Ключевые изменения в сфере защиты персональных данных (ПДн)

Не очень веселые выводы по 152-ФЗ с его изменениями что есть и какие будут: - Резкое ужесточение ответственности Введены оборотные штрафы за утечки и повторные нарушения — для крупных компаний они могут достигать 500 млн рублей или процента от годовой выручки. Минимальные штрафы для среднего бизнеса при повторных инцидентах — от 10–30 млн рублей. Даже при соблюдении всех требований минимальный штраф не может быть ниже 15 млн рублей, а максимальный — не более 50 млн рублей. - Новые требования к обработке и хранению данных Все персональные данные российских граждан должны храниться и обрабатываться только на территории РФ. Использование зарубежных облачных сервисов и ПО для работы с ПДн для крупных компаний и госкорпораций будет запрещено с 2027 года. За нарушение локализации предусмотрены штрафы до 18 млн рублей для юридических лиц. - Обязательная регистрация операторов ПДн Теперь регистрироваться в Роскомнадзоре обязаны все, кто собирает или обрабатывает ПДн, включая малый бизнес, самозанятых и даже физических лиц, если они работают с данными клиентов или пользователей. За отсутствие регистрации — крупные штрафы. - Новые правила получения согласий Согласие на обработку ПДн должно быть оформлено как отдельный документ, не совмещённый с другими. Введён принцип минимизации: собирать только те данные, которые действительно необходимы для заявленной цели. Для биометрических и специальных категорий данных — отдельные согласия и повышенные меры защиты. - Ужесточение контроля и новые инструменты надзора Роскомнадзор внедрил автоматизированные системы мониторинга сайтов с элементами ИИ, которые выявляют нарушения (например, отсутствие политики конфиденциальности, некорректные формы сбора данных, использование зарубежных сервисов). В 2026 году ожидаются массовые проверки, в том числе внеплановые и административные расследования, которые могут проводиться без предварительного уведомления. - Порядок действий при утечке Оператор обязан уведомить Роскомнадзор в течение 24 часов о факте утечки и в течение 72 часов — о результатах внутреннего расследования. За сокрытие утечки или несвоевременное уведомление — штрафы до 3 млн рублей. - Трансграничная передача данных Введены новые правила: теперь важен не формальный признак участия страны в международных конвенциях, а её включение в специальный перечень Роскомнадзора. Для передачи данных в страны вне перечня требуется уведомление и ожидание 10 рабочих дней до начала передачи. - Рекомендации для бизнеса - Провести аудит процессов обработки ПДн. - Локализовать все данные на территории РФ. - Обновить внутренние документы и получить отдельные согласия. - Назначить ответственного за организацию обработки ПДн. - Внедрить технические и организационные меры защиты, включая сертифицированные ФСТЭК средства. - Обучить сотрудников правилам работы с ПДн и реагированию на инциденты.

Более детально читайте на моем блоге.