Иркутская область: экономика, бизнес

03.02.2026

Юристы рассказали, какие правила нужно соблюдать бизнесу при работе с персональными данными

В последние годы регулирование персональных данных в России претерпело серьёзные изменения – крупнейшие за десятилетие. Это связано с активной цифровизацией экономики, развитием онлайн-сервисов и усилением внимания государства к вопросам безопасности и защиты прав граждан.

Бизнес, обрабатывающий персональные данные клиентов, сотрудников и партнеров, оказался в центре внимания закона, и сегодня соответствие требованиям становится не просто формальностью, а обязательным элементом деловой практики. В этой статье юристы из https://contralegal.ru/ рассказали, что стоит знать бизнесу для работы с персональными данными.

Эволюция регулирования: ключевые изменения

С самого начала 2020-х годов закон «О персональных данных» (Федеральный закон № 152-ФЗ) многократно обновлялся. Введены новые правила, регулирующие согласие субъектов данных, уведомления контролирующих органов, ответственность за нарушения и технические требования к безопасности. Например, операторы персональных данных теперь обязаны отвечать на законные запросы от граждан и регулятора в сокращённые сроки (не более 10 дней) и не имеют права отказывать в обслуживании тем, кто отказывается предоставлять отдельные виды данных, в том числе биометрические в некоторых случаях.

С 30 мая 2025 года вступили в силу масштабные поправки, которые уточнили правила обработки, хранения и контроля данных. Основные из них направлены на повышение прозрачности процедур, расширение прав субъектов данных и усиление ответственности бизнеса за нарушения.

Одно из важнейших нововведений – ужесточение требований к локализации баз персональных данных российских граждан. С 1 июля 2025 года запрещено осуществлять основные операции с данными (сбор, запись, хранение, обновление, извлечение) в базах, расположенных за пределами России, за исключением ряда узких случаев, предусмотренных законом. Это означает, что компании, чьи серверы находятся за рубежом или используют иностранные облачные сервисы, должны адаптировать инфраструктуру.

Закон о персональных данных содержит множество нюансов, и малому или среднему бизнесу без профильного юриста бывает трудно. Бизнесу необходимы: понимание требований законодательства, корректная техническая реализация, документация и организация процессов.

Основные правила корректного сбора и хранения персональных данных

Чтобы соблюсти требования 152-ФЗ, бизнес должен действовать по чётким принципам:

Законная цель и минимальность. Собирать только те данные, которые необходимы для конкретной цели (например, имя и контакт для обратной связи, но не лишние сведения).
Согласие субъекта. Перед сбором данных необходимо получить информированное согласие пользователя (например, через форму на сайте или в мессенджере).
Документирование. Наличие локальных актов: политика обработки ПДн, регламент обработки запросов субъектов, журнал учёта запросов, регламенты действий при утечке.
Безопасное хранение. Данные должны храниться на серверах, соответствующих требованиям безопасности, с учётом локализации и защищённым доступом.
Прозрачность. Пользователь должен понимать, какие данные собираются и как они используются (через политику конфиденциальности и уведомления).

Примеры корректного сбора и хранения

Через сайт. Компания размещает на сайте форму обратной связи, где пользователь вводит имя и email. Перед отправкой формы размещён явный чекбокс согласия на обработку этих данных с ссылкой на политику конфиденциальности. Собранные данные заносятся в CRM, доступ к которой защищён паролем и шифрованием, журналы доступа ведутся, а вся инфраструктура находится на серверах в России.

Через бота в мессенджере. При первом общении бот запрашивает согласие на обработку данных через явное сообщение с выбором «Да/Нет». Если согласие получено, бот сохраняет только минимально необходимые данные (имя пользователя, контакт) в защищённой базе данных, доступ к которой ограничен. Пользователь может в любое время запросить удаление или изменение своих данных.

Распространённые ошибки, нарушающие закон

Даже хорошо настроенные процессы могут пострадать из-за типичных ошибок:

Отсутствие согласия. Сбор данных без явного согласия пользователя, например, через скрытые поля или пассивное отслеживание.
Хранение лишних сведений. Сбор данных, не связанных с целью обработки (например, сбор паспортных данных или биометрии без необходимости).
Передача данных за рубеж. Использование иностранных облачных сервисов без соблюдения требований локализации и уведомления регулятора.
Неправильная документация. Отсутствие или несоответствие внутренней документации требованиям закона, что может стать основанием для претензий со стороны Роскомнадзора.