Преддверие летнего делового сезона принесло немало законодательных новшеств, влияющих на работу бизнеса. Важные изменения связаны с ужесточением ответственности за обработку персональных данных. Наказания за нарушения в этой области ужесточили – появились новые санкции, оборотные штрафы, размеры которых зависят от выручки компании. И это далеко не всё. Подробнее – в комментариях наших экспертов.
Надежда Упорова, Управляющий партнёр ЮК «Упорова и партнёры», Москва:
– С 30 мая 2025 года вступают в силу масштабные изменения законодательства в сфере персональных данных и информационной безопасности. Главные риски для бизнеса – кратное увеличение штрафов и появление новых оснований для ответственности.
Для начала напомним, какие персональные данные бывают. Общедоступные – они зачастую находятся в открытых источниках, и доступ к ним имеется у широкого круга лиц, как юридических, так и физических (ФИО человека, возраст, профессия и т. д.). Биометрические – в данную категорию входят физиологические особенности субъектов: отпечатки пальцев, рисунок сетчатки, фотографии и пр. Использование персональных данных этого типа возможно только с согласия их владельца и только в рамках срока, прописанного в согласии на обработку персональных данных. Ещё одна категория – специальные данные, они отражают убеждения человека по какому-либо вопросу, сообщают информацию о состоянии его здоровья, особенностях личной жизни и т. д. Работа с ними допустима лишь в особых случаях, например, в целях защиты жизни и здоровья.
Итак, что меняется? Вводится градация штрафов в зависимости от объёма утечки и типа данных. Например, за утечку данных более 100 тыс. человек юридическое лицо может заплатить от 10 до 15 млн рублей. А если утекла биометрия – до 20 млн рублей.
За повторное нарушение вводится оборотный штраф – до 3% выручки за предыдущий год, но не менее 20 млн рублей (или 25 млн при утечке биометрии/спецданных).
Отдельно предусмотрены штрафы за:
— неуведомление Роскомнадзора о начале обработки ПДн – до 300 тыс. руб.;
— обработку данных без должного основания – до 300 тыс. руб.;
— нарушение при использовании биометрии – до 500 млн руб. при повторном случае.
Кого это касается? Всех, кто хоть как-то взаимодействует с персональными данными: от ИП и малых компаний до крупных холдингов. Если вы собираете данные через сайт, CRM, анкеты, чат-боты – вы уже оператор персональных данных.
Важное новшество: теперь нельзя оплатить штраф со скидкой в 50%. Это один из сигналов о серьёзности подхода государства к защите ПДн.
Татьяна Звенигородская, старший юрист ООО «Аксор», Санкт-Петербург:
– За неуведомление Роскомнадзора об утечке назначат следующие штрафы: должностным лицам государственного или муниципального органа либо некоммерческой организации – от 400 тыс. до 800 тыс. руб.; ИП и компаниям – от 1 млн до 3 млн рублей.
В целом новые штрафы высокие. Сфера защиты персональных данных активно развивается, и большинство компаний начинает серьёзно задумываться о том, как избежать рисков. Сегодня многие задались вопросом, касающимся внесения в реестр Роскомнадзора операторов персональных данных, обучения сотрудников во внешних образовательных центрах и внутри компании. Также многие пишут и пересматривают внутреннюю политику, касающуюся ПДн своих работников, исполнителей по договорам ГПХ, соискателей, практикантов и пр. Есть сигнал от законодателей и власти – компании на него реагируют.
Павел Карасёв, бизнес-партнёр компании «Компьютерные технологии», Москва:
– Новшества особенно важно учитывать тем, кто работает с клиентами, хранит данные сотрудников, ведёт онлайн-продажи, – интернет-магазинам, маркетплейсам, собирающим информацию, связанную с телефонами, e-mail, адресами. А также разработчикам приложений, использующим авторизацию, push, сбор device ID. Кроме того, HR-отделам и рекрутерам, обрабатывающим документы соискателей, медицинским, образовательным, финансовым сервисам, которые работают с такими «чувствительными» данными.
