработки персональных данных. Это включает в себя знание о том, как правильно собирать, хранить, передавать и уничтожать данные. Сотрудники должны быть осведомлены о том, какие меры безопасности необходимо применять для защиты данных, включая использование шифрования, регулярные обновления программного обеспечения и соблюдение принципов минимизации данных.
Кроме того, обучение должно включать информацию о последствиях нарушения законодательства о защите персональных данных. Сотрудники должны понимать, что несоблюдение правил может привести не только к штрафам для компании, но и к потере доверия клиентов, что в свою очередь может негативно сказаться на репутации бизнеса. Примеры реальных случаев утечек данных и их последствий могут служить эффективным инструментом для повышения осведомленности и ответственности сотрудников.
Также стоит рассмотреть возможность внедрения регулярных тренингов и семинаров по вопросам защиты персональных данных. Это поможет поддерживать высокий уровень осведомленности среди сотрудников и позволит оперативно реагировать на изменения в законодательстве. Важно, чтобы обучение не было одноразовым мероприятием, а стало частью корпоративной культуры компании.
Наконец, стоит отметить, что обучение сотрудников должно быть адаптировано под конкретные задачи и специфику бизнеса. Разные отделы могут иметь различные потребности в знаниях о персональных данных, и подход к обучению должен учитывать эти различия. Например, сотрудники отдела маркетинга могут нуждаться в более глубоком понимании согласия на обработку данных, в то время как работники службы поддержки должны быть осведомлены о том, как правильно обрабатывать запросы клиентов на доступ к их данным.
Таким образом, обучение сотрудников основам работы с персональными данными является неотъемлемой частью стратегии компании по соблюдению новых законов и обеспечению безопасности данных. Это не только защитит бизнес от юридических рисков, но и поможет создать доверительные отношения с клиентами, что в долгосрочной перспективе будет способствовать успешному развитию компании.
Вопрос-ответ
Какие изменения вступили в силу по персональным данным с 30 мая 2025 года?
30 мая 2025 года вступили в силу изменения, предусматривающие значительное увеличение штрафов за утечку персональных данных. При утечке данных от 1 000 до 10 000 человек для индивидуальных предпринимателей и компаний — от 3 до 5 млн руб.
Что меняется в законе о персональных данных?
Изменения в законе о персональных данных начали действовать. Увеличился штраф за нарушение требований по сбору, способам обработки и хранению информации, позволяющей идентифицировать субъекта. Если ваш бизнес предполагает сбор информации о клиентах, отнеситесь к этому максимально серьёзно.
Какие изменения внесены в обработку персональных данных с 1 марта 21 года?
С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.
Что изменилось в согласии на обработку персональных данных?
Согласно новым нормам, согласие на обработку персональных данных должно быть оформлено в виде отдельного документа, не объединенного с другими. Данные изменения направлены на обеспечение прозрачности и информированности субъекта персональных данных.
Советы
СОВЕТ №1
Изучите новые законы о защите персональных данных, чтобы понять, какие изменения необходимо внести в вашу бизнес-практику. Это поможет избежать штрафов и улучшить репутацию вашей компании.
СОВЕТ №2
Обновите политику конфиденциальности и условия использования данных, чтобы они соответствовали новым требованиям. Убедитесь, что ваши клиенты понимают, как их данные будут использоваться и защищаться.
СОВЕТ №3
Инвестируйте в обучение сотрудников по вопросам обработки и защиты персональных данных. Это поможет создать культуру соблюдения норм и стандартов в вашей компании.
СОВЕТ №4
Рассмотрите возможность внедрения технологий для управления данными, таких как системы шифрования и анонимизации, чтобы повысить уровень безопасности и соответствия новым требованиям законодательства.
