Полный гид по новым правилам обработки и защиты персональных данных в 2025 году. Разбираемся, что изменилось для операторов ПДн: от получения согласия и работы с cookies до актуальных требований по защите и документообороту. Узнайте, как избежать штрафов Роскомнадзора.
Представьте себе: вы управляете онлайн-магазином или приложением, у вас есть база клиентов, и вы спокойно работаете. Потом вдруг находите письмо от Роскомнадзора о том, что данные людей, которых вы собирали, обрабатывались неправильно. Штраф, репутационный ущерб, возможна блокировка сайта. Такие сценарии уже случались в 2025 году с реальными компаниями, которые не прошли вовремя обновление своих процессов. Эксперты Nubes расскажут о самых актуальных новациях в сфере защиты персональных данных.
Персональные данные — это не просто информация. Это активы, которые люди вам доверяют, и ответственность, за которую государство готово штрафовать на миллионы. Если ваша компания пока что обходилась старыми подходами, то к октябрю 2025 года вы рискуете. На протяжении весны и лета этого года волна изменений в законодательстве потребовала от всех — от интернет-магазинов до корпораций — переделать способ, которым они собирают, хранят и защищают информацию о людях.
Этот текст — не сухой пересказ закона. Это разбор того, что действительно поменялось, почему это поменялось, и как это повлияет на вашу работу. Если вы уже адаптировались, вы узнаете, все ли вы сделали правильно. Если нет — есть ещё время, хотя окно сужается.
С конца мая текущего года произошли значительные изменения, которых компании опасались длительное время. Размеры штрафов за нарушения в сфере защиты персональных данных существенно увеличились. Если ранее неправильное обращение с персональными данными клиентов грозило штрафами в размере нескольких десятков тысяч рублей, то теперь речь идёт о суммах, способных привести к серьёзным финансовым потерям компаний среднего бизнеса.
Что именно изменилось? Размер штрафов теперь напрямую зависит от степени серьёзности нарушения и его масштабов. Так, если персональные данные были обработаны без согласия субъекта, штраф уже не является минимальным. В случае утечки данных с последующим несвоевременным уведомлением, штраф удваивается. Если же утечка затрагивает тысячи или миллионы субъектов данных, сумма санкций может достигать миллионов рублей. Компании, работающие в сферах маркетинга или электронной коммерции, могут столкнуться с штрафами, эквивалентными нескольким годам их прибыли за один инцидент.
Помимо денежных штрафов введены так называемые «оборотные санкции», которые ранее именовались блокировками. В случае серьёзного нарушения законодательства Роскомнадзор вправе временно заблокировать сайт компании на период проверки и разбирательства. Также может последовать удаление приложения из российских магазинов приложений. Это означает не просто финансовое наказание, но и существенное ограничение возможности ведения бизнеса.
С 1 июля текущего года первичная запись персональных данных граждан России должна осуществляться на серверах, расположенных на территории Российской Федерации. Это означает, что при вводе данных пользователем на вашем сайте информация должна изначально сохраняться именно на российских серверах, а уже затем может быть скопирована в другие регионы.
Если вы используете облачные сервисы, рекомендуется проверить условия контракта. Многие облачные провайдеры имеют серверы в России, однако их архитектура может предусматривать первоначальную обработку данных в другом регионе с последующим копированием. Важно убедиться, что первичная запись данных происходит непосредственно в России.
Компании, не выполнившие это требование к июлю, столкнутся с выбором: либо оперативно сменить провайдера, либо работать с нарушением действующего законодательства.
Это, пожалуй, самое революционное изменение из всех, которое произошло в 2025 году. Раньше вы могли включать требование о согласии на обработку данных прямо в пользовательское соглашение, в третий абзац, мелким шрифтом, рядом с двадцатью другими пунктами. Пользователь просто кликал «я согласен с условиями», и считалось, что вы получили согласие на обработку его персональных данных.
