С 30 мая 2025 года в России вступают в силу новые правила обработки персональных данных, которые существенно ужесточают требования к бизнесу. Изменения касаются не только крупных корпораций, но и индивидуальных предпринимателей, самозанятых и даже небольших компаний. Основная цель нововведений — усилить защиту личной информации граждан, но на практике это может создать серьезные трудности для предпринимателей.
Раньше компании могли уведомлять Роскомнадзор о начале работы с персональными данными уже после их сбора. Теперь же подавать заявление нужно заранее, до начала обработки информации. Нарушение этого правила грозит штрафами: для граждан — от 5 до 10 тысяч рублей, для должностных лиц — от 30 до 50 тысяч, а для организаций — от 100 до 300 тысяч рублей.
Но самые серьезные санкции предусмотрены за утечки данных. В случае инцидента компания обязана в течение суток сообщить в Роскомнадзор о произошедшем, указав причины, масштабы утечки и принятые меры. Затем, в течение 72 часов, необходимо предоставить результаты внутреннего расследования, включая данные о возможных виновниках. Несоблюдение этих сроков может привести к штрафу до 3 миллионов рублей.
Если же будет доказано, что утечка произошла по вине компании, штрафы окажутся еще более внушительными: для физических лиц — до 400 тысяч рублей, для организаций — до 15 миллионов. В случае повторного нарушения санкции могут составить 1–3% от годовой выручки.
Под новые правила попадают все, кто обрабатывает персональные данные с использованием электронных средств — от крупных корпораций до самозанятых, ведущих клиентские базы в цифровом формате. Даже если предприниматель просто хранит контакты клиентов в мессенджерах или электронной почте, он уже считается оператором персональных данных и должен соблюдать требования закона.
Исключение делается только для тех, кто ведет учет исключительно в бумажном виде, без использования компьютеров или смартфонов. Однако в современных условиях таких случаев практически не встречается. Даже самозанятые, работающие в одиночку, часто используют электронные средства коммуникации, что автоматически делает их субъектами регулирования.
Особое внимание уделяется хранению данных. Согласно новым правилам, вся информация должна обрабатываться на серверах, расположенных на территории России. Использование зарубежных облачных сервисов, таких как Google Drive или Dropbox, теперь возможно только при наличии специального разрешения от Роскомнадзора.
Трансграничная передача данных разрешена в исключительных случаях, например для туристических компаний, которым необходимо передавать информацию о клиентах зарубежным партнерам. Однако для этого требуется предварительное уведомление регулятора и внесение данных в специальный реестр.
Эксперты отмечают, что новые требования могут создать серьезные трудности для бизнеса, особенно для малых и средних предприятий. Приведение IT-инфраструктуры в соответствие с новыми нормами потребует значительных затрат времени и ресурсов. Кроме того, компании должны будут пересмотреть внутренние процессы, обучить сотрудников и внедрить дополнительные меры защиты данных.
В то же время специалисты сомневаются, что ужесточение правил сможет полностью предотвратить утечки. По статистике, большинство инцидентов происходит не из-за недостаточной защиты, а по причине человеческого фактора — ошибок сотрудников или действий мошенников.
Новые правила — часть глобального тренда на усиление контроля за персональными данными. Подобные меры уже действуют в Европе (GDPR), США (CCPA) и других странах. Однако в России, где уровень цифровизации бизнеса пока отстает от западных стандартов, переход на новые требования может оказаться особенно болезненным.
Предпринимателям рекомендуется как можно скорее провести аудит своих процессов, подать уведомление в Роскомнадзор и убедиться, что все клиентские данные собираются и хранятся в соответствии с законом. В противном случае бизнес рискует столкнуться не только с крупными штрафами, но и с потерей доверия клиентов.
