Что изменилось в законе о персональных данных

Обновления в законе о персональных данных — не прихоть регуляторов. Законодатели объясняют: больше данных — больше рисков.

В условиях растущего оборота персональных данных и активного внедрения цифровых инструментов бизнесом государство усилило фокус на защите граждан. По словам представителей Роскомнадзора, цель изменений — минимизировать утечки, усилить контроль над иностранными сервисами и научить компании работать с данными «по правилам».

Особое внимание теперь уделяется прозрачности — как бизнес собирает данные, где хранит, кому передает. Под раздачу попали как крупные корпорации, так и малый бизнес, который использует привычные инструменты — Google Analytics, CRM с серверами за границей, формы на Tilda и даже простые Google Docs.

С недавних пор вся передача данных за границу требует уведомления Роскомнадзора. Это касается как крупных партнерств, так и банального хранения клиентской базы в Google Sheets или передачи заявок через форму на зарубежном хостинге.

Роскомнадзор теперь делит страны на «адекватные» и «неадекватные» по уровню защиты данных. В первом случае — можно передавать после уведомления и согласия клиента. Во втором — потребуется ждать одобрения ведомства в течение 10 рабочих дней. И да, Соединенные Штаты и большинство популярных западных облачных сервисов попадают именно во «вторую» категорию.

Если раньше неуведомление Роскомнадзора или нарушение правил обработки персональных данных заканчивались штрафом в пару тысяч рублей, то теперь ставки выросли в десятки и даже сотни раз.

Особо остро это касается бизнеса, который работает с онлайн-продажами, маркетингом, аналитикой и email-рассылками. Любая форма на сайте, любой пиксель — это потенциальный источник штрафа, если не соблюдены новые требования.

Отдельно предусматриваются штрафы за утечку данных. Если это произошло впервые, расчет будет производиться в зависимости от объема потерь. Для компаний размер штрафа может составить от 3 до 15 миллионов рублей. Повторная утечка карается еще более серьезно: расчет штрафного взыскания будет проводиться в зависимости от оборота компании, при этом минимальная сумма составляет 20, а максимальная — 500 миллионов рублей.

Теперь согласие на обработку персональных данных должно быть не просто «галочкой», а осознанным и конкретным. Нельзя просто написать «нажимая кнопку, вы соглашаетесь…». Нужно четко указывать:

• какие именно данные собираются,
• с какой целью,
• кто обрабатывает,
• передаются ли данные третьим лицам и за границу.

Для маркетологов это означает пересмотр всех форм, лендингов и всплывающих окон. Особенно — cookie-баннеров, в которых нужно выделять категории файлов и давать пользователю выбор. Без этого компания может попасть под нарушение.

Роскомнадзор получил расширенные полномочия: больше запросов, больше проверок, активнее реагирует на жалобы граждан. Появились автоматические системы, которые выявляют нарушения — даже без выездных проверок.

Компании обязали отслеживать актуальность данных в реестре, регулярно обновлять сведения, фиксировать назначения ответственных лиц. Все уведомления теперь строго по формам, с подтвержденными подписями и привязкой к Госуслугам. Ошибся в заполнении — получил запрос, не ответил — процесс приостановят, а бизнес останется без «законного статуса оператора».

Самое заметное — под удар попали сайты, рассылки и аналитика. Для маркетологов нововведения означают следующее:

• Формы захвата, квизы, виджеты — все должно быть с прозрачным согласием.
• Google Analytics, Google Forms и другие иностранные сервисы — потенциальный риск. Подробнее об этом в материале Google Analytics под вопросом: правовые риски и альтернативы.
• Ремаркетинг и таргетинг через пиксели и сторонние трекеры — под контролем.
• CRM-системы с серверами за границей — требует уведомления.
• Cookie-баннеры — обязательны, если собираете что-то, кроме функциональных данных.

Теперь маркетологам важно не просто настраивать воронки, а думать, где и как хранятся данные, какие сервисы используются, и соблюдены ли формальности. Это новая реальность, в которой креатив идет рука об руку с юридической грамотностью.

Все, что раньше делалось «по привычке», теперь требует юридической точности. Закон стал строже, Роскомнадзор — активнее, а штрафы — болезненнее. Но есть и хорошая новость: если все оформить правильно, можно продолжать работать с данными спокойно, не теряя в эффективности. Главное — не откладывать.