С 30 мая 2025 года Россия поставила новые требования для обработки персональных данных. Это означает, что бизнес из небольших интернет -магазинов для крупных компаний должен изменить процессы сбора, хранения и использования данных и сотрудников клиентов. Несоответствие с обновленными правилами угрожает многомиллионным долларам.

Какие изменения ожидают владельцы бизнеса

Обновленные законы влияют на почти всех предпринимателей. Основные изменения связаны с локализацией баз данных, работе с файлами cookie и утечками. Теперь бизнес не только должен тщательно наблюдать за требованиями для обработки персональных данных, но и учитывать ужесточенные штрафы. Например, если вы не получите утечку, миллионы рублей могут стоить. В случае повторных нарушений вводятся рабочие штрафы, которые зависят от продаж компании.

База данных

Теперь операторы данных не только должны собирать и обрабатывать информацию на территории Российской Федерации.

Правила локализации применяются к компаниям, которые используют иностранные услуги для сбора и обработки информации пользователя. Например, облачное хранилище, Google Forms, Google Analytics.

Те, кто применяет иностранные ИТ -решения, упадут ниже правил своих серверов за пределами Российской Федерации. И, конечно, те, кто передает информацию о пользователях по границе, когда завершают транзакции с иностранными контрагентами.

До этого закон призвал к России только для обработки первичной обработки данных и позволил перенести позже на иностранные серверы. Теперь эта практика становится неприемлемой. Все инфраструктуры для сбора, хранения и обработки должны использоваться в Российской Федерации.

Roskomnadzor будет продолжать реализацию закона автоматизированной системой аудитора. Он отслеживает местоположение сервера и анализирует трафик.

Крестная передача данных возможна, но только в том случае, если есть официальное одобрение Roskomnadzor. Например, туристическая компания может перенести информацию о хост -боковых клиентах за границей. Для этого туристическое агентство должно заранее уведомить регулирующий орган и ввести информацию в Регистр программ Cross -Border.

печенье

Хотя закон не имеет прямого упоминания о файлах cookie, Roskomnadzor интерпретирует свое использование в качестве набора персональных данных.

1. Веб -сайты все еще должны подать заявку на получение разрешения на сбор файлов cookie с помощью баннеров, которые появляются во время первого посещения.

2. Пользователи должны иметь возможность выбрать, какие данные вы можете предоставить — аналитически, реклама, технически.

3. Должно быть возможно полностью отказаться от сбора файлов cookie — за исключением технически необходимых.

4. Если файлы cookie содержат идентифицирующие данные, они должны быть обработаны на территории Российской Федерации.

Ответственность за нарушение личных данных

Административная ответственность за Лекс ужесточена. Изменения относятся к искусству. 13.11 Административный кодекс Российской федерации. В Кодексе появляются новые штрафы и принципы их расчета.

В каких случаях является ответственность:

• Неудача в Розосинадзоре из -за утечки;

• Незаконная передача информации третьим лицам без согласия темы;

• халатность оператора, который привел к утечке;

• Отсутствие мер по защите личных данных — если компания не соответствовала нормам информационной безопасности.

Если электронный оператор уже получил наказание за такие нарушения, он будет назначен на текущее наказание. Они зависят от продаж компании.

Великие штрафы для юридических организаций и ИС

базовый

атака	офицер	ИС и юридическое единство
Обработка пользовательских данных для незаконных целей	До 100 000 рублей.	До 300 000 рублей.
Повторное нарушение обработки информации	До 200 тысяч рублей.	До 500 000 рублей.
Раннее сообщение о утечке	400-800 тысяч рублей.	1-3 миллиона рублей.
Утечка информации более 10 000 предметов	200-400 тысяч рублей.	3-5 миллионов рублей.

Повернуть

атака	Размер	Минимальная / максимальная сумма
Повторные нарушения, которые просочились	1-3% от общего объема продаж	20/500 миллионов рублей.
Leckage Специальные категории личных данных (например, биометрия)	1-3% продаж	25/500 миллионов рублей.
Будут смягчающие обстоятельства. Если компания инвестировала не менее 0,1% продаж в информационную безопасность за последние три года и выполнила все правила, штраф уменьшается до 10% от минимального размера. Но это все равно будет означать не менее 15 миллионов рублей.

Как избежать штрафов для утечки личных данных

Чтобы избежать финансовых потерь и поддерживать репутацию, компании должны подготовить надежные защитные меры.

Найдите базы данных в России

Если веб -сайт уезжает за границу, вы должны перенести его на внутренний сервер. Кроме того, проверьте, где обрабатывается информация пользователя. Если используются CRM, анализы, почтовые услуги или облачные магазины, вы должны уточнить свою географию.

Если невозможно отказаться от иностранного инструмента, стоит обрабатывать информацию о пользователе в российской федерации.

Если вам нужна передача данных Cross -Bordder, вы должны отправить уведомление в Roskomnadzor.

Предложить защиту информации пользователя

Компании должны не только хранить информацию в России, но и защитить ее от утечек. Надежное шифрование, многофакторная аутентификация для сотрудников и постоянные обновления программного обеспечения — особенно антивирусные системы. Полезно ограничить доступ к информации — он должен быть предназначен только для тех, кто действительно нуждается.

Настройка cookie

Необходимо дать пользователям возможность отклонить обработку файлов cookie и поделиться этими данными в соответствии с категориями. Если файлы cookie содержат идентифицирующую информацию, она должна быть сохранена только на русских серверах.

Вскоре после результатов

1. Новые требования начинают работать 30 мая.

2. Личная информация от пользователей должна быть сохранена и обработана только на территории Российской Федерации.

3. Чтобы перенести информацию за границу, необходимо получить одобрение Roskomnadzor.

4. Файлы cookie теперь считаются персональными данными, если они содержат четкие идентификаторы.

5. Если вы не позволите утечку утечки, это может привести к миллионным штрафам. В случае повторных нарушений предоставляются текущие наказания — до 3% продаж компании.

Часто задаваемые вопросы

Кто повлияет на обновленные правила?

Изменения оказывают влияние на все организации, которые работают с личной информацией, а также с отдельными предпринимателями и самостоятельно и являются, когда они собирают и обрабатывают данные от клиентов или их сотрудников.

Могу ли я использовать иностранные услуги для обработки персональных данных?

Это возможно, но только если информация в России физически хранится. Например, если система CRM находится на российских серверах, ее можно использовать.

Если была утечка, как вы можете избежать максимального штрафа?

Rosomnadzor срочно уведомляет, удаляет уязвимость и предоставляет документ, который компания инвестирует в безопасность — по меньшей мере 0,1% от продаж за три года. В этом случае сумма может быть уменьшена.