Эра формального отношения к закону о персональных данных в России завершена. Если раньше стартапы могли годами работать с политикой конфиденциальности, скопированной у конкурентов, и не бояться проверок, то 2024 и 2025 годы стали переломными. Введение оборотных штрафов, достигающих 3% от годовой выручки (до 500 миллионов рублей) ¹, ужесточение контроля за трансграничной передачей данных и требование локализации баз внутри страны создали новую реальность. Теперь ошибка в архитектуре базы данных или неправильно оформленный чекбокс на лендинге может стоить бизнесу жизни. В этом отчете мы не просто цитируем законы, а разбираем технические и организационные решения, которые позволят вашему проекту развиваться, оставаясь в правовом поле. Мы рассмотрим всё: от настройки серверов до формулировок в user agreement, от борьбы со спамом до алгоритмов действий при утечке. Это мануал для фаундеров, CTO и юристов, которые хотят спать спокойно.

1. Новая цифровая реальность и законодательный ландшафт 2025 года

Российский рынок информационных технологий столкнулся с тектоническим сдвигом в регулировании. Долгое время Федеральный закон № 152-ФЗ «О персональных данных» воспринимался индустрией как «спящий» институт. Штрафы были незначительными — десятки тысяч рублей, что для крупного и даже среднего бизнеса являлось допустимыми операционными расходами. Однако цифровая трансформация и, как следствие, лавинообразный рост утечек данных заставили законодателя кардинально пересмотреть подход.

В 2025 году мы наблюдаем кульминацию законодательных реформ. Государство больше не просит, оно требует прозрачности. Ключевой тренд — переход от наказания за факт нарушения к наказанию за масштаб последствий. Введение оборотных штрафов означает, что санкция теперь масштабируется вместе с успехом вашего бизнеса. Чем больше вы зарабатываете, тем дороже вам обойдется пренебрежение безопасностью данных.

Понимание контекста критически важно для любого IT-предпринимателя. Персональные данные (ПД) стали «токсичным» активом. С одной стороны, они необходимы для обучения нейросетей, таргетинга рекламы и персонализации сервисов. С другой — каждый байт информации о пользователе увеличивает поверхность атаки и юридические риски.

Изменения коснулись не только штрафов. Роскомнадзор (РКН) получил новые инструменты мониторинга. Автоматизированные системы сканируют интернет-пространство, выявляя сайты с формами сбора данных, но отсутствующими в реестре операторов. Понятие «оператор персональных данных» расширено настолько, что найти IT-стартап, который им не является, практически невозможно. Даже использование сторонних метрик, таких как Яндекс.Метрика или Google Analytics, автоматически переводит владельца сайта в статус оператора, так как происходит сбор технических идентификаторов пользователей.²

2. Анатомия персональных данных: что мы защищаем

Первая и самая фундаментальная ошибка стартапов — неправильная классификация данных. Фаундеры часто полагают, что если они не собирают паспортные данные, то закон их не касается. Это опасное заблуждение. Технически и юридически понятие «персональные данные» гораздо шире бытового понимания.

Технический взгляд на идентификацию

Закон определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. Ключевое слово здесь — «определяемому». В мире Big Data практически любой набор данных может стать персональным, если у вас есть ключ к деанонимизации.

Прямые идентификаторы: Это данные, которые однозначно указывают на человека. ФИО, номер паспорта, СНИЛС, ИНН. С ними все понятно: их защита требует максимальных усилий.
Косвенные идентификаторы: Номер телефона, адрес электронной почты, дата рождения. Сами по себе они могут не указывать на конкретного Ивана Ивановича, но в совокупности (телефон + дата рождения) позволяют точно идентифицировать личность.
Технические и поведенческие данные: Это зона особого риска для IT. IP-адреса, MAC-адреса устройств, файлы cookie, рекламные идентификаторы (IDFA, GAID), данные о геолокации, сведения о версии браузера и операционной системы. Судебная практика и разъяснения РКН однозначно относят эти данные к персональным, если они позволяют выделить уникального пользователя и сформировать его профиль.

Для стартапа, разрабатывающего мобильное приложение или SaaS-платформу, это означает, что даже лог-файлы сервера могут содержать персональные данные. Если вы храните историю действий пользователя, привязанную к его User ID, вы обрабатываете ПД.

Категории данных и уровни риска

Закон делит данные на категории, и от этого зависят требования к их защите:

Общие: ФИО, место работы, телефон, email. Стандартный набор для B2B и e-commerce.
Специальные: Данные о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни. Обработка таких данных требует письменного согласия (в бумажном виде или с использованием усиленной квалифицированной электронной подписи, что в B2C практически нереализуемо). Стартапам в сфере HealthTech нужно быть предельно осторожными: информация о том, что пользователь записался к кардиологу, уже является специальной категорией данных (здоровье).
Биометрические: Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Это фотографии лица, отпечатки пальцев, сэмплы голоса, рисунок вен ладони.

Ловушка биометрии в 2025 году

С биометрией ситуация ужесточилась максимально. Штрафы за нарушение правил работы с ней для юридических лиц составляют от 10 до 15 миллионов рублей, а за утечку — до 20 миллионов.³

Важно различать: фотография в профиле пользователя социальной сети — это не всегда биометрия. Она становится биометрией только тогда, когда используется для идентификации личности (например, проход по FaceID или верификация водителя такси по селфи). Если фото просто висит в профиле «для красоты» и модерации контента, оно может трактоваться как «иные» данные. Однако грань очень тонка. Если ваш стартап использует технологии компьютерного зрения для анализа лиц пользователей, вы входите в зону высокого риска. Рекомендуется избегать обработки биометрии без крайней необходимости или использовать государственные Единые биометрические системы (ЕБС), становясь их аккредитованным агентом, что для малого стартапа сложно и дорого.

3. Статус оператора: вход в систему

Раньше существовал обширный перечень исключений, позволявших не подавать уведомление в Роскомнадзор. Можно было не регистрироваться, если данные обрабатывались только в рамках трудового договора или если они были общедоступными. В 2025 году эти «лазейки» практически закрыты.

Тотальная регистрация

Теперь обязанность уведомить Роскомнадзор о начале обработки персональных данных возникает у любого лица, собирающего данные, за исключением редчайших случаев (например, обработка данных исключительно в личных семейных целях или обработка данных без средств автоматизации, то есть только на бумаге). Для IT-компании обработка без средств автоматизации — это нонсенс, поэтому подавать уведомление нужно всем.⁵

Это нужно сделать до начала обработки. То есть, прежде чем вы опубликуете сайт с формой «Подпишись на новости», вы должны быть в реестре.

Процедура уведомления: пошаговый гайд

Процесс подачи уведомления стал полностью цифровым, но от этого не менее бюрократическим. Уведомление подается через портал Роскомнадзора (pd.rkn.gov.ru).

Аутентификация: Вход осуществляется через Госуслуги (ЕСИА).
Заполнение формы: Форма уведомления, утвержденная Приказом № 180, требует детальной разбивки процессов.⁵ Нельзя просто написать «обрабатываем данные клиентов». Нужно указать для каждой цели обработки:

Категории данных (что собираем: телефоны, email).
Категории субъектов (кого собираем: клиенты, сотрудники, соискатели).
Правовое основание (статьи ГК РФ, ТК РФ, согласие).
Перечень действий с данными (сбор, хранение, передача).
Способы обработки (автоматизированная, смешанная).

Локализация серверов: Необходимо указать адреса центров обработки данных (ЦОД), где физически находятся серверы с базами данных. Для стартапов, использующих облачные решения (Yandex Cloud, VK Cloud, Selectel), нужно указывать адреса дата-центров провайдера.
Ответственный: Указываются данные лица, ответственного за организацию обработки ПД в компании.

После отправки формы у регулятора есть 30 дней на внесение компании в реестр.² Отсутствие в реестре при фактической обработке данных является административным правонарушением. Хотя штраф за неподачу уведомления пока кажется небольшим (до 10-15 тыс. рублей для юрлиц после 30.05.2025 ⁵), сам факт отсутствия в реестре является «красным флагом» для автоматических систем мониторинга РКН. Это повышает вероятность внеплановой проверки.