С первого сентября этот способ больше не действует. Согласие на обработку должно быть оформлено отдельным документом. Отдельный чекбокс, отдельная страница, отдельное действие. При регистрации на вашем сайте человек должен дополнительно выразить согласие именно на обработку персональных данных. Это согласие не может быть «молчаливым» — пользователь обязан активно выполнить действие: отметить галочку, нажать кнопку или подписать документ. Надежда на то, что «они же уже согласились в условиях», больше не оправдана.
Кроме того, само согласие должно быть чётким и понятным. Нельзя ограничиваться формулировкой «согласен на обработку данных». Необходимо указывать, какие именно данные обрабатываются, для каких целей, кто является оператором и как долго данные будут храниться. Пользователь должен осознавать, на что он даёт согласие.
К октябрю компании, стремящиеся соблюдать законодательство, уже адаптировали свои формы согласия. Те, кто этого не сделал, находятся в зоне риска нарушений и могут быть подвергнуты штрафам при проверке Роскомнадзором.
Государство действительно получило расширенные полномочия контроля, в том числе право требовать обезличенные данные, которые не содержат напрямую идентифицирующую информацию о конкретных лицах, но сохраняют статистическую ценность. Такие данные должны быть представлены в обработанной форме, при этом метод обезличивания должен быть эффективным и надежным, исключать прямое и косвенное выявление личности.
Обязательным является ведение реестра процедур обезличивания: фиксируются дату, метод, причины и лица, которым данные переданы. При поступлении официального запроса компании обязаны в установленный срок предоставить требуемые наборы данных, иначе могут быть наложены штрафы за непредоставление информации или неоказание содействия.
Таким образом, основные положения вашего текста соответствуют законодательным требованиям и практикам контроля в 2025 году. Малейшие уточнения могут касаться технических деталей методов обезличивания и регламентов реагирования на запросы, которые регулируются профильными приказами и стандартами Роскомнадзора и Минцифры.
Рекомендация: регулярно отслеживать обновления законодательства и методические рекомендации по обезличиванию и работе с ГИС для обеспечения полной правовой и технической соответствия .
Персональные данные — это любая информация, относящаяся к конкретному или определяемому физическому лицу, включая очевидные идентификаторы (ФИО, паспортные данные), а также косвенные признаки (номер телефона, email, история покупок). Важный момент — закон рассматривает данные не только по отдельности, но и как совокупность, которая может идентифицировать человека.
Такие данные, как IP-адрес, cookies и история кликов, считаются персональными, если на их основе можно определить пользователя. Фотографии с изображением лица, дата рождения, сведения о здоровье и биометрические данные (отпечатки, сканы) относятся к персональным данным, причем биометрия считается особо чувствительной, требующей усиленной защиты.
Дополнительные данные, такие как время активности, регион доступа, история просмотров, также могут стать персональными, если они в совокупности позволяют идентифицировать пользователя.
Действительно, информация, опубликованная самим субъектом в открытых источниках (например, имя и должность на сайте компании), может не считаться персональными данными в зависимости от конкретного контекста и цели использования. Однако это исключение достаточно узкое и сложное с правовой точки зрения, поэтому рекомендуется подходить к таким данным с осторожностью и по возможности считать их ПДн.
Обезличенные данные, которые невозможно связать с конкретным человеком даже при комбинировании с другими источниками, не признаются персональными данными. Пример с процентом пользователей смартфонов — это статистика, не ПДн, в то время как идентифицирующий набор характеристик, приводящий к возможности реидентификации, снова становится ПДн.
Служебные номера без прямой привязки к конкретному лицу, например номера бухгалтерии или отдела продаж, обычно не считаются ПДн. Но если номер относится к конкретному сотруднику — это персональные данные.
Таким образом, ваш текст полностью корректен и соответствует актуальным правовым нормам и практикам. Рекомендуется всегда учитывать контекст использования данных и консультироваться с профильными специалистами при сомнениях, а также следить за обновлениями законодательства и методическими рекомендациями Роскомнадзора .
Большинство информации, которую вы собираете о людях, — это обычные персональные данные. Фамилия, имя, номер телефона, email, адрес проживания, дата рождения, место работы, должность. Это информация, которая может быть использована для идентификации, но сама по себе не несёт в себе чего-то конфиденциального или чувствительного.