Из новшеств отдельно выделю следующие. Жёстко регламентированным становится уведомление об утечке ПДн. Оператор обязан в течение 24 часов с момента выявления инцидента сообщить об этом в Роскомнадзор, в течение 72 часов – передать результаты предварительной оценки, также он обязан уведомить пострадавших, если их данные стали общедоступными.
Обновляется стандарт подачи политики конфиденциальности: она должна быть в открытом доступе и написана «человеческим» языком. Вводится и новая форма согласия на обработку данных. В согласии теперь обязательно должны быть указаны полное наименование оператора, цель обработки, перечень персональных данных, способы обработки и срок их хранения.
Появился запрет на включение согласия на обработку ПДн в другие документы. Такое согласие должно быть оформлено отдельно, нельзя включать его по умолчанию в пользовательские соглашения, оферты, анкеты или договоры.
С 30 мая регулятор фактически переходит к риск-ориентированному надзору. В центре внимания теперь – не «бумажная отчётность», а реальная способность бизнеса контролировать, защищать и вовремя реагировать на инциденты.
Пётр Волосевич, эксперт, представитель сетевого издательства:
– Понятно, что сейчас главный вопрос для бизнеса – что делать в новых условиях, какие шаги предпринять? Будет ошибкой считать, что в первую очередь нужно направить уведомление в Роскомнадзор о начале обработки персональных данных – при его формировании компания уже должна иметь ряд документов, отражающих систему работы с ПДн.
То есть первое для компании – это утверждение политики обработки персональных данных, локальных нормативных актов – приказов, инструкций, регламентов, журналов, где прописаны вопросы, касающиеся работы с ПДн. И уже далее начинается взаимодействие с Роскомнадзором, прохождение регистрации.
Нередко, выполнив эти условия, организация «обо всём забывает» и далее не занимается вопросами, связанными с персданными. Но! Важно контролировать актуальность документов, особенно сейчас, когда появились серьёзные новшества. Надзорный орган быстро выявит несоответствия, например, если у организации появится новый сайт или изменится вид деятельности, а документы не будут обновлены, могут назначить штрафы.
Обязательно стоит отслеживать соблюдение сотрудниками правил работы с персональными данными. Многие руководители упускают этот момент, не видя в нём очевидных рисков. Но они есть. Контролируйте работу в данной части подразделений компании – бухгалтерии, эйчар-службы, маркетинга, клиентского сервиса, отдела продаж, ИТ и пр.
Отдельно хотелось бы обратить внимание на вопрос, касающийся трансграничной передачи данных. Как только вы передаёте персональные данные за границу, считается, что вы занимаетесь трансграничной передачей ПДн. 
Что здесь надо иметь в виду? Фактическая трансграничная передача данных может происходить автоматически – без конкретного информирования пользователя. Особенно это возможно при использовании сервисов веб-аналитики, таких как Google Analytics. Когда пользователь заходит на сайт, его действия фиксируются, а данные (IP-адрес, устройство и пр.) отправляются на иностранные серверы. Такая трансграничная передача требует отдельного уведомления Роскомнадзора. Использование иностранных сервисов без соответствующих мер защиты может привести к штрафам до 18 млн рублей.
Новые алгоритмы Роскомнадзора используют ИИ для автоматизированного мониторинга сайтов, это значительно ускоряет и расширяет контроль за организациями. Многие российские компании рассматривают переход на локальные системы аналитики.
Что касается сайтов в целом, они должны соответствовать требованиям Роскомнадзора. Необходимо следующее: публиковать актуальные (!) Политику обработки персональных данных и Политику конфиденциальности сайта; сделать так, чтобы Согласие на обработку было указано во всех формах сбора персональных данных (формы обратной связи, оставления заявок и пр.); обеспечить согласие посетителей на сбор Cookie. Также не должно быть расхождений в кодах ОКВЭД и в видах деятельности, указанных на сайте.
