Причиной усиления законодательства стали масштабные утечки, которые Роскомнадзор зафиксировал в последние годы. Только за 2024 год в открытый доступ попало свыше 700 миллионов записей с персональной информацией россиян. Основная доля инцидентов приходится на онлайн-торговлю, где зачастую отсутствует комплексная система защиты.
Среди ключевых нововведений — значительное увеличение штрафов за отсутствие регистрации в Роскомнадзоре как оператора ПДн. За такое нарушение теперь предусмотрен штраф от 100 до 300 тысяч рублей. Кроме того, появилась новая форма ответственности — оборотный штраф от 1 до 3 миллионов рублей за факты утечки, даже если они произошли по вине подрядчика.
Теперь к числу нарушений относят даже сбор минимального объёма информации — например, имя и номер телефона через форму на сайте. Если такая информация используется без регистрации в Роскомнадзоре или должной защиты, компания автоматически попадает в зону риска. Закон не делает исключений ни по масштабу бизнеса, ни по форме его организации.
Нарушения также касаются трансграничной передачи данных: если серверы с базами клиентов находятся за пределами РФ, использование зарубежных платформ (вроде Trello или AWS) может привести к штрафам до 300 тысяч рублей.
Среди распространённых ошибок, которые допускает бизнес:
- отсутствие регистрации как оператора ПДн;
- копирование шаблонных политик из интернета;
- хранение данных бессрочно без юридического основания;
- передача информации подрядчикам без соответствующих согласий;
- использование зарубежных сервисов без настройки локализации.
Эксперты подчёркивают, что чтобы избежать штрафов, необходимо не просто «не нарушать», а выстроить системный подход к обработке данных. Это включает в себя регистрацию в Роскомнадзоре, подготовку внутренних и публичных документов, технические меры защиты (включая шифрование и ограничение доступа), а также аудит текущих бизнес-процессов.
Даже малый бизнес — если он работает с клиентами — обязан соответствовать новым требованиям. Отказ от регистрации или игнорирование правил может привести не только к санкциям, но и к репутационным рискам.
В свете цифровизации и перехода к большей прозрачности данных государство показывает, что защита информации становится приоритетом. Для бизнеса это возможность проявить зрелость, а не просто «переждать» новые правила. Инвестиции в грамотную организацию обработки ПДн — это не расходы, а защита активов, доверия клиентов и самой деловой репутации.
