С начала июня 2025-го в России вводятся новые строгие правила работы с персональной информацией. Это касается всех компаний — от маленьких онлайн-продавцов до крупнейших организаций. Им предстоит пересмотреть порядок получения, сохранения и эксплуатации сведений о сотрудниках и потребителях. За несоблюдение новых норм предусмотрены крупные штрафы.

Хранение данных внутри страны

Операторы теперь обязаны не только получать персональные сведения, но и обеспечивать их хранение и обработку строго на территории России. Требования затронут организации, использующие международные инструменты (например, облачные платформы, формы Google или системы аналитики). Под регулирование попадут также предприятия, применяющие иностранные ИТ-сервисы с зарубежными серверами либо передающие личные данные пользователей за пределы России при работе с международными партнерами.

До сих пор законодательство разрешало осуществлять первоначальную обработку данных на территории РФ, после чего допускалась отправка информации на зарубежные сервера. Теперь эта схема становится незаконной — вся информационная инфраструктура обязана находиться именно в России.

Контроль над соблюдением нового законодательства возложен на автоматическую систему мониторинга «Ревизор», разработанную Роскомнадзором. Система следит за местонахождением серверов и проверяет потоки трафика.

Перенос данных за рубеж возможен лишь с предварительного одобрения Роскомнадзора. Так, туристическим фирмам потребуется специальное разрешение для передачи личных данных клиентов иностранным партнерам, оформив заявку и включившись в реестр трансграничных передач.

Использование файлов cookie

Закон формально не регулирует применение cookies, однако Роскомнадзор фактически относит их к инструментам сбора личной информации.

Пользовательские сайты по-прежнему обязаны информировать посетителей о сборе cookie и запрашивать согласие на их использование специальным сообщением при первой загрузке страницы.

Посетители должны получить выбор между различными типами собираемых данных (аналитическими, рекламными, техническими), а также право вовсе запретить сбор cookie, исключая обязательные для функционирования сайта файлы.

Если cookie включают идентификационные сведения, их обработка допускается только в пределах России.

Ответственность за нарушение требований

За правонарушения в сфере обработки ПД вводится повышенная административная ответственность согласно изменениям в статье 13.11 КоАП.

Штрафные санкции грозят организациям в следующих ситуациях:

  • сокрытие факта утечки данных;
  • несанкционированный обмен личной информацией третьими лицами;
  • небрежность операторов, повлекшая утечку данных;
  • недостаточная защита данных вследствие невыполнения требований информационной безопасности.

Если предприятие ранее было наказано за аналогичные нарушения, оно столкнется с санкциями в виде оборотного штрафа, рассчитываемого исходя из доходов фирмы.

Как предотвратить финансовые потери?

Для предотвращения убытков и поддержания репутации компаниям рекомендуется принять следующие меры:

Локализация данных

При регистрации домена или размещении веб-ресурса за рубежом необходимо перевести всю инфраструктуру на российские серверы. Следует провести аудит используемых инструментов — таких как CRM-системы, аналитические решения, email-сервисы и облака, чтобы удостовериться, что данные россиян обрабатываются в России.

Если переход на российский сервис невозможен, надо обеспечить локализацию данных в границах РФ.

При передаче данных за границу необходимо своевременно уведомлять Роскомнадзор и оформлять соответствующую документацию.

Защита пользовательских данных

Недостаточно просто разместить информацию в России — важно защитить ее от кражи. Для этого полезно использовать современные методы криптографии, двухфакторную авторизацию для персонала и регулярно обновлять ПО, включая антивирусы. Доступ к данным следует ограничивать, предоставляя его только сотрудникам, которым это реально необходимо.

Настройка cookie-файлов

Необходимо предусмотреть механизмы отказа пользователей от сбора cookie и классифицировать виды собираемой информации. Данные, содержащие идентификационную информацию, подлежат хранению исключительно на российских серверах.