Персональные данные: расскажем, что изменилось в России в 2025 году и почему это важно для белорусских компаний
Напомним, что практически любой бизнес, даже не относящийся к сегменту B2C, так или иначе обрабатывает персональные данные. Если ваша компания находится в Беларуси, то вам необходимо следить за соблюдением Закона Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных».
Экстерриториальные законы
Однако многие компании не задумываются о том, нужно ли им соблюдать законы других стран. Например, обязана ли белорусская компания следовать европейскому GDPR или российскому Федеральному закону № 152-ФЗ «О персональных данных»? Ответ на этот вопрос зависит от того, насколько ваш бизнес связан с территориями этих стран.
В случае с европейским GDPR имеется критерий «направленности» вашей деятельности (продажа товара или услуг) на граждан ЕС. В России логика схожая, но механизм определения сферы действия 152-ФЗ все же отличается.
Чтобы понять, распространяется на вас российский 152-ФЗ вам надо ответить на вопрос «обрабатывает ли ваша компания персональные данные российских граждан и на каком основании (договор, соглашение, согласие)?» Это прямо следует из ч. 1.1 ст. 1 152-ФЗ, которой с июля 2022 года в России ввели правило «экстерриториальности» российского закона и, таким образом, предоставили Роскомнадзору полномочия по контролю над деятельностью иностранных компаний.
На практике к ответственности за несоблюдение 152-ФЗ привлекают в основном крупный иностранный бизнес с корнями из США или Европы (например, Coinbase Ireland Limited, Spotify AB, Ookla LLC, Airbnb, Inc., Google LLC, Freelancer International Pty Limited). В последнее время также появляются новости о применении ФЗ-152 к компаниям из восточных стран, например, тому же TikTok (ByteDance). При этом, за скобками остается насущный для Роскомнадзора вопрос о том, каким образом эффективно исполнить постановление российского суда о привлечении к ответственности и реально взыскать денежный штраф с иностранной компании.
На данный момент не зафиксировано случаев применения мер ответственности в отношении белорусских компаний. Однако стоит помнить, что 152-ФЗ не делает различий между компаниями из «дружественных» и «недружественных» стран.
В этой связи стоит иметь в виду, что даже для белорусской компании обработка персональных данных российских граждан может повлечь необходимость соблюдения требований 152-ФЗ, включая требование о локализации этих данных на территории России. В противном случае может быть применена ответственность. Об этом речь пойдет ниже.
Штрафы по ФЗ-152: что изменилось с мая 2025 года
С принятием новых законов, включая Федеральный закон от 30.11.2024 № 420-ФЗ, в России значительно повысились штрафы за нарушения в области персональных данных. Эти изменения вступили в силу 30 мая 2025 года.
Ниже приводим таблицу штрафов по ст. 13.11 КоАП РФ по основным составам правонарушений:
| Категория нарушения | Штраф - старая редакция (до 30 мая) | Штраф - новая редакция (после 30 мая) |
| Ч. 1 ст. 13.11 Общее положение, включающее большинство типичных нарушений ФЗ-152 |
- до 100 тысяч рублей (повторное до 300 тысяч рублей) | - до 300 тысяч рублей (повторное до 500 тысяч рублей) |
| Ч. 2 ст. 13.11 Нарушение в части требования о письменной форме согласия субъекта ПД |
- до 700 тысяч рублей (повторное до 1,5 миллиона) | - до 700 тысяч рублей (повторное до 1,5 миллиона) |
| Ч. 3 ст. 13.11 Неопубликованная политика конфиденциальности на сайте |
- до 60 тысяч рублей | - до 60 тысяч рублей |
| Ч. 4 ст. 13.11 Непредоставление информации по запросу субъекта |
- до 80 тысяч рублей | - до 80 тысяч рублей |
| Ч. 5 ст. 13.11 Невыполнение требований по блокированию или удалению ПД |
- до 90 тысяч рублей (повторное до 500 тысяч) | - до 90 тысяч рублей (повторное до 500 тысяч) |
| Ч. 8-9 ст. 13.11 Нарушение требований по локализации (приземление) |
- до 6 миллионов рублей (повторное до 18 миллионов рублей) | - до 6 миллионов рублей (повторное до 18 миллионов рублей) |
| Ч. 10 ст. 13.11 Нарушение требований по уведомлению РКН о начале обработки ПД |
- до 300 тысяч рублей | |
| Ч. 11 ст. 13.11 Нарушение требований по уведомлению РКН об утечке ПД |
- до 3 миллионов рублей | |
| Ч. 12 – 17 ст. 13.11 Различные категории утечки ПД |
|
Кроме того, с 1 июля 2025 года вступает в силу новая формулировка ч. 5 ст. 18 ФЗ-152, которая теперь выглядит следующим образом:
При сборе персональных данных, в том числе посредством сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются, за исключением случаев, указанных в п.п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ.
Официальных пояснений и комментариев к нововведению не опубликовано. Однако, в связи с повышением штрафов в целом по ст. 13.11 КоАП и императивным характером формулировки в ч. 5 ст. 18 152-ФЗ, полагаем, можно ждать повышенного внимания к требованиям по локализации данных граждан Российской Федерации.
Что делать белорусским компаниям?
В свете указанных изменений, белорусским и другим иностранным компаниям стоит провести оценку внутренних процессов и:
- Оценить, распространяется ли 152-ФЗ на вашу компанию (обрабатываются ли персональные данные граждан РФ, на каком основании, в каком объеме и как).
- Если ответ на этот вопрос положительный - провести аудит для оценки рисков и соответствия требованиям 152-ФЗ.
Автор: Александр Стружко
Напишите нашему юристу, чтобы узнать подробности
Написать юристуУважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera
