С 1 июля 2025 года вступают в силу изменения в Закон 152-ФЗ, которые запрещают первоначальный сбор персональных данных граждан РФ напрямую на иностранных серверах. Это значит, что Роскомнадзор сможет штрафовать бизнес за использование сервисов, которые хранят данные пользователей за рубежом.
Рассказываем подробнее что это значит и какие действия нужно предпринять бизнесу для защиты:
Операторы данных обязаны не только собирать, но и хранить и обрабатывать информацию исключительно на территории Российской Федерации.Правила по локализации распространяются на компании, которые используют иностранные сервисы для сбора и обработки пользовательской информации. Предположительно под запрет попадают облачные хранилища, Google Drive, Google Forms, Google Analytics, Facebook Messenger, WhatsApp Business и другие.
Имеющиеся иностранные сервисы рекомендуем заменить, например, Google Analytics сервисом Яндекс Метрика.
Отслеживать исполнение закона Роскомнадзор будет через автоматизированную систему «Ревизор». Она отслеживает местоположение серверов и анализирует трафик.
Чтобы минимизировать возможные последствия, необходимо провести внутренний аудит и проверить, не осуществляется ли сбор и хранение персональных данных за пределами Российской Федерации. В первую очередь стоит обратить внимание на размещение сайта (хостинг), условия договоров с подрядчиками, а также на актуальность документации, касающейся обработки ПД — таких как политика обработки, формы согласий и поручений.
Вероятнее всего, к моменту вступления в силу изменений в Закон 152-ФЗ появится более конкретный список сервисов и ресурсов, запрещенных к использованию, однако, необходимо в самое ближайшее время позаботиться об исполнении законодательства, разместить соответствующую информацию на своих ресурсах, провести аудит своего ресурса, заменить иностранные сервисы и предпринять все действия для защиты персональных данных.
Для защиты персональных данных и конфиденциальной информации нужно предпринять ряд минимальных мер, таких как:
- Провести инструктаж и обучения сотрудников основам информационной безопасности;
- Установить сложные пароли, с длинной не менее 14 символов, включающие цифры, специальные символы, строчные и заглавные буквы;
- Включить двухфакторную аутентификацию;
- Настроить ограничения доступа с иностранных IP;
- Провести аудит ИБ своего ресурса на наличие уязвимостей, вирусов и других ошибок.