Для работы с такими данными нужно, конечно, согласие или другое правовое основание. Нужно защитить их от утечки. Нужно дать человеку возможность получить доступ к своим данным, исправить их или удалить. Но это стандартный уровень защиты, который применяется ко всем персональным данным вообще.
Здесь начинается другой уровень строгости. Если вы собираетесь обрабатывать данные о национальности, расе, этнической принадлежности человека, его политических убеждениях, религии, членстве в профсоюзах, судимостях, это специальные категории персональных данных. Государство очень тщательно охраняет эту информацию, потому что она может привести к дискриминации.
Просто так обработать такие данные невозможно. Вы не можете сказать: «Я получил согласие человека на обработку персональных данных, поэтому я могу обработать информацию о его религии». Нет. Вам нужно специальное согласие именно на эту категорию, или вам нужно очень специфичное исключение в законе. Например, если вы работаете в МВДЦ для людей с инвалидностью, вы можете обрабатывать данные об инвалидности, потому что это необходимо для вашей деятельности. Но типичной компании такое не дозволено.
Биометрия — это отпечатки пальцев, форма лица, голосовые характеристики, структура глаза. Это уникально для каждого человека и не может быть изменено, в отличие от пароля. Именно поэтому законодатель относится к биометрии с максимальной осторожностью.
Если вы хотите внедрить систему распознавания лица на входе в офис, вы не можете просто добавить это в пользовательское соглашение. Вам нужно получить явное, отдельное согласие от каждого человека. С сентября 2025 года это согласие обязательно должно быть отдельным документом. Если вы собираетесь использовать биометрию для чего-то ещё, вам нужно отдельное согласие для каждого способа использования.
Закон знает про категорию «общедоступные персональные данные» — это информация, которую сам человек позволил распространять и опубликовал открыто. Но здесь сложность. Если информация просто видна в интернете, это ещё не делает её общедоступной в смысле закона. Нужно, чтобы человек намеренно позволил её распространять.
Например, фото в социальной сети может быть открыто видно, но если вы хотите использовать это фото для обучения нейросети распознавания лиц, вам всё равно нужно отдельное согласие. Потому что человек не давал согласие на такое использование.
В случае сомнения всегда предполагайте, что это персональные данные. Лучше быть предусмотрительнее, чем получить штраф от Роскомнадзора.
Люди, чьих данных вы обрабатываете, называются субъектами персональных данных. Вы, то есть ваша компания или вы как индивидуальный предприниматель, являетесь оператором, если вы решаете, какие данные нужны, как их обрабатывать, для каких целей.
На оператора падает вся ответственность. Если данные собраны незаконно, ответственен оператор. Если данные украдены, ответственен оператор. Если человек не может получить доступ к своим данным, ответственен оператор. Если произойдёт утечка, штраф будет выписан оператору.
Это означает, что вы не можете просто собрать данные и забыть о них. Вы должны постоянно следить за ними, обновлять способы защиты, обучать свой персонал, вести документацию, готовиться к проверкам.
На практике вы редко обрабатываете данные сами. Вы используете облачный сервис, CRM-систему, аналитику, email-маркетинг. Все эти сервисы — обработчики. Они получают данные от вас и обрабатывают их по вашим указаниям.
Между вами и обработчиком должен быть специальный договор о поручении обработки медицинских данных. Это не просто договор на оказание услуг — это отдельный документ, который подробно регулирует работу с данными. В нем должно быть четко написано, какие данные передаются, как долго, как они защищаются, что обработчик не может с ними делать. Обработчик не может использовать ваши данные для своих целей. Если обработчик захочет привлечь ещё кого-то, он не сможет это сделать без вашей договоренности.
Но главное: вы остаетесь ответственным. Если облачный провайдер, которому вы доверили данные, допускает утечку, Роскомнадзор придёт именно к вам, а не к провайдеру. Поэтому выбор провайдера и контроль его работы — это критичная задача.
