Первого июля 2025 года для российских операторов персональных данных произошла точечная, но важная корректировка правил. Закон № 23-ФЗ, который подписали в феврале, расставляет новые акценты в старой теме — локализации. Речь идёт о том, как именно можно собирать и обрабатывать данные о россиянах.
Суть изменений: акцент на первичном сборе
Главное, что стоит уяснить, — под запрет теперь подпадает не хранение, а именно первичный сбор персональных данных с использованием баз, находящихся за рубежом. Неважно, через сайт, приложение или анкету — если информация изначально попадает на сервер за пределами России, это будет нарушением.
Это значит, что новая редакция ч. 5 ст. 18 152-ФЗ содержит всё тот же список действий по обработке персональных данных. Условия сбора, в том числе с помощью интернета, тоже прежние. Но теперь все эти действия нельзя выполнять с помощью зарубежных баз данных.
Любопытно, что штрафы за несоблюдение этих правил немалые (до 6 млн р. за первое нарушение и до 18 млн р. за повторное) и по-прежнему касаются операторов, то есть тех, кто определяет цели и содержание обработки. А с их подрядчиков («обработчиков») прямая ответственность за локализацию снята.
Что осталось без изменений?
Важный нюанс: трансграничную передачу данных никто не запрещал. После того как данные уже находятся в российской базе, их можно передавать за рубеж при наличии законных оснований. Новый закон бьёт именно по изначальной практике сбора информации «в обход» российских серверов. А передача данных — это отдельная операция.
План подготовки: с чего начать?
Юристы советуют компаниям не откладывать аудит процессов в долгий ящик. Вот примерный алгоритм действий:
Начните с ревизии. Проведите аудит всех бизнес-процессов, где происходит сбор данных. Особое внимание уделите операциям, которые могут быть связаны с зарубежными базами или сервисами.
Продумайте «логистику» данных. Как информация будет поступать сразу на российские серверы? Как ваши зарубежные партнёры смогут с ней работать легально, если это необходимо?
Пересмотрите договоры. Проверьте соглашения с подрядчиками, которые имеют доступ к данным. Убедитесь, что в них прописаны новые правила.
Оцените риски. Проанализируйте, какие решения могут нести репутационные или финансовые потери, и подготовьте запасные варианты.
Это не глобальная революция, а точечная корректировка. Но она требует внимания. Наша команда готова провести аудит защищённости систем обработки персональных данных, чтобы уже сейчас ваша компания работала уверенно и без лишних рисков — в соответствии с действующими правилами.