4. Архитектура согласия: юридический ux

Взаимодействие пользователя с вашим продуктом начинается с согласия. Это не просто галочка, это юридический факт, подтверждающий правомерность ваших действий.

Смерть предустановленных галочек

Золотое правило 2025 года: молчание не является согласием. Пользователь должен совершить активное действие, чтобы подтвердить свою волю. Практика предустановленных галочек (когда чекбокс уже активирован, и пользователю нужно его снять, если он не согласен) признана незаконной. Суды и РКН трактуют это как навязывание услуг и отсутствие добровольности.

Чекбокс должен быть пустым. Пользователь должен сам кликнуть на него. Рядом с чекбоксом должен быть понятный текст: «Я даю согласие на обработку персональных данных на условиях [Политики конфиденциальности]». Слово «Политика» должно быть активной ссылкой на текст документа.

Гранулярность согласий

Нельзя «смешивать» разные цели обработки в одном согласии. Классическая ошибка — один чекбокс «Согласен с правилами сервиса, обработкой данных и получением рекламы». Это нарушение.

В 2025 году требуется разделение потоков данных:

Согласие на регистрацию и исполнение договора (оферты): Часто не требует отдельного чекбокса, если кнопка называется «Зарегистрироваться» и выше написано, что нажатие означает акцепт оферты. Но для надежности чекбокс лучше оставить.
Согласие на рекламную рассылку: Всегда отдельный чекбокс. Закон «О рекламе» требует предварительного согласия абонента на получение рекламы. Штрафы за спам без согласия достигают 1 млн рублей.⁷
Согласие на передачу данных партнерам: Если вы лидогенератор и передаете заявки в банки или страховые, нужен отдельный чекбокс с перечнем партнеров или ссылкой на актуальный список.

Double Opt-In как защита от штрафов

Чтобы доказать, что email оставил именно владелец ящика, а не бот или злоумышленник, используйте механизм Double Opt-In (двойное подтверждение).

Пользователь вводит email.
Вы отправляете письмо со ссылкой подтверждения.
Обработка и рассылка начинаются только после клика по ссылке.
Это создает цифровой след (лог-файл с IP-адресом и временем подтверждения), который является «железобетонным» доказательством в споре с ФАС или РКН.8

5. Локализация данных: серверный суверенитет

Требование локализации (хранения данных россиян на территории РФ) действует уже несколько лет, но контроль за его исполнением усиливается. С 1 июля 2025 года вводятся новые поправки, фактически запрещающие прямой сбор данных на зарубежные серверы.³

Техническая реализация требования

Закон требует, чтобы первичный сбор, запись, систематизация, накопление и хранение происходили в базах данных на территории РФ.

Это значит, что архитектура вашего приложения должна выглядеть так:

Пользователь (в РФ) отправляет данные через форму.
Запрос поступает на сервер, физически расположенный в российском дата-центре.
Данные записываются в базу данных (БД) на этом сервере.
Только после этого данные могут быть реплицированы (скопированы) на зарубежный сервер, если это необходимо для глобальной аналитики или работы сервиса.

Использование зарубежных SaaS-решений (Salesforce, HubSpot, Mailchimp, Google Forms) напрямую создает риск. Если форма на сайте отправляет данные сразу в облако Amazon (AWS) в Франкфурте, вы нарушаете закон о локализации. Штрафы за это нарушение огромны: до 6 млн рублей за первое нарушение и до 18 млн рублей за повторное.

Решение для стартапов

Если вам жизненно необходимы зарубежные инструменты, используйте схему проксирования:

Разверните микросервис в российском облаке.
Настройте фронтенд так, чтобы он отправлял данные на этот микросервис.
Микросервис сохраняет данные в локальную БД (например, PostgreSQL).
Фоновый процесс забирает данные из локальной БД и отправляет их в API зарубежного сервиса (соблюдая правила трансграничной передачи).

6. Трансграничная передача данных: барьеры и шлюзы

Трансграничная передача — это передача данных через государственную границу. В облачной эре это происходит постоянно: письмо ушло через Gmail (серверы в США), задача создана в Jira (серверы в Ирландии или США).