Не вся обработка требует согласия. Закон предусмотрел несколько ситуаций, когда вы можете обрабатывать данные без явного согласия человека, но только при наличии другого правового основания.
Если человек купил товар у вас, вам нужны его адрес и телефон, чтобы доставить товар. Это исполнение контракта — правовое основание. Вам не нужно звонить ему и просить согласие на то, чтобы знать его адрес, потому что это необходимо для исполнения договора, который он уже подписал.
Если закон требует вести налоговую отчётность, и вам нужны данные сотрудников или клиентов в целях налогообложения, это тоже правовое основание. Вы можете обрабатывать эти данные, потому что это требует закон.
Если происходит чрезвычайная ситуация и нужно спасти жизнь, вы можете обработать медицинские данные человека без согласия, потому что это жизнь.
Если вы боретесь с мошенничеством или хотите улучшить свой сервис на основе анализа использования, это можно считать «законными интересами оператора», которые не нарушают права субъекта. Но это самое туманное основание, и его часто оспаривают. Будьте осторожны с ним.
С сентября 2025 года согласие должно быть оформлено отдельным документом. Это не может быть пункт в общих условиях. Это должен быть отдельный текст, отдельная страница, отдельное действие пользователя.
На практике это означает, что на вашем сайте должна быть специальная форма согласия. Человек заполняет контактные данные, затем его просят отметить галочку в форме согласия на обработку персональных данных, затем нажать кнопку подтверждения. Система должна сохранить, когда это произошло, кто это сделал, какие данные согласны были обработаны.
Согласие должно содержать конкретику. Вы не можете написать просто «согласен на обработку данных». Нужно написать: «Согласен на обработку моего имени, фамилии, email-адреса и номера телефона в целях доставки товара и уведомления о статусе заказа, данные будут храниться 3 года, обрабатываться компанией N и облачным провайдером M».
Если человек изменил решение, он должен иметь возможность отозвать согласие одним кликом.
Когда человек отозвал согласие, вы больше не можете обрабатывать его данные на основе этого согласия. Вы должны удалить информацию, которая была собрана под этим согласием.
Однако важно понимать, что отзыв согласия не отменяет законных оснований обработки персональных данных, не связанных с этим согласием. Например, если данные необходимы для исполнения договора (например, сохранение информации о заказе) или для выполнения требований налогового законодательства, такая обработка может и должна продолжаться независимо от отзыва согласия на маркетинговую коммуникацию.
Таким образом, после отзыва согласия на маркетинг вы обязаны прекратить рассылку рекламных сообщений, но хранение и обработка данных для иных законных целей, таких как выполнение договора и налоговый учёт, остаётся законной и необходимой.
Рекомендуется иметь чёткие внутренние процессы по учёту согласий и отзывов, а также разграничению целей обработки для полной правовой безопасности и удобства управления персональными данными .
Основная норма гласит, что первичная запись персональных данных граждан России должна осуществляться только на серверах, находящихся на территории России. Это означает, что при сборе данных через сайт, приложение или другие каналы, данные сначала должны попасть на российский сервер. Если используется облачный сервис, необходимо проверить архитектуру и договор снабжения — первичная запись должна происходить в России.
Многие облачные провайдеры имеют серверы в России, но зачастую данные изначально идут в зарубежные регионы с последующим копированием, что нарушает требования по локализации. Организация, не выполнившая эти требования к июлю 2025 года, рискует получить штрафы до 6 млн рублей за первое нарушение.
Закон касается как операторов, так и обработчиков, но основная ответственность, включая штрафы, лежит на операторах. Поэтому выбор провайдера и контроль за соблюдением правил локализации данных — критически важные задачи.
Если вы работаете с иностранными сервисами, полезно иметь в виду стандарты других юрисдикций. Например, европейское регулирование GDPR часто рассматривается как эталон строгости. Когда Роскомнадзор оценивает уровень защиты в иностранной компании, он сравнивает его с аналогичными требованиями. Защита данных GDPR предусматривает, в частности, обязательность уведомления субъектов данных при утечке в течение 72 часов, право на удаление («право быть забытым»), и проведение оценки воздействия на защиту данных перед внедрением новых систем обработки.
