1 июля вступили в силу дополнения п. 5 ст. 18 ФЗ-152 “О персональных данных”, связанные с локализацией персональных данных россиян. В этой статье разбираем, какие риски ждут бизнес, что в этом случае делать и как уведомлять РКН об обработке персональных данных. Что именно изменилось Если согласно предыдущей версии закона оператор был обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, то последняя редакция ФЗ-152 предполагает введение императивного запрета на все эти действия с использованием баз данных, находящихся за пределами территории РФ (за исключением случаев, указанных в пунктах 2, 3, 4 и 8 ч. 1 ст. 6 152-ФЗ). Также обращаем ваше внимание, что из ч. 5 ст. 18 152-ФЗ исключено упоминание операторов персональных данных, что может повлечь за собой распространение соответствующих обязательств на лиц, обрабатывающих персональные данные по поручению оператора. То есть даже если компания напрямую не является оператором, а действует по поручению, например, работает на аутсорсе в качестве подрядчика оператора, новые изменения ее тоже коснутся, поэтому подачу уведомления об обработке персональных данных в РКН лучше не откладывать. Напомним, к персональным данным относятся ФИО, email, номер телефона, паспортные данные, дата и место рождения, адрес проживания, ИНН, СНИЛС, фотографии, информация о семейном положении, образовании, профессии, доходах и т.д. За нарушение требований по локализации предусмотрены штрафы: до 6 млн руб. за первичное нарушение и до 18 млн – за повторное. www.eg-online.ru/article/496572/ Теперь – о том, как следовать букве закона и не получить штраф. Что делать бизнесу Используйте IT-инфраструктуру в России Если ваша компания взаимодействует с российскими пользователями, необходимо записывать собранные данные только в локальные базы, размещенные на территории Российской Федерации, и не иметь копий за ее пределами. На практике это означает, что для развития вашего бизнеса с учетом обновлений законодательства серверы, на которых происходит обработка персональных данных, или облачные хранилища, также взаимодействующие с персональными данными, должны размещаться в дата-центрах, расположенных в России, – например, в Beget предусмотрена возможность арендовать решения с локацией как в РФ, так и за рубежом. При этом обращаем ваше внимание на то, что наша компания не обрабатывает персональные данные пользователей по поручению операторов. Подайте в Роскомнадзор уведомление об обработке персональных данных Уведомление об обработке персональных данных можно подготовить по образцу на портале персональных данных Роскомнадзора. pd.rkn.gov.ru/docs/Uvedomlenie_ob_obrabotke.pdf Подать в РКН уведомление об обработке персональных данных можно одним из трех способов: Распечатать и подать в бумажном виде в территориальное отделение РКН по месту регистрации. Образец формы, которую следует распечатать и отправить в территориальный орган, можно найти на портале персональных данных Роскомнадзора. pd.rkn.gov.ru/operators-registry/notification/form/ Через сайт РКН в виде электронного документа, подписанного усиленной квалифицированной электронной подписью – в этом случае у вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним. Подать уведомление можно через портал персональных данных Роскомнадзора. www.cryptopro.ru/products/cades/plugin pd.rkn.gov.ru/operators-registry/notification/form/ Через Госуслуги – если вы хотите подать уведомление за организацию, то ваша учетная запись должна быть привязана к данной организации на Госуслугах. esia2.rkn.gov.ru/auth/pdform После этого РКН в течение 30 дней с даты поступления уведомления внесет информацию в реестр операторов персональных данных. При этом в случае отправки уведомления в бумажном виде дата будет отсчитываться с момента его получения территориальным отделением. Чтобы проверить, есть ли вы в реестре, зайдите на сайт РКН, введите ИНН или название вашей компании и нажмите “Найти” – если сведений нет, значит, нужно направить уведомление. pd.rkn.gov.ru/ Организуйте обучение сотрудников Проведите инструктаж среди всех, кто работает с персональными данными (отдел кадров, бухгалтерия, отдел по работе с клиентами и т.д.). Подготовьте сайт Если ваш сайт собирает статистику по пользователям или содержит формы обратной связи, то вы уже участвуете в сборе персональной информации. Важно актуализировать форму политики обработки персональных данных, разместить на сайте ссылку на нее (например, в футере) и настроить уведомление посетителей сайта о сборе информации в cookie. Если у вас возникнут сложности с подготовкой документов для сайта по порядку обработки персональных данных ваших клиентов и пользователей, наши юристы придут на помощь. Заключение По данным РКН, с января по май 2025 года в России зафиксировано 30 случаев утечек персональных данных. Вопрос хранения данных актуален для любого бизнеса, а сегодня, когда штраф можно получить, не только намеренно собирая и передавая данные с преступными целями, но и просто не соблюдая обновленный ФЗ-152 “О персональных данных”, каждому важно держать руку на пульсе и адаптироваться к новым изменениям. Если у вас возникли вопросы, свяжитесь с нами удобным для вас способом – и мы обязательно ответим. Также ждем вас в нашем официальном Telegram-канале, а обсудить облачное хранение данных или просто пообщаться на любую тему с коллегами по цеху и сотрудниками облачной IT-платформы Beget вы можете в нашем чате. t.me/beget_chat beget.com/ru/cloud...