Дорогие коллеги,   

Совершенствование законодательства в сфере защиты персональных данных продолжается. 

С 1 июля 2025 года заработали поправки к статье 18 Федерального закона № 152-ФЗ (введено Федеральным законом от 28.02.2025 N 23-ФЗ), которые вводят дополнительные ограничения для операторов и обработчиков персональной информации.

Обновленная норма прямо запрещает при сборе данных россиян использовать базы, расположенные за рубежом: 

«При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.» 

Ниже проанализируем ключевые изменения, рассмотрим риски и предложим рекомендации к действиям.

Сфера действия ограничений

По прямой трактовке статьи закона (полную формулировку см. выше) можно сделать вывод, что новые правила касаются исключительно этапа первичного сбора персональных данных. 

Не запрещается последующая трансграничная передача данных  — однако здесь важно помнить и учитывать ранее введенные требования (см. в нашем обзоре тут и тут). 

Расширенный круг ответственных лиц

Если раньше требования касались только непосредственно операторов персональных данных, то теперь под контроль попадают все обработчики данных, например, HR-провайдеры, облачные сервисы хранения информации, платформы электронного документооборота.

Высокие штрафы! 

Несоблюдение правил грозит серьезными санкциями:

• Первичное нарушение — штраф 1-6 млн рублей (для юридических лиц), 100-200 тысяч рублей (для должностных лиц).

• Повторное нарушение — 6-18 млн рублей (для юридических лиц), 500-800 тысяч рублей (для должностных лиц).

Рекомендации 

Безусловно, начать следует с аудита процессов. Необходимо проанализировать действующую IT-инфраструктуру компании (в том числе расположение баз данных и физическое местонахождение серверов), убедившись, что сбор данных происходит на территории РФ. 

Важно не оставить без внимания все каналы сбора данных: например, сайт компании (зачастую содержит формы для заполнения либо аналитические сервисы сбора данных), мобильные приложения (при их наличии) и др.

Также необходимо будет проверить и актуализировать внутренние локальные акты и политики, в частности, положение об обработке персональных данных.

Будем рады ответить на Ваши вопросы, помочь при необходимом документальном оформлении и проконсультировать Вас по этому и другим вопросам.