Новые правила игры

С 2023-2024 годов введен уведомительный (а по факту разрешительный) порядок трансграничной передачи.² Роскомнадзор делит страны на две группы:

Страны с адекватной защитой: Подписанты Конвенции Совета Европы (почти вся Европа) и страны из специального перечня РКН (Китай, Израиль и др.).⁹
Страны без адекватной защиты: США, Индия, Австралия и многие другие.

Процедура уведомления

Вы обязаны подать уведомление о намерении осуществлять трансграничную передачу до начала такой передачи.

При передаче в «адекватные» страны можно начинать передачу сразу после подачи уведомления.
При передаче в «неадекватные» страны (США!) необходимо ждать 10 рабочих дней после подачи уведомления. В этот период РКН может запросить дополнительные документы или запретить передачу.

Это создает колоссальную проблему для стартапов, использующих американский стек технологий. Чтобы легально передавать данные в США, нужно обосновать цель, правовые основания и гарантии защиты данных со стороны американского партнера.

7. Внутренняя кухня: документы, которые спасут директора

Закон требует наличия в организации «документов, определяющих политику в отношении обработки персональных данных». Это не одна бумажка на сайте. Это комплект локальных нормативных актов (ЛНА), который должен лежать в офисе с подписями сотрудников.

Чек-лист документации 2025:

Политика обработки персональных данных: Основной документ, версия которого публикуется на сайте. Описывает цели, сроки, правовые основания.
Приказ о назначении ответственного: В любой организации (даже из 2 человек) должен быть приказ: «Назначить Иванова И.И. ответственным за организацию обработки ПД». Без этого человека нет субъекта ответственности.
Перечень лиц, допущенных к обработке ПД: Список должностей (не фамилий), которым доступ к данным нужен для работы. Маркетолог — да, уборщица — нет.
Обязательства о неразглашении: Каждый сотрудник, имеющий доступ к базе (разработчик, саппорт, продажник), должен подписать обязательство о неразглашении ПД. Это дает право работодателю уволить сотрудника и требовать компенсацию в случае инсайдерского слива.
Модель угроз безопасности: Технический документ, описывающий возможные векторы атак на информационную систему.
Акты оценки вреда: Документ, в котором организация оценивает, какой вред может быть нанесен людям в случае утечки (моральный, финансовый).
Правила работы с запросами субъектов: Инструкция для саппорта: что делать, если пользователь пишет «удалите мои данные».

8. Техническая защита: требования ФСТЭК и ФСБ

Юридическая защита — это полдела. Закон требует применения «технических и организационных мер». Основной регулятор здесь — ФСТЭК (Федеральная служба по техническому и экспортному контролю).

Уровни защищенности (УЗ)

Все информационные системы персональных данных (ИСПДн) классифицируются по уровням защищенности: от УЗ-4 (минимальный) до УЗ-1 (максимальный). Уровень зависит от типа данных (специальные, биометрические или общие), типа субъектов (сотрудники или клиенты) и количества субъектов (более или менее 100 000). Типичный стартап (данные клиентов, не биометрия, менее 100к пользователей) попадает под УЗ-3 или УЗ-4.

Базовый набор мер защиты для стартапа

Даже для минимального уровня нужно реализовать:

Управление доступом: Уникальные логины для каждого сотрудника, сложные пароли, принудительная смена паролей, двухфакторная аутентификация (2FA) для доступа к админке.
Регистрация событий: Логирование всех входов в систему и действий с данными (кто, когда, чью карточку открыл). Логи должны храниться не менее 6 месяцев.
Антивирусная защита: На всех рабочих станциях и серверах.
Межсетевое экранирование: Настройка Firewall для ограничения доступа к портам базы данных из внешнего мира.
Обновление ПО: Регулярная установка патчей безопасности (Vulnerability Management).

Шифрование данных (как при передаче по HTTPS, так и при хранении — encryption at rest) является де-факто стандартом, хотя закон формулирует это обтекаемо. Использование SSL-сертификатов обязательно.

9. Утечки данных: сценарий катастрофы и оборотные штрафы

Это самое драматичное нововведение последних лет. Если раньше утечка стоила компании фиксированного штрафа, который был ниже стоимости аудита безопасности, то теперь ставки выросли экспоненциально.

