Новые требования к персональным данным: что изменится с 30 мая 2025 года?

С 30 мая 2025 года в России вступают в силу новые правила обработки персональных данных, которые затронут практически все бизнесы — от ИП до крупных корпораций. Нарушения грозят миллионными штрафами, а в некоторых случаях — оборотными санкциями.

Что изменится?

Локализация баз данных
Теперь вся обработка и хранение данных должны происходить только на серверах в РФ. Это касается:
Облачных хранилищ (Google Drive, Dropbox и др.)
Сервисов аналитики (Google Analytics и аналоги)
IT-решений с зарубежными серверами
Передачи данных иностранным контрагентам

Раньше можно было первично обрабатывать данные в России, а потом передавать их за границу. Теперь — только внутри РФ.

Cookie под прицелом
Хотя в законе нет прямого упоминания cookie, Роскомнадзор считает их сбор персональными данными, если они идентифицируют пользователя. Значит:
Нужны понятные баннеры с согласием
Пользователь должен иметь выбор (разрешить только аналитику, рекламу или отказаться)
Технически необходимые cookie можно собирать без согласия

Штрафы ужесточаются
Несообщение об утечке — миллионные штрафы
Повторные нарушения — оборотные штрафы (% от выручки)

Что делать бизнесу?
Проверить, где хранятся и обрабатываются данные
Настроить сбор согласий на cookie (если они есть)
Обновить политику конфиденциальности
Обеспечить безопасность данных