Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Зарубежные сервисы
Викторина
Темы
AI
Сервисы
Маркетинг
Личный опыт
Деньги
Инвестиции
Путешествия
Крипто
Карьера
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения

Мы используем
рекомендации.

UP business / PRslon
Сервисы

Персональные данные-2025: что обязан сделать бизнес для их защиты

С 1 июля в России меняются правила обращения с персональными данными. Согласно обновленному Федеральному закону РФ №152 «О персональных данных» (152-ФЗ), компании должны хранить наши ПД только на серверах, которые находятся в России.

Персональные данные-2025: что обязан сделать бизнес для их защиты

Руководитель направления юридических услуг группы компаний DV Consulting Даниил Царьков рассказывает, что именно нужно учесть для безопасной работы в новых условиях.

Даниил Царьков

Рядовые интернет-пользователи могут и не заметить изменений напрямую, но косвенно они коснутся всех — и бизнеса в первую очередь. Чтобы не нарушить закон и избежать штрафов, придется серьезно подготовиться.

Персональные данные под удвоенной защитой: что изменилось?

Новый закон запрещает собирать и хранить личные данные (имя, адрес, телефон и т.п.) на серверах за пределами России. Это касается первичного сбора и фиксации информации, в том числе через интернет.

Закон транслирует, что персональные данные должны оставаться в России — компании больше не могут просто так отправлять их за границу. Расширяется и круг ответственных — вовлеченных в процесс третьих лиц, собирающих и обрабатывающих данные (добавляются так называемые «обработчики» ПД, например, различные веб-сервисы, предоставляющие услуги облачного хранения данных, HR-сервисы и т.д.).

Теперь не только компания-оператор, но и те, кто делает это по её поручению, несет за сохранность ПД ту же ответственность.

Что конкретно запрещено?

Нельзя напрямую собирать персональные данные в иностранные базы. То есть нельзя, чтобы ваша информация сразу «улетала» на сервер за границей — она должна храниться в России, где ее конфиденциальность проще контролировать.

Исключения есть, но их очень мало и они касаются особых случаев, когда, например, нужно выполнить требования международного договора. Использовать иностранные сервисы для трансграничной передачи (например, для рассылки писем) в некоторых случаях можно, но нужно тщательно проверять, как они работают с данными.

Под трансграничной передачей подразумевается передача ПД любому лицу (физическому лицу, коммерческой организации, органу власти и т.д.), находящемуся на территории иностранного государства. На практике это означает, что если оператор ПД загружает их в сервис, база данных которого не локализована в РФ, то такое действие является трансграничной передачей данных.

Если очень надо отправить персональные данные за границу

Можно ли отправлять ПД за рубеж после того, как они уже собраны в России? Да, но с ограничениями.

Чтобы отправить персональные данные за границу, компания обязана:

  1. Предупредить Роскомнадзор, отправив специальное уведомление.
  2. Защитить данные при передаче. В качестве вариантов советуем:
  • зашифровать ПД (как секретный код!) по ГОСТ;
  • ограничить доступ, используя сегментацию компьютерной сети и внедрение журнала доступа;
  • подключить системы, предотвращающие утечки;
  • подписать соглашения о неразглашении с теми, кто получает данные.
  1. Найти веские причины для трансграничной передачи, к которым отнесем:
  • согласие пользователей;
  • защиту жизни и здоровья субъекта ПД;
  • требование закона или международного договора РФ;
  • судебную деятельность;
  • исполнение полномочий органа государственной власти;
  • законные интересы оператора/третьих лиц, не нарушающие права субъекта;
  • журналистскую, научную и творческую деятельность;
  • статистические и исследовательские цели с обязательным обезличиванием данных;
  • соблюдение условий договора с субъектом ПД (например, о доставке товара).

По прогнозам DV Consulting, новые правила помогут:

  • уменьшить количество открытых баз данных с личной информацией на 15-20%;
  • лучше контролировать утечки данных и трансграничный экспорт ПД;
Персональные данные-2025: что обязан сделать бизнес для их защиты
  • снизить риск массовых утечек первоначально на 15-20%, а к концу 2026 года — на 25%;
  • достигнуть в течение полутора лет 80%-го уровня соответствия ФЗ-152 в бизнес-сегменте.

Очевидно, что соблюдение всех этих правил потребует от компаний больших затрат: цены на услуги по защите данных в ближайшем будущем вырастут в среднем на треть.

Инструкция по защите персональных данных для бизнеса

Чтобы избежать утечек персональных данных и штрафов, необходимо серьезно отнестись к новым требованиям закона.

