С 1 июля 2025 года начинают действовать обновленные требования к хранению персональных данных

С 1 июля 2025 года начинают действовать обновленные положения Федерального закона № 152-ФЗ «О персональных данных», которые устанавливают требования к хранению персональных данных внутри страны.

В чем суть?

• Основное изменение заключается в том, что теперь запрещено записывать, систематизировать, накапливать, хранить, уточнять и извлекать персональные данные граждан РФ в базах данных, находящихся за пределами России.
• Правила по локализации в первую очередь распространяются на компании, которые используют иностранные сервисы для сбора и обработки пользовательской информации. Например, облачные хранилища, Google Forms, Google Analytics.
• Под новые правила попадают и те, кто применяют иностранные IT-решения — если их серверы находятся за пределами РФ, а также те, кто передает информацию о пользователях через границу при заключении сделок с иностранными контрагентами.

Ранее закон требовал проводить в России только первичную обработку данных, допуская их последующую передачу на зарубежные серверы. Теперь такая практика станет недопустимой. Вся инфраструктура для сбора, хранения и обработки должна размещаться в РФ.

• Отслеживать исполнение закона Роскомнадзор будет через автоматизированную систему «Ревизор». Она отслеживает местоположение серверов и анализирует трафик.
• Трансграничная передача данных возможна, но только при соблюдении порядка уведомления Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных. Например, туристическая компания может передавать информацию о клиентах принимающей стороне за границей, направив предварительное уведомление в Роскомнадзор. 

Федеральный закон от 28.02.2025 N 23-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской Федерации".

Кроме того, с 30 мая 2025 года вносятся изменения в ст. 13.11 КоАП РФ. В кодексе появились новые штрафы и принципы их расчета .

В каких случаях наступает ответственность:

- несообщение в Роскомнадзор об утечке ПД;

- неправомерная передача информации третьим лицам без согласия субъекта;

- халатность оператора, которая привела к утечке ПД;

- отсутствие мер по защите персональных данных — если компания не соблюдала нормы информационной безопасности.

Федеральный закон от 30.11.2024 № 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".