Оборотные штрафы: математика риска

Законодательство вводит градации ответственности в зависимости от объема утечки ¹:

Малая утечка (1 – 10 тыс. записей):

Штраф для юрлиц: 3 – 5 млн руб.

Средняя утечка (10 – 100 тыс. записей):

Штраф для юрлиц: 5 – 10 млн руб.

Крупная утечка (более 100 тыс. записей):

Штраф для юрлиц: 10 – 15 млн руб.

Повторная утечка переводит компанию в категорию «рецидивистов». Здесь вступает в силу оборотный штраф: от 1% до 3% от годовой выручки компании за предшествующий год. При этом установлены «вилки»: не менее 20 млн рублей и не более 500 млн рублей.¹

Для стартапа с выручкой 100 млн рублей, 3% — это 3 млн, но сработает минимальный порог в 20 млн рублей, что может привести к банкротству.

Алгоритм действий при инциденте

В случае обнаружения утечки (или получения сигнала от «белых хакеров» или РКН) время работает против вас.

24 часа: Срок на первичное уведомление Роскомнадзора. Нужно сообщить о факте утечки, предполагаемых причинах и предполагаемом вреде.
72 часа: Срок на проведение внутреннего расследования и отправку детального отчета в РКН.

За сокрытие инцидента вводится отдельная ответственность. Честное и оперативное уведомление рассматривается как смягчающее обстоятельство. Также смягчить штраф могут подтвержденные инвестиции в кибербезопасность (если компания тратила не менее 0.1% выручки на ИБ) и добровольная компенсация вреда пострадавшим.¹

10. Таблицы и справочные материалы

Для удобства восприятия сведем ключевые изменения и штрафы в таблицы.

Таблица 1. Эволюция штрафов: Было vs Стало (2025)

Вид нарушения	Штраф до 2023 г. (Юрлица)	Штраф / Последствия 2024-2025 гг.
Обработка без уведомления РКН	до 5 000 руб.	Риск внеплановой проверки, штрафы растут, блокировка деятельности ⁶
Отсутствие согласия / Неверная форма	30 — 150 тыс. руб.	до 700 000 руб. (до 1.5 млн при повторном) ¹⁴
Спам (реклама без согласия)	100 — 500 тыс. руб.	до 1 000 000 руб. за каждый факт ⁷
Локализация данных (первичное)	1 — 6 млн руб.	до 6 млн руб.
Локализация данных (повторное)	6 — 18 млн руб.	до 18 млн руб., блокировка сайта
Утечка данных (первичная)	60 — 100 тыс. руб.	до 15 млн руб. (зависит от объема) ¹²
Утечка данных (повторная)	фикс. штраф	Оборотный штраф: 1-3% выручки (20-500 млн руб.) ¹
Нарушение правил биометрии	Отсутствовало/Неясно	до 20 млн руб. ⁴

Таблица 2. Сравнение требований к парольной политике (Пример реализации УЗ-3)

Параметр	Плохая практика (риск взлома)	Рекомендуемая практика (Compliance)
Длина пароля	6-8 символов	Минимум 12 символов
Сложность	Только буквы или цифры	Буквы (разный регистр), цифры, спецсимволы
Срок действия	Бессрочно	Смена каждые 90 дней
Повторение	Можно использовать старые	Запрет на последние 5-10 паролей
Хранение	В открытом виде или MD5	Хеширование с солью (bcrypt, Argon2, PBKDF2)

11. Реальный пример (Кейс): Крах и спасение «DeliveryStart»

Название вымышленное, ситуация типичная.

Контекст:

Стартап «DeliveryStart» разработал агрегатор курьеров. База данных — 50 000 пользователей (курьеры и клиенты). Стек: AWS (серверы в Ирландии), MongoDB, рассылки через Mailchimp.

Инцидент:

В ходе обновления разработчик забыл закрыть порт базы данных паролем. База была скопирована ботом и выложена в даркнет. В базе были ФИО, телефоны, email и хэши паролей.

Развитие событий:

День 1: Новость об утечке появляется в Telegram-каналах. РКН присылает запрос.
Ошибка: Фаундер в панике заявляет в СМИ: «Это не наши данные, это компиляция из старых баз».
Расследование РКН: Экспертиза подтверждает подлинность. Выявляются дополнительные нарушения:

Данные хранились в Ирландии (нарушение локализации).
Не было подано уведомление о трансграничной передаче в Mailchimp (США).
Не подано уведомление об инциденте в течение 24 часов.

