Штрафы до 6 млн. и лишение свободы до 8 лет. Что нельзя делать с персональными данными россиян с 1 июля 2025, и как работать с рисками.

Всем привет, с вами Вадим Воронков, и сегодня я здесь в роли консультанта по информационной безопасности.

С 1 июля 2025 в российским юр. лицам нельзя работать с персональными данными российских граждан, используя при этом базы данных, находящиеся за пределами Российской Федерации.

На профильных ресурсах достаточно сухих технических статей по поводу, однако я не заметил такого охвата и активностей, как в апреле-мае 2025 года, когда всех пугали штрафом в относительно скромные 300 т.р., и призывали срочно регистрироваться в Роскомнадзоре в качестве операторов персональных данных. Поэтому решил отписаться в публичном поле в разрезе рисков.

Между тем, с 1 июля 2025 легко можно получить штраф до 6 млн. (!) рублей по административной статье 13.11 за старые, привычные сценарии (типа связки Google Forms + Google Sheets), а при повторении нарушения — до 18 млн. рублей.

Также реально попасть под ч. 4 ст. 272.1 уже Уголовного кодекса РФ, где предполагается не только лишение свободы на срок до 8 лет, но и штрафы в миллионах рублей или годовых доходах. Бонусом идёт поражение в правах, в виде запрета занимать определенные должности или заниматься определенными видами деятельности.

С 1 июля 2025 г. начали действовать поправки к п. 5 ст. 18 152-ФЗ "О персональных данных", которые запрещают производить в базах за пределами РФ вообще любые операции с персональными данными россиян, вплоть до извлечения таких данных из уже имеющихся там баз ("запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются").

Давайте ещё раз "на пальцах" проговорим, что именно теперь не допускается.

Нельзя:
— собирать персональные данные через Google-формы;
— хранить персональные данные в таблицах Google и на диске Google;
— использовать для работы с персональными данными Google Analytics и другие зарубежные сервисы аналитики;
— держать персональные данные клиентов и сотрудников в облаках Microsoft, Amazon, и вообще на любых серверах любого типа за пределами РФ;
— использовать зарубежные хостинги (если вы собираете клиентские данные через сайты);
— использовать зарубежные CRM- и ERP-системы;
— передавать персональные данные россиян через зарубежные мессенджеры, то есть WhatsApp и Telegram (в качестве юридического лица).

Можно:
— передавать конкретным зарубежным организациям персональные данные отдельных российских граждан, по закрытому перечню оснований, после выполнения целого ряда условий (вот подробный пост по теме).

Если очень кратко, то любые операции с персональными данными российских граждан за пределами РФ с 1 июля 2025 года запрещены, за исключениям персонализированной передачи необходимой информации по отдельным гражданам (отпуск, командировка, лечение, соревнования, деловые поездки и т.п.)

Работа с LinkedIn под риском уголовки

LinkedIn в РФ как кот Шредингера. Формально соцсеть блокирована в России с 2016 года, и сама сеть с российскими гражданами не работает достаточно давно (сложности с регистрацией, нет платного функционала). И одновременно там активное русскоязычное сообщество, включая граждан РФ, которое ежедневно пополняется новыми участниками, прорывающимися через все препятствия. Потому что альтернативных площадок для создания связей и обмена опытом просто нет, особенно если вы планируете работать вне российского рынка.

С новыми ограничениями довольно популярный заказной поиск деловых контактов в LinkedIn как раз может довести до уголовного дела, т.к. законных способов получения из этой сети персональных данных российских граждан теперь попросту нет.

Ведь даже извлекать такие данные из зарубежных баз в новой редакции 152-ФЗ запрещено. Плюс, нет легального способа доступа к самой соцсети с территории РФ.

Следовательно, любое получение персональных данных из LinkedIn российским юр. лицом является незаконным, а это уже ч. 1 ст. 272.1 УК РФ — "незаконные передача, сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки".

Диапазон наказания — от 300 т.р. штрафа, до 4 лет лишения свободы.

Т.к. в данном случае очевидно сложно обойтись без трансграничной передачи, может заработать ч. 4 той же статьи.

Диапазон наказания — сразу лишение свободы на срок до 8 лет, и дополнительно — штраф до 2 млн. или дохода за 3 года.

Во-первых — не паниковать. Есть логичные аргументы, что прямо с завтра штрафы по 6 млн. волнами не пойдут:

— В РКН ещё не закончилась история с регистрациями операторов, и уже на горизонте вопрос борьбы с рекламой в запрещённой соцсети с 1 сентября 2025; алгоритмы и нейросети, конечно, помощники, но ресурс всё равно органичен.

— Выявить работу с зарубежными базами сложнее технически, чем отсутствие регистрации в качестве оператора (разумеется, если вы не держите Google-форму прямо на страницах сайта, и не публичите свои кейсы, показывая там скриншотами и видео запрещенные теперь операции). Это требует дополнительных, и так ограниченных ресурсов.

— По некоторым экспертным оценкам, к работе в полном соответствии с новыми условиями, не готово до 80% российских компаний. Если завтра начать выписывать штрафы по 6 — 18 млн. направо-налево, эти бизнесы быстро закончатся (но нет гарантии, что ваш бизнес не станет одним из первых, кому "прилетит").

Во-вторых — начать наводить порядок.

Первым делом, естественно, открутите везде формы и аналитику Google, если вдруг вы почему-то до сих пор этого не сделали. Теперь можно использовать только российские решения.

Сайты с зарубежных хостингов — нести "внутрь", на всякий случай открутив на время миграции сбор персональных данных.

С зарубежными CRM- и ERP-системами необходимо попрощаться, и как можно быстрее. Жалоба от недовольного сотрудника или клиента — и штраф с 7-8 цифрами в поле "сумма платежа" практически гарантирован.

И последнее по степени серьёзности, но не по частоте в обычной жизни — запретите себе и своим сотрудникам пересылать через WhatsApp и Telegram любую информацию, которая подходит под определение "персональные данные", или может их содержать (договоры, билеты, заказы, бронирования, и т.п.)

В-третьих — проверяйте своих поставщиков контактных данных потенциальных клиентов. Пусть показывают и доказывают, что персональные данные, которые они вам передают или продают, получены в соответствии с законодательством, в т.ч. с согласия субъектов.

Это проблема и ответственность клиента. Если он действует как физическое лицо — может хоть сканами паспорта кидаться, для физических лиц ответственность за нарушение локализации ПДн не предусмотрена (пока). Главное — не отправляйте ничего подобного со своей стороны (вас может "сдать" этот же настойчивый клиент). Используйте почту в домене .ru и российские инструменты для совместной работы с документами.

Прекрасно понимаю. Вот возможные варианты:

— Подайте официальный запрос в ваш региональный Роскомнадзор. Это займёт какое-то время, но это бесплатно, и у вас будет развернутый письменный ответ надзорного органа. В случае претензий в будущем можно уверенно ссылаться на него.

— Проконсультируйтесь с юристом. Это быстро, но обычно платно. Однако средняя по рынку стоимость таких услуг в диапазоне 5-10 т.р. не выглядит высокой на фоне возможных штрафов с шестью нулями.

— Подпишитесь на мой телеграм-канал "Цифровой дзен", я как раз там буду разбирать в ближайшее время самые частые вопросы и рисковые сценарии.

— Скачайте простой чек-лист, и проверьте себя на риски попадания под ст. 252.1 УК РФ (да, она распространяется не только на парсинг данных из LinkedIn).

Берегите себя, и персональные данные ваших клиентов и сотрудников!