Как бизнесу адаптироваться к новым требованиям по защите ПДн

Почему защита персональных данных — это не просто задача ИТ, а вопрос выживания бизнеса

До недавнего времени в российских компаниях обработка персональных данных зачастую сводилась к формальностям: публиковали «копию» политики конфиденциальности, ставили галочку в форме «Согласен с условиями» и надеялись, что никто не проверит. Однако с 2023 года ситуация кардинально изменилась: за два года до середины 2025-го защита данных превратилась из технологической задачи в стратегический приоритет бизнеса. Сегодня именно на нее обращают внимание инвесторы, клиенты и регуляторы: любая общеизвестная ошибка способна обернуться протестами в соцсетях, массовым уходом аудитории и штрафами, измеряемыми миллионами рублей (или евро).

Запуская проект без продуманной политики работы с персональными данными, компания рискует не только попасть под штрафы, но и потерять доверие рынка. ИТ-специалисты больше не могут спокойно считать контроль за данными «своей» зоной ответственности — эти риски затрагивают владельцев бизнеса, маркетологов, юристов и HR. Решения о том, какие данные собирать, как их хранить и кому передавать, должны приниматься на уровне топ-менеджмента, поскольку именно руководство несет юридическую и репутационную ответственность.

Пример — история одного популярного мессенджера. Функция «поиск по номеру» позволяла определить профили пользователей и связать их с реальными людьми. Как следствие, в ЕС возбудили расследование на предмет нарушения принципов GDPR. Хотя платформа утверждала, что соблюдает собственную политику конфиденциальности, европейские регуляторы увидели недоработки: недостаток прозрачности и отсутствие контроля за трансграничной передачей данных угрожают компании многомиллионными штрафами.

Не менее резонансна история крупной торговой онлайн-площадки: в 2023 году Люксембург оштрафовал гиганта на рекордную сумму — более 700 млн евро. Поводом стало некорректное информирование пользователей о том, как их данные используются в рекламных кампаниях. Компания предоставляла обобщенные формулировки вместо конкретики, что нарушало требование «ясности и доступности» GDPR.

Эти кейсы демонстрируют: сегодня персональные данные — не расходный материал, а ценный актив, требующий тщательной защиты. Игнорирование требований закона способно привести к прямым финансовым убыткам, падению репутации и потере конкурентных преимуществ. 

Ужесточение правил хранения, передачи, согласий и новые обязанности операторов ПДн

С 2024 года законодательство о персональных данных претерпело ряд существенных изменений, направленных на усиление контроля за сбором, хранением и передачей информации. Эти новации прямо затрагивают все компании — от крупных корпораций до малого бизнеса и индивидуальных предпринимателей.

1. Ужесточение требований к хранению данных

Во-первых, уточнены правила хранения персональных данных. Ранее операторы могли ориентироваться лишь на общие сроки, указанные в Перечне Роскомнадзора. С 2024-го введено требование вести внутренний реестр категорий обрабатываемых данных, подробно прописывая: какие именно сведения собираются (например, ФИО, данные о здоровье, данные о поведении на сайте), с какой целью и в какие сроки они будут храниться. Теперь каждая организация должна иметь документированную политику хранения, где четко указаны основания для уничтожения или анонимизации устаревших записей. Нарушения фиксируются даже в случае незначительного расхождения между реестром и фактическими сроками.

2. Трансграничная передача персональных данных

Во-вторых, правила передачи данных за рубеж стали более жесткими. Если раньше достаточно было базового анализа юрисдикции страны-получателя (входит ли она в «белый список» Роскомнадзора), то с 2025 года операторы обязаны дополнительно проводить оценку рисков при каждой отправке данных в иностранные сервисы. Это касается не только передачи личных данных клиентов, но и обмена сведениями внутри группы компаний. Появилось требование включать в договора с зарубежными партнерами четкие положения о защите данных в соответствии с российским законодательством и обязательства по уведомлению об инцидентах в течение 24 часов.

3. Форматы и содержание согласий на обработку

С 2024 года согласие пользователя перестало быть «универсальным». Уточнены критерии: форма согласия должна быть самостоятельным документом (отдельный чекбокс, не предзаполненный, с четкой ссылкой на политику конфиденциальности), а текст — понятным и конкретным. Классические «я согласен с условиями» без указания целей обработки или возможности отзыва больше не подходят. Дополнительно введена обязанность предоставлять пользователю механизм для отзыва согласия в любую минуту (например, кнопка «Отписаться» на сайте или электронное письмо), а все последующие обработки данных должны прекращаться в течение трех рабочих дней после получения запроса на отзыв.

