С приходом 2025 года бизнес столкнулся с серьёзными изменениями в законодательстве, регламентирующем обработку и защиту персональных данных граждан Российской Федерации. Цифровая трансформация, использование облачных сервисов и работа с международными подрядчиками становятся сложными задачами из-за новых требований, вступивших в силу.
Нововведения: что важного изменилось
С 1 июля 2025 года вступили в силу обновления в части 5 статьи 18 закона № 152-ФЗ, которые фактически запрещают первичный сбор персональных данных граждан РФ на серверах, расположенных за пределами страны. Теперь компании обязаны гарантировать, что данные собираются, обрабатываются и хранятся исключительно на физических носителях, расположенных на российской территории.
Это нововведение кардинально изменяет правила игры. Ранее некоторые компании обходили требования о локализации, создавая искусственные базы данных или размещая лишь часть информации в России. Теперь все действия, связанные со сбором и обработкой, должны полностью соответствовать новым нормам, что исключает возможность маневра.
Определение и примеры несоответствий
Понятие «сбор» теперь охватывает множество действий, таких как:
- приём информации от пользователей через формы и заявки;
- запись данных в базу (даже временно);
- логирование действий (анализ пользовательского поведения);
- первая обработка данных, включая нормализацию и категоризацию;
- временное хранение в очередях и буферах.
Если хотя бы один из этих процессов осуществляется на сервере за пределами РФ, это расценивается как нарушение. К примеру, отправка данных из формы обратной связи напрямую в иностранный облачный сервис может обернуться крупными штрафами, даже если существует локальная копия данных.
Как действовать в новых условиях
Несмотря на новые ограничения, закон не запрещает трансграничную передачу данных при наличии всех необходимых условий. Возможны следующие шаги, чтобы соответствовать требованиям:
- Первоначально обеспечить сбор и сохранение данных в российской ИТ-инфраструктуре.
- Допустить трансграничную передачу только после локального сбора данных и при наличии правового основания, например, согласия субъектов данных.
Эти изменения непросты, но при правильной организации можно минимизировать риски и обеспечить безопасность персональных данных. Важно пересмотреть бизнес-процессы и внедрить новые подходы к обработке данных, чтобы не оказаться под угрозой санкций со стороны властей.