  1. Проведите учет всех личных данных, которые вы собираете и обрабатываете. Разделите их по типам (например, «контактные данные», «данные о заказах»).
  2. Перенесите все базы данных с ПД на серверы, которые находятся в России (в российские дата-центры).
  3. Обновите документы. Убедитесь, что формы согласий, которые подписывают клиенты, и политика конфиденциальности соответствуют новому закону.
  4. Заключите договоры с третьими лицами либо обновите их в соответствии с законодательными изменениями.
  5. Роскомнадзор должен быть в курсе вашей деятельности — сообщите в ведомство о трансграничной передаче данных и зарегистрируйтесь в Реестре трансграничных передач.
  6. Подготовьтесь к утечкам:

- разработайте план действий на случай, если произойдет утечка данных (например, кто-то взломает вашу систему);

- подготовьте форму, чтобы в течение 24 часов успеть проинформировать Роскомнадзор о ЧП.

7. Проверьте договоры с иностранными компаниями. Добавьте в них пункты об обязанности защищать ПД россиян по российским законам и сообщать об инцидентах, связанных с утечками, в течение 24 часов.

8. Определитесь со способом локализации ПД. Это целиком зависит от специфики вашего бизнеса и технических возможностей.

Куда перенести персональные данные: варианты действий

Итак, новый закон требует, чтобы персональные данные хранились в России. Что делать бизнесу?

Есть три основных способа.

Полный перенос

Все базы данных переносим на серверы, которые находятся в России.

Плюсы:

  • самый безопасный вариант с точки зрения закона, меньше всего шансов заработать штраф;
  • легче общаться с Роскомнадзором (если возникнут вопросы).

Минусы:

  • дорого — нужно покупать новое оборудование, лицензии и налаживать связь,
  • постоянные расходы на операционку вырастут на 10-30%.

Частичная миграция

Отделяем ПД россиян от остальной информации и переносим в Россию только их.

Плюсы:

  • дешевле;
  • быстрее по срокам исполнения.

Минусы:

  • возрастает риск ошибок при настройке;
  • усложняется процесс общения с РКН.

Передача данных через иностранные сервисы

Используем иностранные сервисы (например, для рассылки), телекоммуникационные платформы (например, Zoom) при условии, что они не собирают ПД напрямую, а только принимают копию из российской базы данных.

Эксперты DV Consulting полагают, что для мелкого и среднего бизнеса наиболее целесообразным вариантом будет частичный перенос баз данных в дата-центры, локализованные в РФ, с последующей полной миграцией. Но для высокорисковых отраслей предпочтителен все же полный перенос баз данных в Россию.

Персональные данные-2025: что обязан сделать бизнес для их защиты

Что ожидает компании, которые не готовы к изменениям

Если честно, ничего хорошего в случае утечки персональных данных нарушителей не ждет.

С 30 мая 2025 года появились оборотные штрафы за утечки конфиденциальной информации — их размеры привязаны к доходу компании за определенный период. Организациям и ИП, нарушившим закон, грозит штраф от 3 до 15 млн рублей — в зависимости от количества пострадавших граждан. Штрафные санкции за повторные нарушения привязаны к размеру годовой выручки — минимум 3% от нее (но не менее 20 млн рублей). «Потолок» достигает 500 млн рублей.

А с декабря 2024 года действует и уголовная ответственность за незаконное обращение с ПД — в частности, за утечку конфиденциальной информации за рубеж предусмотрено лишение свободы сроком до 8 лет.

Помимо этого, компании обеспечена блокировка сайта или приложения и отток клиентов. Во всяком случае, маркетплейсы, пережившие блокировки в 2024 году, сообщали о 5-15% оттоке пользователей.

По данным DV Consulting, степень готовности отечественного бизнеса к нововведениям в среднем колеблется в пределах 57%. Ближе остальных к полному соответствию требованиям закона находятся крупные игроки рынка — 80%. В отстающих — малый бизнес и digital-агентства (35%). Им гораздо сложнее найти немалые средства на обновление инфраструктуры и приобретение компетенций в области шифрования трафика.

Аудит защиты персональных данных: эффективнее по приглашению

Новые правила защиты персональных данных в России требуют от компаний больших усилий. Чтобы все сделать правильно и сэкономить время, лучше обратиться к специалистам за внешним аудитом. Расценивайте это как инвестицию в вашу репутацию и будущее бизнеса.

Почему стоит выбрать именно внешний аудит:

  • вы сэкономите до 40% времени своих сотрудников;
  • он обойдется на 25-40% дешевле, чем создание спецгруппы из собственных кадров.

На что нужно обязательно обращать внимание при выборе сторонней организации:

  • опыт и портфолио по 152-ФЗ (>15 успешных проектов за два последние года деятельности);
  • четкий список задач (всех этапов, контрольных точек, дедлайнов), сроков их реализации и KPI проекта;
  • наличие у аудиторов готовых шаблонов согласий и регламентов реагирования, одобренных РКН;
  • отзывы (особенно других клиентов со спецификой бизнеса, похожей на вашу).

👉 Чтобы узнать больше об услугах DV Consulting, стоит посетить сайт компании.

7
2
1
1
1
3 комментария