С 1 июля 2025 года в Российской Федерации вступают в силу обновленные нормы, касающиеся работы с персональными данными граждан. Согласно поправкам к закону «О персональных данных», теперь весь процесс обработки информации, от первоначального сбора до окончательного удаления, должен полностью осуществляться на территории России.
До вступления этих изменений в силу операторы персональных данных могли собирать и первично обрабатывать информацию на российских серверах, но затем передавать базы данных сторонним обработчикам за рубежом для последующего анализа. С 1 июля такие действия станут невозможными. Новые положения прямо запрещают запись, систематизацию, накопление, хранение, обновление, изменение и извлечение персональных данных россиян с использованием баз данных, расположенных за пределами страны.
Расширение требований законодательства теперь затрагивает не только операторов персональных данных, но и так называемых обработчиков. К этой категории относятся различные поставщики услуг и программного обеспечения, предоставляющие компаниям инструменты для аналитики (например, Google Analytics), а также сервисы для кадрового учета, CRM-системы и другие подобные решения.
Как отметил Александр Кирсанов, руководитель юридического департамента «МТС Линк», подобные сторонние системы, как правило, сами не занимаются сбором данных напрямую от пользователей, но получают их в готовом виде от операторов — банков, онлайн-магазинов, телеком-компаний, IT-фирм.
«После вступления поправок в силу можно ожидать усиления контроля со стороны регулятора за тем, кому именно бизнес доверяет обработку персональных данных россиян. Использование зарубежных аналитических сервисов, вероятно, станет значительно сложнее», — добавил эксперт.
По словам Кирсанова, ключевая цель этих изменений — снизить риски утечек персональных данных российских граждан. Однако он также указал на другие потенциальные проблемы, связанные с использованием иностранного программного обеспечения российским бизнесом. С 2022 года многие российские компании и государственные учреждения сталкивались с внезапными отключениями от зарубежных сервисов, даже при наличии оплаченных долгосрочных лицензий, что приводило к сбоям в рабочих процессах и потере важной информации.
Законодательство относит к персональным данным широкий спектр информации о человеке. Это, в частности, фамилия, имя, отчество (особенно в сочетании с контактными или паспортными данными), дата и место рождения (привязанные к ФИО), адрес проживания, номера телефонов, адреса электронной почты, паспортные данные, ИНН, СНИЛС. Также к ним относятся фотографии, сведения о семейном положении, образовании, профессии, доходах. Более того, даже IP-адрес, данные учетных записей, информация о местоположении и биометрические данные признаются персональными.