Последствия:

Штраф за утечку (первичное, но крупное нарушение): 5 млн руб. (по нормам 2025 года).
Штраф за локализацию: 2 млн руб.
Штраф за сокрытие инцидента: 1 млн руб.
Имиджевый удар: отток 30% клиентов.

Как надо было поступить:

Изначально настроить архитектуру с первичной базой в РФ (Яндекс.Облако), а AWS использовать как вторичную реплику.
При обнаружении утечки в течение 24 часов подать уведомление в РКН: «Да, мы видим инцидент, закрыли уязвимость, расследуем». Это снизило бы штраф и исключило статью за сокрытие.
Иметь план реагирования (Incident Response Plan), чтобы PR-служба не выдавала опровержения, которые легко проверить.

12. Пошаговая стратегия для стартапа: Roadmap соответствия

Чтобы не утонуть в требованиях, действуйте поэтапно:

Аудит данных: Нарисуйте схему потоков данных (Data Flow Diagram). Откуда приходят данные, где хранятся, кому передаются. Вы удивитесь, сколько «лишнего» вы собираете.
Минимизация (Data Minimization): Удалите все поля из форм, которые не нужны для бизнес-логики. Не храните сканы паспортов, если они нужны только для верификации в момент регистрации (проверили — удалили).
Юридическая упаковка:

Подготовьте Политику конфиденциальности (не копируйте слепо, адаптируйте под свои цели).
Сделайте Согласия на сайте гранулярными (раздельными).
Подпишите документы с сотрудниками (NDA, обязательства).

Регистрация: Подайте уведомление в РКН. Это бесплатно и безопаснее, чем прятаться.
Технический харденинг:

Перенесите базу данных в РФ.
Настройте бэкапы.
Внедрите управление доступом.

Мониторинг: Назначьте ответственного, который раз в квартал будет проверять актуальность мер защиты.

Мини-FAQ

Вопрос 1: Нужно ли мне согласие на использование cookie?

Ответ: Да. Cookie, содержащие уникальные идентификаторы, признаются персональными данными. Вы должны уведомить пользователя (баннер) и получить его согласие (кнопка «Принять»). Идеально — не загружать скрипты аналитики до нажатия кнопки. РКН рекомендует начинать трекинг только после подачи уведомления в реестр операторов.2

Вопрос 2: Является ли email без ФИО персональными данными?

Ответ: Это спорный вопрос («серая зона»). Раньше суды считали, что alex@gmail.com — не ПД, так как это может быть кто угодно. Но alex.ivanov.88@gmail.com — уже ближе к ПД. Современная позиция регулятора строже: email позволяет коммуницировать с конкретным лицом и выделять его из массы, поэтому безопаснее считать его ПД и защищать соответственно.

Вопрос 3: Можно ли хранить бумажные копии паспортов сотрудников в сейфе?

Ответ: РКН считает избыточным хранение копий документов (паспортов, военных билетов, дипломов) после того, как данные из них перенесены в личную карточку Т-2 и трудовой договор. Хранение копий «на всякий случай» — частое нарушение при проверках. Лучше уничтожить копии после оформления приема на работу.

Вопрос 4: Мы стартап, у нас нет денег на дорогие средства защиты информации (СЗИ). Что делать?

Ответ: Закон требует обеспечения безопасности, но не всегда требует сертифицированных средств для низких уровней защищенности (УЗ-3, УЗ-4), если угрозы не связаны с недокументированными возможностями в системном ПО. Используйте open-source решения, встроенные средства ОС (BitLocker, iptables), но обязательно документируйте их настройку. Главное — организационные меры (пароли, регламенты).

Вопрос 5: Как правильно уничтожить данные по требованию клиента?

Ответ: Просто удалить строку из SQL-таблицы недостаточно, если остались бэкапы и логи. Полное уничтожение подразумевает удаление из всех хранилищ. Более того, с 2023 года вы обязаны составить Акт об уничтожении данных (есть утвержденные требования к его содержанию) и выгрузку из журнала регистрации событий, подтверждающую удаление. Хранить эти подтверждения нужно 3 года.