4. Новые обязанности операторов

С 2024 года операторы обязаны: 

• Вести внутренний реестр категорий обрабатываемых данных с указанием целей, сроков и способов уничтожения.
• Назначать ответственного за обработку персональных данных (DPO) вне зависимости от масштабов бизнеса. Для малых предприятий введена упрощенная форма отчетности, но обязанность осталась обязательной.
• Нотифицировать Роскомнадзор обо всех инцидентах, связанных с утечкой или несанкционированным доступом к персональным данным, в течение 24 часов с момента обнаружения.
• Проводить регулярные проверки (не реже одного раза в год) сторонних подрядчиков, которые получают доступ к персональным данным, и документировать результаты этих аудитов.

5. Ответственность и штрафы

Наконец, расширен перечень оснований для штрафных санкций. Помимо уже существующих составов (отсутствие политики, неверное получение согласия), появились новые: хранение данных дольше установленного срока, несвоевременное уведомление об утечке, нарушение новых форматов согласий. Штрафы для юридических лиц теперь могут достигать нескольких миллионов рублей в зависимости от категории и объема нарушенных данных.

Риски для бизнеса: за что реально штрафуют

Несоблюдение требований к работе с персональными данными может привести к блокировке ресурсов, штрафам и утрате доверия клиентов. Вот основные риски, за которые компании реально наказывают.

Типовые нарушения и санкции:

1. Отсутствие или формальный характер политики ПДн на сайте

Компании часто размещают шаблонные тексты без привязки к своим бизнес-процессам. Роскомнадзор легко это выявляет. Штраф: от 60 000 ₽ за каждое нарушение.

2. Некорректная форма согласия

Скрытые или предзаполненные чекбоксы, общие формулировки без указания целей и политики — все это нарушает закон. Штрафы могут достигать 100 000 ₽ за случай.

3. Нет договоров с подрядчиками, имеющими доступ к ПДн

Маркетинговые, облачные и CRM-сервисы должны быть юридически оформлены с учетом требований 152-ФЗ. В противном случае — до 200 000 ₽ штрафа.

4. Хранение данных дольше положенного срока

Отсутствие четких сроков удаления или анонимизации данных карается штрафом до 75 000 ₽ и предписанием на удаление.

5. Несвоевременное уведомление об инцидентах

При утечке или незаконном доступе к персональным данным оператор обязан сообщить в Роскомнадзор в течение 24 часов. Пример: в 2024 году одна из региональных клиник уведомила лишь через три дня — результатом стала блокировка ресурса до устранения последствий и штраф 150 000 ₽.

Типовые ошибки по незнанию:

• «Устное согласие» или «просто галочка» — не считаются действительными.
• Отсутствие DPO (ответственного за ПДн) — даже в малом бизнесе.
• Использование зарубежных сервисов без правовой оценки рисков передачи данных.

Что проверяет Роскомнадзор в первую очередь:

1. Наличие и актуальность политики на сайте.
2. Корректность форм согласия (чекбоксы, ссылки, цели).
3. Ведение внутреннего реестра обработки ПДн.
4. Договоры с подрядчиками, работающими с ПДн.
5. Назначение DPO и обучение сотрудников.
6. Технические меры защиты: шифрование, аудит, резервное копирование.

Понимание этих рисков и заблаговременная работа с ними помогают сохранить бизнес и доверие клиентов. Лучше провести аудит сейчас, чем устранять последствия позже.

Проверка документов, договоров, процессов и сотрудников — практическое руководство для предпринимателей

Чтобы привести работу с персональными данными в соответствие с законом и сократить риски, компаниям следует выполнить базовые шаги.

1. Перепроверьте публичные документы

Актуализируйте политику конфиденциальности: укажите, какие данные собираются, зачем, на каких основаниях и сколько хранятся. Документ должен быть доступен на сайте и понятен для пользователей.

Проверьте формы согласия: на каждой должен быть отдельный непредзаполненный чекбокс, ссылка на политику и возможность отзыва согласия.

2. Обновите шаблоны договоров с контрагентами

Любой подрядчик, обрабатывающий ПДн (например, сервисы рассылок, аналитики, CRM), должен иметь договор с пунктами о защите данных, ответственности и порядке уведомления об инцидентах.