Хотя в России требования в некоторых моментах отличаются, при работе с европейскими партнёрами убедитесь, что ваш контракт соответствует обоим стандартам. Это усложнит жизнь, но убережёт от конфликтов.
Типичный сайт обрабатывает данные в нескольких местах. Форма регистрации требует согласия. Cookies — требует согласия. Виджет чата или видео, если они собирают данные, требуют согласия. Аналитика требует согласия.
Если вы используете Google Analytics, это зарубежный сервис, и данные передаются в США. Вам нужно согласие на обработку и отдельное согласие на трансграничную передачу. Российские аналоги типа Яндекс.Метрики избегут этих сложностей.
К октябрю наиболее дальновидные компании уже переделали свои сайты так, чтобы соответствовать требованиям.
Обезличивание — это процесс, при котором вы берёте ваши данные и переделываете их так, чтобы из них невозможно было понять, о ком идёт речь. Состав данных — это результат этого процесса. Вместо списка конкретных людей и их покупок вы предоставляете таблицу, где написано, сколько мужчин в возрасте 25-35 лет из Москвы что-то купили.
Государство получило право требовать такие составы для исследований, проверки безопасности, аналитики. Когда приходит запрос, вы должны ответить в установленный срок, иначе получите штраф.
Обезличивание должно быть надёжным. Просто скрыть имя недостаточно. Нужно применить метод, при котором даже если комбинировать эти данные с другой информацией, невозможно вернуться к конкретному человеку.
Удаление явных идентификаторов, агрегирование данных на уровне не менее 10-15 человек, введение шума, криптографические методы — всё это допустимые подходы. Но нельзя рассчитывать на то, что никто не сможет это восстановить. Если существует технический риск реидентификации, метод не работает.
Вы должны вести реестр всех процедур обезличивания. Когда было, как было, кому отправили. Этот реестр может запросить Роскомнадзор, и вы должны его предоставить.
Основной принцип: данные не должны храниться дольше, чем нужно для их целей. Для каждого типа данных нужен свой срок.
Данные для доставки товара — столько, сколько нужно для доставки плюс несколько лет на случай претензий и возвратов. Кадровые данные работников — весь период работы плюс архив на долгие годы, потому что требуется хранить документы по налогам. Данные, собранные для маркетинга на основе согласия, — только пока действует согласие. Как только человек отозвал согласие, отсчёт времени на удаление начинается. Логи безопасности — несколько лет, но не более того, потому что после определённого времени они становятся неактуальными.
Документирование сроков хранения критично. В вашей политике должно быть чёрным по белому написано, сколько месяцев или лет вы храните каждый тип информации и почему.
Если вы применили надёжное обезличивание, данные технически перестают быть персональными данными. Но слово «технически» здесь ключевое. Если существует способ, пусть даже сложный, восстановить личность человека, объединив эти данные с другой информацией, это всё ещё риск.
Представьте, что вы опубликовали: «В городе N есть единственный врач женского пола, родившаяся в 1985 году». Даже если вы не написали её имя, любой, кто знает врачей в этом городе, может вычислить, кто это. Это реидентификация. Даже если данные обезличены, это всё равно персональные данные с точки зрения закона, потому что они могут привести к идентификации.
Поэтому при обезличивании нужно быть внимательным. Агрегирование на малую подвыборку опасно. Уникальные комбинации признаков опасны. Публикация данных в форме, которая может быть скомбинирована с открытыми источниками для восстановления личности, опасна.
Когда срок хранения истёк, нужно удалить данные. Удаление должно быть задокументировано. Вы создаёте акт об уничтожении, в котором описываете, что именно было удалено, когда, как (перезапись нулями, физическое уничтожение, криптографическая очистка). Подписывают ответственные люди. Этот документ хранится в архиве как доказательство того, что вы соблюдали закон.