Марина Александровская, управляющий партнёр сервиса 1OPD.ru, Москва:
– Одно из важных новшеств – введение оборотных штрафов за утечку ПДн. Теперь компании будут платить процент от выручки, если допущены серьёзные нарушения, повлекшие инцидент.
Оборотные штрафы – это серьёзно. И если компания до сих пор откладывала настройку, рассчитывая «успеть до вступления закона в силу», сейчас требуется срочно всё привести в порядок.
Вот ключевые шаги. Нужно провести аудит текущих процессов: понять, где, как собираются ПДн, кто имеет к ним доступ, как они хранятся и защищаются, все ли необходимые документы разработаны и корректно размещены. Следует назначить ответственного за ПДн и обновить приказ о политике в отношении обработки ПДн (если это не было сделано ранее). Далее – подать уведомление в Роскомнадзор, настроить процедуры уведомления об инцидентах.
Об этом уже сказано, но ещё раз обратим внимание. Если произошла утечка ПДн, компания обязана немедленно зафиксировать ситуацию внутренними средствами – в журналах, актах, скриншотах. Требуется в течение 24 часов уведомить Роскомнадзор – в электронном виде или на бумаге. Сразу же принять меры по минимизации последствий (отключение доступа, блокировка скомпрометированных сервисов, оповещение клиентов). Обязательно надо направить в РКН дополнительное уведомление о результатах внутреннего расследования, включающее сведения о причинах, объёме утечки и принятых мерах, – в течение 72 часов.
В определённых ситуациях нужно проинформировать своих партнёров. Прямого и универсального требования уведомлять контрагентов в 152-ФЗ нет, но оно возникает из совокупности обязательств. 
Например, если компания передаёт персональные данные третьим лицам (подрядчикам, маркетинговым агентствам, ИT-сервисам). Или если эти данные утекли у вас, но они касаются субъектов, переданных в рамках договора.
Бизнес должен понимать: в новых условиях недостаточно «просто иметь антивирус» и шаблонное согласие на сайте. Нужно выстроить системную работу с ПДн.
Готовы ли компании к обновлённым мерам? Увы, в большинстве случаев – нет. Даже крупные игроки порой не могут оперативно доказать, что они всё делают грамотно: соблюдают принцип локализации – первичный сбор и хранение данных на территории РФ, правильно оформляют и фиксируют согласие пользователей, корректно разрабатывают политику конфиденциальности – не шаблон, а документ, учитывающий реальные процессы в компании. Не во всех организациях разработаны внутренние обязательные документы по работе с персональными данными, реализованы технические и организационные меры их защиты (DLP, SIEM, шифрование, контроль доступа и др.).
Усиление требований и контроля в том числе подтолкнёт бизнес к решению «персональных» вопросов.
Максим Лагутин, эксперт в области защиты персональных данных, основатель компании Б-152, Москва:
– Говоря об изменениях, надо подчеркнуть: в силу вступают не новые требования, а более ужесточённые меры ответственности. Бизнес, как уже сказано, ожидает существенное повышение штрафов. Например, раньше штраф за неуведомление Роскомнадзора о том, что компания обрабатывает персональные данные, составлял до 5 тысяч руб., теперь – до 300 тысяч. Причём уведомление обязаны подавать практически все: от крупного бизнеса до ИП и даже самозанятых, если данные обрабатываются в коммерческих целях.
Сейчас даётся старт не новым требованиям, а новым проверкам и санкциям. Компаниям нужно быстро закрыть базовые обязательства, чтобы не попасть в первую волну проверок.
Существует возможность снизить штрафы в десять раз, если компания выполняет три условия: тратит не менее 0,1% своей выручки на лицензированные услуги по защите персональных данных, проходит ежегодный внешний аудит безопасности, не имеет штрафов в области персональных данных за последнее время.
