С 30 мая 2025 года в России вступили в силу изменения законодательства о персональных данных, которые существенно усилили ответственность компаний за нарушения при работе с информацией о клиентах и сотрудниках. Размер санкций вырос кратно: в ряде случаев штрафы достигают миллионов рублей, а уголовная ответственность применяется за неправомерный сбор и распространение данных. Для бизнеса это означает необходимость пересмотра существующих процессов и более внимательного отношения к обработке персональной информации.

Объем утечек данных продолжает расти. С начала 2024 года в открытом доступе оказались сотни миллионов записей, содержащих сведения о гражданах, включая номера банковских карт, документы и контактную информацию. Россия занимает лидирующие позиции по количеству предложений о продаже баз данных в даркнете. Особенно уязвимыми остаются онлайн-сервисы и e-commerce, где фиксируется значительная доля инцидентов.

Изменения законодательства коснулись сразу нескольких аспектов. Во-первых, увеличены штрафы за отсутствие регистрации в реестре операторов персональных данных. Даже небольшая компания, которая собирает e-mail через форму обратной связи или принимает заказы через сайт, обязана уведомить Роскомнадзор о начале обработки данных. Игнорирование этого требования может привести к штрафу до 300 тыс. рублей.

Во-вторых, введены оборотные штрафы за утечку информации. Теперь ответственность наступает независимо от того, произошел инцидент по вине самой компании или подрядчика. Размер санкций может составить от 1 до 3 млн рублей. Дополнительно расширены основания для уголовной ответственности за незаконный сбор и распространение персональных данных, особенно если нарушение привело к массовым утечкам или нанесло ущерб гражданам.

Новые нормы распространяются на широкий круг организаций. Оператором персональных данных признается любой бизнес, который взаимодействует с физическими лицами и фиксирует информацию о них. Это касается компаний, работающих с онлайн-заказами, электронными рассылками, CRM-системами, клиентскими базами и даже офлайн-заявками, которые затем вносятся в электронные системы. Фактически даже один номер телефона или адрес электронной почты уже подпадает под регулирование.

Особую осторожность следует проявлять компаниям, работающим с чувствительными категориями данных. К ним относятся медицинские организации, образовательные сервисы, финансовые и юридические компании, а также онлайн-платформы с подписочной моделью. Дополнительный риск возникает при использовании зарубежных облачных сервисов, поскольку закон требует хранения персональных данных россиян на территории РФ.

Распространенной ошибкой остается использование шаблонных документов без учета реальных бизнес-процессов. Формальное наличие политики обработки данных не гарантирует соответствие требованиям закона. Важно, чтобы документы отражали реальные цели обработки информации, порядок хранения и доступ сотрудников.

Подготовка к новым требованиям включает несколько обязательных шагов. Компании необходимо зарегистрироваться в реестре операторов персональных данных, разработать комплект внутренних документов, обеспечить техническую защиту информации и ограничить доступ к базам. Также рекомендуется провести аудит процессов, чтобы выявить скрытые риски и устранить возможные нарушения до проверки.

Ужесточение законодательства отражает тенденцию к усилению контроля над цифровой безопасностью. Персональные данные становятся важным активом бизнеса, а их защита — необходимым элементом устойчивой работы компании. Организация системной работы с данными позволяет снизить юридические риски и повысить доверие клиентов.