ГрузСпецТехСервис

Всё о Перевозке и Ремонте Специальной Техники

Новости

Как новые законы изменят подход бизнеса к персональным данным — РБК Отрасли

Отadmin

Июл 10, 2025

Фото: Shutterstock

Количество личных данных, которые попадают в Сеть, постоянно растет. По информации Роскомнадзора, с начала 2024 года произошла утечка более 700 млн записей о гражданах России. Мошенники получили доступ к номерам банковских карт, паспортов и других документов.

По данным InfoWatch, Россия заняла 2-е место в рейтинге стран по объему утечек информации и 1-е место по количеству объявлений о продаже баз данных компаний в даркнете.

Лидером по числу утечек персональных данных (ПДн) в 2024 году стал онлайн-ретейл. На него пришлось 30,8% зарегистрированных случаев.

В ответ на рост угроз и массовых утечек государство ужесточило ответственность бизнеса за обработку персональных данных. Однако публичной и понятной информации о новых требованиях крайне мало, что усиливает неопределенность и возможность попасть под санкции.

Какие компании подвержены штрафам, как минимизировать риски и какие шаги необходимо предпринять уже сейчас — объясняет Тимур Либерман, эксперт по развитию малого и среднего бизнеса, основатель агентств Determinanta и Lonvic.

Персональные данные: что изменилось для владельцев бизнеса

С 30 мая 2025 года в силу вступили два новых федеральных закона, которые внесли изменения в УК и КоАП (№ 420-ФЗ и № 421-ФЗ). Новые нормы значительно усиливают ответственность за нарушение правил обработки персональных данных и касаются большинства компаний, которые работают с физическими лицами — как онлайн, так и офлайн.

Основные изменения:

  • Значительно увеличены штрафы за неуведомление Роскомнадзора. Теперь за сам факт отсутствия регистрации в качестве оператора персональных данных компании грозит штраф от 100 тыс. до 300 тыс. руб.
  • Введены оборотные штрафы за утечку ПДн. Если ранее такие инциденты наказывались в индивидуальном порядке, то теперь организация может заплатить от 1 до 3 млн руб., даже если нарушение произошло по вине подрядчика.
  • Ужесточена уголовная ответственность. Закон № 420-ФЗ расширил понятие неправомерного сбора персональных данных и закрепил наказание, вплоть до лишения свободы. А также за их незаконное распространение, особенно если это повлекло массовую утечку или нанесло ущерб гражданам.
  • Расширена зона ответственности. Теперь под действие закона подпадают даже те, кто собирает минимальный набор данных: e-mail, номер телефона, имя. Например, онлайн-форма обратной связи на сайте уже считается обработкой ПДн и требует регистрации.

Не только банки и маркетплейсы: кого касаются новые требования

Новая версия законов не делает исключений по масштабу бизнеса. Оператором персональных данных автоматически считается любая компания, индивидуальный предприниматель или самозанятый, если в своей работе он:

  • заключает договоры с физическими лицами;
  • собирает заявки на сайте, через соцсети или мессенджеры;
  • подключает эквайринг или CRM-систему;
  • использует электронную почту или телефон для обратной связи;
  • оформляет заказы через онлайн-магазин;
  • работает с клиентами офлайн, но вносит данные в базу.

Формально даже один e-mail или номер телефона — это уже обработка персональных данных. И она должна быть не только оформлена юридически, но и технически защищена. Незнание правил, отсутствие уведомления Роскомнадзора или неактуальные документы приравниваются к нарушению. Представьте: один клиент пожаловался — и ваш бизнес в списке нарушителей со штрафом 100 тыс. руб.

Особое внимание необходимо обратить, если бизнес связан с данными сферами:

  • медицина (данные о здоровье относятся к специальной категории, обрабатываются с особыми мерами защиты);
  • финансовые и юридические услуги (включая кредитование, страхование, бухгалтерский консалтинг);
  • образование и EdTech (где собираются данные несовершеннолетних);
  • e-commerce и онлайн-сервисы, особенно если работают по модели подписки или ведут рассылки.

Отдельная зона риска — трансграничная передача данных. По закону все персональные данные россиян должны храниться на территории РФ. Использование зарубежных сервисов (например, Google Forms, Trello, Notion, Airtable, Amazon Web Services и других) без соответствующих настроек локализации может быть расценено как нарушение. При этом зачастую бизнес просто не знает, где физически находятся его базы.

Типичные ошибки, которые совершают компании

  1. Нет регистрации в Роскомнадзоре — чаще всего из-за недопонимания, что сбор e-mail или номера телефона с формы на сайте — это уже ПДн.
  2. Шаблонные документы, не адаптированные под бизнес-процессы, — политика обработки ПДн копируется из интернета без привязки к реальности.
  3. Обработка данных без согласия или с «галочкой по умолчанию» — нарушает закон, особенно в случае передачи информации третьим лицам (подрядчикам, call-центрам, IT-компаниям).
  4. Сбор лишних данных или их бессрочное хранение — нет ограничений по срокам, удалению, контролю доступа.
  5. Использование зарубежных облаков и сервисов без анализа рисков — размещение баз вне российской юрисдикции влечет наложение штрафа от 150 тыс. до 300 тыс. руб.