В клиентских договорах включите упоминание об обработке ПДн для исполнения обязательств (выставление счетов, информирование и т. д.).

3. Проведите аудит по 10 ключевым критериям

Рекомендуем использовать следующий перечень для внутренней или внешней проверки:

1. Наличие и актуальность политики конфиденциальности.
2. Корректность формы сбора согласий (непредзаполненный чекбокс, конкретика целей обработки).
3. Существование внутреннего реестра обрабатываемых данных (категории, цели, сроки).
4. Документированное назначение ответственного за ПДн (DPO).
5. Договоры со всеми подрядчиками, имеющими доступ к данным.
6. Наличие механизма отзыва согласий и автоматической остановки обработки.
7. Технические меры: шифрование баз данных, разграничение прав доступа, журналы аудита.
8. Оценка рисков трансграничной передачи данных (если используется зарубежный софт).
9. Обучение сотрудников (протоколы инструктажей, записи о тестировании).
10. Процедуры реагирования на инциденты (план уведомления Роскомнадзора, инструкции для IT-сотрудников).

4. Назначьте ответственного за ПДн

Назначьте DPO или уполномоченного сотрудника. В зависимости от масштаба бизнеса это может быть отдельный специалист или представитель вашей команды (юрист, IT). Зафиксируйте назначение внутренним документом. Обеспечьте обучение: он должен знать требования 152-ФЗ, иметь доступ к реестрам и контролировать документы, учет инцидентов и актуальность политики.

5. Особое внимание — маркетинговым сервисам

Проверьте, что для email- и SMS-рассылок есть явное согласие пользователей (отдельный чекбокс). Пересмотрите источники баз: если они куплены или арендованы, убедитесь в наличии прав на передачу. Все сервисы должны хранить данные в РФ либо иметь договор о трансграничной передаче.

Если используете Google Analytics, Яндекс.Метрику, Salesforce и другие иностранные решения — проведите оценку рисков и при необходимости заключите соглашения или перейдите на отечественные альтернативы.

В ретаргетинге не используйте списки телефонов и email без четких согласий.

Выполнив все пункты, компания минимизирует вероятность привлечения к административной ответственности, избежит блокировки ресурсов и укрепит доверие клиентов. Такой проактивный подход не только соответствует законодательству, но и станет конкурентным преимуществом на рынке.

Персональные данные как стратегический актив

Тенденция на ужесточение контроля за обработкой персональных данных сохраняется и будет только нарастать. Российские регуляторы планомерно синхронизируют нормы 152-ФЗ с международными практиками, что делает требования все более универсальными и жесткими. Уже сегодня ведется обсуждение внедрения «цифровых следов согласий», более строгих правил для работы с биометрией и принципов «privacy by design» — когда защита данных закладывается в продукт с момента его разработки. Это означает, что бизнесу придется не просто реагировать на новые поправки, а строить работу вокруг идеи минимизации рисков и прозрачности на всех этапах.

Персональные данные в цифровую экономику превращаются в один из ключевых активов. Аналитические платформы, CRM-системы, таргетированные рекламные кампании — все это требует доступа к детализированной информации о клиентах. Однако тот, кто не готов обеспечить надежную защиту, рискует получить не только штрафы, но и потерять конкурентные преимущества: пользователи все чаще выбирают те компании, которые демонстрируют заботу о конфиденциальности. Более того, в будущем компании, которые смогут гарантировать безопасность данных, смогут предлагать дополнительные сервисы на базе доверительных отношений, например персонализированные предложения или «умные» подписки с учетом индивидуальных предпочтений.

Действовать проактивно в этой сфере необходимо по трем причинам. Во-первых, это минимизация репутационных и финансовых рисков: заранее внедрив технические и организационные меры, вы избегаете незапланированных затрат на штрафы и устранение последствий утечек. Во-вторых, это укрепление доверия со стороны клиентов и партнеров: компании, которые открыто информируют о том, как они обрабатывают и защищают данные, вызывают больший лояльность и повышают конверсию. И, наконец, это возможность выйти на новый уровень развития: создавая стандарты по работе с ПДн, можно получить конкурентное преимущество, особенно в высокотехнологичных сегментах — от IT-стартапов до e-commerce.

Таким образом, инвестиции в систему защиты персональных данных — это не расход, а стратегический ресурс. Компании, которые рассматривают ПДн как нечто большее, чем бумажную формальность, уже сейчас создают условия для стабильного роста и укрепляют будущее в эпоху цифровой экономики.