Это не бюрократия ради бюрократии. Это страховка. Если вас проверят и обнаружат, что вы храните данные дольше, чем нужно, акт об уничтожении покажет, что вы это делали для других данных, и снизит штраф или вообще спасёт вас от него.
Защита начинается не с установки продвинутых замков на двери, а с подготовки. Вы должны понимать, какие данные вы храните, где, кто имеет к ним доступ, что может пойти не так.
Модель угроз — это просто список «что если». Что если хакер попытается войти в систему? Что если сотрудник случайно передаст данные? Что если сервер сломается? Что если облачный провайдер допустит утечку? Для каждого сценария нужно думать о способе защиты.
Все, кто работает с данными, должны знать, что это данные, почему они важны, как их защищать. Новый сотрудник не должен узнать о требованиях только после того, как он допустит ошибку. Обучение нужно в первый день. Обновление знаний — ежегодно, минимум.
Доступы должны быть ограничены. Бухгалтер не должен видеть историю покупок клиентов. Маркетолог не должен видеть номера кредитных карт. Каждый видит только то, что нужно для его работы. И когда человек уходит из компании, доступ должен быть заблокирован в тот же день, максимум на следующий день.
Одна из самых недооценённых, но критически важных мер — это информационная гигиена в компании. Речь идёт не только об антивирусах и файерволах, но и о культуре безопасности среди сотрудников. Каждый, кто имеет доступ к персональным данным, должен понимать, что эта информация не просто цифры в базе — это доверие клиентов. Информационная гигиена включает в себя правильное обращение с документами (не оставлять их на столе, не обсуждать в открытом офисе), надёжные пароли (не записывать на стикеры), безопасное использование публичных WiFi, регулярное обновление паролей. Это кажется элементарным, но именно такие простые ошибки часто приводят к утечкам. Обучайте новых сотрудников этим правилам в первый день работы, и повторяйте ежегодно.
На техническом уровне серьёзная защита требует нескольких слоёв. Данные на диске должны быть зашифрованы. Если кто-то украдёт жёсткий диск, информация будет просто набором неразборчивых символов. Данные при передаче должны быть зашифрованы через HTTPS. Если хакер будет перехватывать трафик, он получит закодированный поток, а не открытый текст с паролями и email-адресами.
Ключи шифрования должны храниться отдельно от самих данных. Это как сейф с деньгами и ключ от сейфа в разных местах.
Доступ к данным должен быть контролируемым. Двухфакторная аутентификация для администраторов. Все попытки доступа должны логироваться. Если в логах обнаруживается 100 неудачных попыток входа подряд, система должна заблокировать этот источник.
Типичные ошибки, которые совершают разработчики: хранение пароля в открытом виде вместо хеша, использование простого HTTP вместо HTTPS, передача чувствительной информации в URL-параметрах, отсутствие резервных копий, публичный доступ к файлам конфигурации базы данных, отсутствие мониторинга подозрительной активности. Если ваш сайт совершает хотя бы одну из этих ошибок, это серьёзная уязвимость.
Последствия утечки персональных данных для компании выходят далеко за пределы штрафов от регулятора. Когда информация людей попадает в открытый доступ, это подрывает репутацию, ведёт к потере клиентов, судебным искам от пострадавших, требованиям компенсации за моральный вред. В 2025 году участились случаи групповых исков, когда пострадавшие клиенты объединяются и требуют возмещения убытков. Кроме того, утечка может привести к блокировке сайта, удалению приложения из магазинов, потере партнёрских контрактов.
Компания может потратить месяцы на восстановление репутации и доверия. Поэтому профилактика — это не просто соблюдение закона, это защита самого бизнеса. Инвестируйте в безопасность заранее, пока ничего не произошло, а не ищите спасение после инцидента.
Политика обработки персональных данных — это обязательный документ, который должен быть на вашем сайте. Это не просто красивая бумажка. Это ваша инструкция для Роскомнадзора о том, как вы обращаетесь с данными.
В политике должно быть написано, кто вы такие, какие данные вы собираете, для чего, как долго храните, как защищаете, как люди могут получить доступ к своим данным или удалить их. Политика должна быть написана так, чтобы её понял обычный человек, без излишних юридических трюков.