Чтобы избежать подобных ситуаций, достаточно провести аудит процессов и привести документы в соответствие с новой реальностью. На старые поблажки больше рассчитывать не стоит.

«Есть ложное ощущение, что до малого бизнеса Роскомнадзор «не дотянется». Но это вопрос времени. Сейчас в зоне особого внимания крупные корпорации, однако практика показывает: малый и средний бизнес — следующий на очереди. Поэтому лучше сразу разобраться в требованиях и выстроить систему работы с ПДн, чем потом исправлять все в авральном режиме», — уверен Тимур Либерман.

Как подготовить бизнес к новым требованиям

В 2025 году недостаточно просто «не нарушать закон» — важно заранее выстроить систему защиты персональных данных. Вот пошаговая инструкция:

1. Уведомить Роскомнадзор

Первый и обязательный шаг — регистрация в реестре операторов персональных данных. Сделать это нужно до начала обработки ПДн, а не постфактум. Форму можно подать через сайт Роскомнадзора, указав цели обработки, категории данных, способы защиты и другие параметры.

Даже если компания просто собирает e-mail для рассылки или принимает заказы онлайн — регистрация обязательна.

2. Создать комплект локальных документов

В зависимости от характера работы с ПДн нужно оформить:

  • политику обработки персональных данных (публичную);
  • внутренние положения и регламенты по работе с данными;
  • формы согласия под каждую цель обработки (для клиентов, сотрудников, партнеров);
  • обязательства сотрудников о неразглашении;
  • инструкции при инцидентах (например, в случае утечки).

Шаблонные документы из интернета в большинстве случаев не соответствуют требованиям и создают ложное чувство безопасности. Контрольные органы оценивают содержание и релевантность документов, а не их наличие.

3. Обеспечить техническую и организационную защиту данных

Персональные данные должны быть:

  • сохранены только на серверах, расположенных на территории России;
  • обеспечены средствами защиты информации: шифрование, антивирусы, настройка доступа, резервное копирование;
  • доступны только тем сотрудникам, кому это необходимо;
  • удаляемы или обезличиваемы по истечении срока обработки.

Также требуется настроить порядок действий при инцидентах, включая оповещение Роскомнадзора и субъектов данных.

4. Провести аудит или привлечь экспертизу

Оценка бизнес-процессов позволяет выявить неочевидные риски: старые формы на сайте, незащищенные CRM, подрядчики без согласий и доступов. Данный процесс занимает от одного дня (аудит) до двух недель (разработка и внедрение документации).

При отсутствии специалиста по информационной безопасности или юриста, отвечающего за ПДн, целесообразно обратиться к подрядчику. Это снижает вероятность ошибок и экономит ресурс на исправление нарушений.

Защита данных — не формальность, а необходимость

Изменения в законодательстве о персональных данных — не попытка задушить бизнес новыми штрафами и требованиями. Это ответ на реальную угрозу: утечки информации становятся оружием в руках мошенников, спамеров и недобросовестных организаций.

Речь идет не столько о контроле, сколько о взрослении всей экосистемы. Государство усиливает надзор, чтобы стимулировать бизнес пересмотреть отношение к персональным данным. И это шаг в правильную сторону. Вместе с ростом цифровизации, развитием отечественного ПО и усилением контроля за информационной безопасностью бизнес начинает меняться. Возникает осознанность: данные — это актив, и защищать его необходимо системно.

Точка зрения автора может не совпадать с мнением редакции.

About The Author

admin

See author's posts

От admin

Похожая запись

Новости

Спецпредставитель по Ливии в Совбезе: жители страны стремятся к демократии

Авг 22, 2025 admin
Новости

Утечка раскрыла зарплаты и премии сотрудников Microsoft в сферах ИИ, облаков и игр

Авг 22, 2025 admin
Новости

В Киеве придумали, как остановить наступление российской армии на Славянск и Краматорск

Авг 22, 2025 admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

You missed

Новости

Спецпредставитель по Ливии в Совбезе: жители страны стремятся к демократии

22.08.2025 admin
Новости

Утечка раскрыла зарплаты и премии сотрудников Microsoft в сферах ИИ, облаков и игр

22.08.2025 admin
Новости

В Киеве придумали, как остановить наступление российской армии на Славянск и Краматорск

22.08.2025 admin
Новости

За техосмотр придется доплачивать. Мы выяснили, сколько, кому и почему :: Autonews

22.08.2025 admin