Юрист напомнил, что компании раньше не уделяли сфере персональных данных много внимания — штрафы за такие нарушения были низкими или отсутствовали вовсе. Однако на фоне большого количества утечек данных россиян власти существенно увеличили размеры штрафов и ужесточили законодательство.
«Для бизнеса, особенно работающего с большими массивами личных данных, это уже стало одним из важных вопросов при обеспечении комплаенса, который требует дополнительных расходов на подготовку юридической документации, выстраиванию необходимых внутренних процессов и проведению мероприятий в области информационной безопасности для предотвращения утечек данных», — пояснил Ковалев.
Кроме того, отметил юрист, новое регулирование по штрафам окажет существенное влияние на небольшие компании, обрабатывающие ограниченные объемы данных. Им придется предпринимать меры по соблюдению законодательства в области персональных данных для избежания применения к ним новых штрафов.
Дело в том, объяснил специалист, что Роскомнадзор использует риск-ориентированный подход при осуществлении проверок компаний и этот уровень риска больше у крупных компаний, обрабатывающих большие массивы личных данных (банки, страховые компании, операторы, маркет-плейсы т.д.).
«Поэтому нельзя сказать, что регулятор переключит свое внимание на небольшие компании, однако проверки и запросы в отношении таких компаний все равно нельзя исключать (например, по причине жалоб или обращений субъектов персональных данных, которые посчитают свои права нарушенными)», — отметил эксперт.
Ковалев выразил мнение, что Роскомнадзор будет обращать больше внимания на сбор пользовательских данных компаниями на сайтах, в том числе метрических данных. Например, уже сейчас Роскомнадзор негативно относится к сайтам, использующим Google Analytics, поскольку сбор этих данных предполагается на серверы, расположенные за пределами России. Ведомство причисляет такую операцию к трансграничной передаче персональных данных, требующей соблюдения дополнительных требований.
«Усугубляется эта ситуация тем, что в июле 2025 года вступят новые требования по “локализации” персональных данных, которые устанавливают запрет на запись и хранение персональных данных граждан РФ при их сборе, с использованием баз данных, расположенных за пределами РФ. В этой части можно ожидать от регулятора дополнительных разъяснений, которые внесут ясность в вопрос хранения персональных данных за пределами РФ», — заключил юрист.
«Данная информация носит исключительно информационный (ознакомительный) характер и не является индивидуальной инвестиционной рекомендацией».