Если вы меняете что-то в процессе обработки данных, вы должны обновить политику. Новый облачный провайдер? Обновите политику, укажите, что данные теперь обрабатываются там. Изменили сроки хранения? Обновите. Начали использовать аналитику? Обновите.
Если вы обрабатываете персональные данные, вы должны зарегистрироваться в Роскомнадзоре. Это нужно сделать один раз при регистрации компании. Вы заполняете форму на сайте РКН: наименование компании, адрес, ФИО руководителя, типы данных, которые вы обрабатываете, описание мер защиты.
После подачи уведомления ваша компания появляется в открытом реестре операторов. Это не наказание, это просто информация для контролирующих органов.
Помимо публичной политики, вы должны иметь внутренние документы. Регламент, который описывает процесс сбора данных: кто, когда, как. Регламент по доступам и контролю: кто может видеть какие данные. План действий при инциденте безопасности.
С каждым обработчиком (облачный провайдер, CRM, любой сервис, которому вы даёте данные) должен быть подписан договор. В договоре чётко написано, что обработчик может и не может делать с данными.
Форма согласия, с сентября 2025 года, должна быть отдельной, как мы уже говорили. Это согласие на обработку, согласие на cookies, согласие на трансграничную передачу, согласие на маркетинг — каждое отдельно.
С конца мая штрафная система кардинально изменилась. Для компаний размеры теперь исчисляются не сотнями тысяч, а миллионами. Утечка, затрагивающая тысячи людей, может стоить компании нескольких миллионов рублей. Утечка, затрагивающая миллионы, может стоить десятков миллионов.
Новые размеры штрафов и порогов (в том числе за утечку) с 30 мая 2025 года значительно ужесточены федеральным законом №420-ФЗ от 30.11.2024. Размеры штрафов для компаний зависят от масштаба утечки: за утечку данных от 1 до 10 тысяч субъектов или от 10 до 100 тысяч идентификаторов физических лиц штраф может достигать до 5 млн рублей; за утечку свыше 100 тысяч субъектов и от 1 млн идентификаторов — до 15 млн рублей.
Повторные утечки грозят штрафом до 1–3% от годовой выручки. Для физических лиц санкции меньше, но серьёзные: штрафы начинаются от 100 тысяч рублей и могут достигать 400 тысяч рублей для должностных лиц в зависимости от нарушений и масштаба. Для лиц среднего уровня ответственности суммы штрафов определяются с учётом характера нарушений и масштабов их последствий. Помимо штрафов, предусматривается уголовная ответственность за незаконный доступ и распространение персональных данных с серьёзными сроками лишения свободы в отдельных случаях.
Штрафная система теперь предусматривает более жёсткие наказания, причём компании несут ответственность по масштабам утечек, а физические и должностные лица — с учётом характера нарушения и роли в обработке данных.
Суд смотрит на обстоятельства. Если вы нарушили закон первый раз, штраф может быть на нижней границе диапазона. Но если вы нарушили один и тот же закон уже во второй раз за два года, это повторность, и штраф кратно возрастает.
Масштаб тоже важен. Утечка для 100 человек и для 10 миллионов — это разные категории. Умышленность или небрежность также учитываются. Если вы знали об уязвимости и ничего не делали, это хуже, чем если вы её не заметили.
Лучшая защита от штрафа — не нарушить закон. Регулярный аудит один раз в год (минимум) поможет найти проблемы, пока их не нашёл Роскомнадзор. Журналирование всех действий с данными создаёт картину вашей деятельности. Если что-то пойдёт не так, логи покажут, что вы пытались соблюдать требования.
Система оповещения о инцидентах — это когда сотрудники знают, как и куда сообщить, если что-то подозрительное. Чем раньше вы узнаете об утечке, тем лучше.