Вопрос 6: Распространяется ли закон на B2B контакты (рабочие email)?

Ответ: В России нет четкого разделения на B2B и B2C данные в контексте 152-ФЗ. Рабочий email ivanov@company.ru содержит фамилию, значит, это персональные данные сотрудника этой компании. Обработка таких данных требует оснований (например, наличие договора с этой компанией или общедоступность данных, если они опубликованы на сайте компании).

Вопрос 7: Что делать, если серверы в РФ, но техподдержка сидит в другой стране и имеет удаленный доступ?

Ответ: Это считается трансграничной передачей данных (предоставление доступа = передача). Вы должны подать уведомление о трансграничной передаче в РКН, указав страну нахождения саппорта.

Источники

Ужесточение ответственности за утечки персональных данных: как изменилось законодательство и что это означает — In4security, дата последнего обращения: ноября 27, 2025, https://in4security.com/news/tpost/l6h1169bi1-uzhestochenie-otvetstvennosti-za-utechki
Требования Роскомнадзора о персональных данных с 1 июля 2025 года — IQ Online, дата последнего обращения: ноября 27, 2025, https://iq-adv.ru/blog/trebovaniya-roskomnadzora-o-personalnykh-dannykh-s-1-iyulya-2025-goda/
Работа с персональными данными в 2025 году — ключевые изменения, дата последнего обращения: ноября 27, 2025, https://mosdigitals.ru/blog/rabota-s-personalnymi-dannymi-v-2025-godu-klyuchevye-izmeneniya
КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных \ КонсультантПлюс, дата последнего обращения: ноября 27, 2025, https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/
Уведомление в Роскомнадзор об обработке персональных данных в 2025 году, дата последнего обращения: ноября 27, 2025, https://e-kontur.ru/enquiry/2409/uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh
Обязательное уведомление в Роскомнадзор об обработке персональных данных в 2025 | Оказание юридических услуг компанией «Балиот», дата последнего обращения: ноября 27, 2025, https://baliot.ru/yuridicheskie-uslugi/obyazatelnoe-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh-v-2025/
Как не получить штраф за Email-рассылку в 2025 год — Retail Rocket Group, дата последнего обращения: ноября 27, 2025, https://retailrocket.ru/blog/tolko-po-soglasiju-kak-otpravljat-klientam-reklamnye-rassylki-i-ne-poluchit-shtraf/
Как правильно получить согласие на email-рассылку в 2025 году — PixCraft, дата последнего обращения: ноября 27, 2025, https://pixcraft.io/ru/blog/kak-pravilno-poluchit-soglasie-na-email-rassylku-v-2025-godu
Приказ Роскомнадзора от 05.08.2022 N 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» (Зарегистрировано в Минюсте России 20.09.2022 N 70152) — КонсультантПлюс, дата последнего обращения: ноября 27, 2025, https://www.consultant.ru/document/cons_doc_LAW_426970/
Документы по персональным данным в 2025 году — Legal Box, дата последнего обращения: ноября 27, 2025, https://legal-box.ru/152fz-docs
Требования Роскомнадзора к сайтам 2025: чек-лист для бизнеса — Клерк.ру, дата последнего обращения: ноября 27, 2025, https://www.klerk.ru/blogs/roskom24/650389/
Штраф за утечку личных данных вырастет до 500 млн руб. Что еще изменится, дата последнего обращения: ноября 27, 2025, https://www.level-legal.com/news/shtraf-za-utechku-lichnyh-dannyh-vyrastet-do-500-mln-rub-chto-eshe-izmenitsya
Оборотные штрафы за персональные данные с 30 мая 2025 года — buhsoft.ru, дата последнего обращения: ноября 27, 2025, https://www.buhsoft.ru/article/5125-shtrafy-za-narusheniya-s-personalnymi-dannymi
Согласие на обработку персональных данных с 1 сентября 2025 года: новые правила оформления и штрафы до 700 тыс. руб. за их нарушение | Аналитические статьи — Система ГАРАНТ, дата последнего обращения: ноября 27, 2025, https://www.garant.ru/article/1862510/