Информационная безопасность для бизнеса — это не просто набор технических процедур. Это комплексный подход, который охватывает организационные меры, технологические решения и постоянный мониторинг. Компании, которые воспринимают информационную безопасность как стратегическое направление, а не как галочку в чек-листе, намного реже сталкиваются с инцидентами и штрафами. Инвестиции в безопасность окупаются многократно: экономия на штрафах, сохранение репутации, доверие клиентов, отсутствие судебных исков. Лучшая защита от ответственности — это профилактика, проведённая заранее.
Технически да, но с условиями. Вам нужно согласие пользователей на передачу данных за рубеж. Это согласие должно быть отдельным. Вам нужен договор с иностранной компанией о защите данных. На практике многие компании в 2025 году перешли на Яндекс.Метрику, чтобы избежать всех этих сложностей. Это разумнее, чем танцы с договорами и согласиями.
Если вам абсолютно нужно (например, вы обрабатываете платежи через Stripe), вариантов несколько. Найти русский аналог. Заключить контракт с иностранной компанией о защите данных. Получить согласие человека на трансграничную передачу. Использовать обезличенные данные, если возможно. Выбирайте то, что проще для вашей ситуации.
Если согласие было получено как часть общего соглашения, да, нужно новое. Если оно уже было отдельным документом, оно может остаться действительным. Но если вы сомневаетесь, лучше переподписать. Отправьте существующим пользователям письмо с предложением подтвердить согласие в новом формате. Это помогает вам избежать претензий.
Когда приходит официальный запрос, вы должны подготовить обезличенные данные, описать метод обезличивания, дать гарантии невозможности реидентификации. Сроки обычно 10-30 дней. Лучше заранее подготовить такие наборы, чтобы при запросе не пришлось срочно всё переделывать.
К октябрю некоторые из этих пунктов вы должны уже закончить. Если нет, срочно:
Проведите аудит того, какие данные вы вообще собираете. Обновите политику обработки с учётом новых требований. Пересмотрите договоры с облачными провайдерами и убедитесь, что первичная запись в России. Проверьте, что ваша компания в реестре Роскомнадзора. Обучите сотрудников требованиям закона. Переделайте форму согласия как отдельный документ. Отделите согласие на cookies. Если используете биометрию, переделайте на неё согласие. Напишите внутренний регламент по доступам к данным. Установите логирование и мониторинг. Подготовьте план действий при утечке. Ведите реестр обезличивания.
Постоянно проверяйте журналы, обновляйте системы безопасности, обучайте новых людей, готовьтесь к проверкам.
2025 год стал тем годом, когда компании в России поняли, что игра закончилась. Небрежное отношение к данным людей теперь стоит миллионы. Согласие теперь нужно получать правильно. Данные нужно хранить в России. Защита нужна серьёзная, документированная, постоянная.
Компании, которые начали адаптацию ещё в начале года, сейчас спокойны. Те, кто в октябре всё ещё работает по-старому, рискуют. Не потому что это плохие люди, а потому что закон изменился, а они не заметили.
Если вы прочитали эту статью, вы уже в лучшем положении, чем те, кто не читал. Начните с одного: посмотрите вашу политику обработки данных. Если её нет, напишите. Если она старая, обновите. Потом переделайте форму согласия. Потом проверьте договоры с провайдерами. Потом обучите сотрудников. Не нужно всё делать в один день, но нужно начать.
Защита персональных данных в облаке становится всё более критичной задачей, поскольку большинство компаний хранят информацию не на локальных серверах, а у провайдеров. Это требует постоянного контроля и прозрачности в договорах. Если вы прочитали эту статью, вы уже в лучшем положении, чем те, кто не читал.
Первые шаги — это только начало. После того как вы наведете порядок с политикой, соглашениями и договорами, работа не заканчивается. Защита финансовых данных требует постоянного внимания и актуализации. Регулярно проверяйте логи доступа, обновляйте системы безопасности, проводите аудиты, переобучайте сотрудников. Следите за изменениями в законодательстве — требования могут снова измениться. Компании, которые воспринимают защиту данных как одноразовый проект, а не как постоянный процесс, неизбежно сталкиваются с проблемами. А те, кто строит культуру безопасности на большей основе, спокойно работают, не боясь взглядов и штрафов.
Источники