Новые штрафы в работе с персональными данными: что проверить прямо сейчас

С 30 мая 2025 года за нарушения придется платить от 100 тыс. рублей

Даже если у вас совсем маленький бизнес — например, вы самозанятый или ИП с двумя сотрудниками, — вы все равно собираете и обрабатываете персональные данные людей. А значит, должны сообщать об этом в Роскомнадзор. Если уведомление уже подавали, проверьте, не нужно ли новое. Еще проверьте, не нужно ли вам подать уведомления об утечках. Иначе штрафы, которые совсем скоро увеличится во много раз.

Содержание

1. Что случилось
2. Кого касаются новые штрафы
3. Что нужно сделать до 30 мая 2025 года
4. Как не допустить утечек
5. P. S. О трансграничной передаче данных

Что случилось

30 мая 2025 года вступят в силу изменения в законодательстве о персональных данных и начнут применяться новые штрафы.

Новые составы нарушений по утечкам данных — ст. 13.11 Кодекса РФ об административных правонарушениях

Появилось новое наказание — за неподачу уведомлений о сборе и обработке персональных данных (или подачу неправильных сведений) в Роскомнадзор (РКН). Пока наказывают по другой статье (это общий штраф за неподачу любых сведений в РКН), и бизнесу приходится платить от 3 до 5 тыс. руб. С 30 мая сумма составит от 100 до 300 тыс. руб., а за повторное нарушение могут наказать до 500 тыс. руб.

• Если закон нарушит самозанятый (физлицо), то штраф составит до 15 тыс. руб.
• Должностных лиц организаций могут наказать на сумму от 50 до 100 тыс. руб.

Отдельная история — новые штрафы за нарушения, связанные с утечкой данных. Вот основные:

• за неуведомление об утечке персональных данных штраф составит от 1 до 3 млн руб.;
• за саму утечку персональных данных — от 3 до 15 млн руб. (в зависимости от масштаба утечки);
• за утечку биометрических данных — от 15 до 20 млн руб.

Наконец, если бизнес неоднократно допускает утечки больших объемов персональных данных, его ждут оборотные штрафы. Это от 1 до 3% от совокупной годовой выручки бизнеса за предыдущий год. А если утечка привела к ущербу, то это уже уголовное преступление, за которое могут посадить в тюрьму на 4 года, если ущерб окажется значительным.

Кого касаются новые штрафы

Кто может быть оператором персональных данных п. 2 ст. 3 федерального закона № 152-ФЗ

Если коротко, то это практически любой бизнес. Не важно, юрлицо это, ИП или принимающий на дому самозанятый мастер по маникюру, который записывает имена и телефоны клиентов. Важен сам факт того, что вы собираете, храните и используете личные данные людей: сотрудников, клиентов, контрагентов и т. д.

Персональными данными считается любая информация, которая соотносится только с конкретным человеком и позволяет идентифицировать его как личность. В законе нет конкретного перечня такой информации, поэтому опираться приходится во многом на судебную практику. Согласно ей, к персональным данным относятся ФИО, адрес, телефон, дата рождения, информация о месте работы, паспортные данные. С последними, кстати, все тоже не так просто: некоторые суды считают, что наименование органа, выдавшего паспорт, код подразделения, дата выдачи к персональным данным не относятся.

Если:

• у вас есть сотрудники или исполнители-физлица, работающие по договорам ГПХ;
• вы работаете напрямую с клиентами и собираете их персональные данные в электронном виде (например, в таблице Excel или в программе 1С);
• вы сохраняете контактную информацию клиентов или посетителей своих сайтов/соцсетей в специальных сервисах для рассылок;
• вы получаете адреса покупателей для доставки товаров;
• вы обрабатываете данные физлиц для исполнения договоров, организации мероприятий и т. д. —

поздравляем, вы определенно соответствуете понятию «оператор персональных данных» и должны зарегистрировать этот факт в РКН — то есть подать уведомление.

Пример

Анна — массажист, принимает клиентов на дому. Она записывает их контакты в ежедневник. Ирина — дизайнер интерьеров, хранит контакты клиентов в Excel. Наконец, ИП Маслов — владелец магазина белорусских товаров. У него три сотрудника, с которыми заключены трудовые договоры. Кто из них отчитывается в РКН?

Анна в нашем примере — не оператор персональных данных, и подавать уведомление ей не нужно. А вот Ирина и ИП Маслов должны получать согласие своих клиентов (и сотрудников) на обработку персональных данных и уведомить о сборе и обработке РКН. Главная разница здесь в том, в какой форме хранятся и обрабатываются данные, а еще в том, с какой целью их собирают.

«Гипотетически даже сохранение контактов клиентов в смартфоне может привести к исполнению обязанностей оператора персональных данных, так как смартфоны часто используют облачные хранилища. Но будет ли такое хранение автоматизированной обработкой или нет, зависит от мнения Федеральной службы по техническому и экспортному контролю (ФСТЭК) в каждом конкретном случае».

Вот основные обязанности каждого оператора персональных данных:

• уведомлять Роскомнадзор о начале сбора/обработки данных до начала сбора или обработки;
• составлять и обновлять политику обработки персональных данных;
• собирать cookie только с согласия посетителя сайта — то есть добавить специальное поле для согласия;
• хранить и обрабатывать собранные данные только на российских серверах;
• использовать средства защиты данных — антивирусы и многое другое.

Что нужно сделать до 30 мая 2025 года

Времени осталось мало, так что вот готовый алгоритм действий.

Проверить регистрацию в РКН

Проверить регистрацию на сайте Роскомнадзора

Для начала проверьте наличие своего бизнеса в реестре РКН — потому что обязанность подавать уведомление о сборе данных действует уже несколько лет.

Срочно подать уведомление об обработке, если еще не подали

О штрафах и предупреждениях за неподачу уведомления — ст. 19.7 КоАП РФ, ч. 10 ст. 13.11 КоАП РФ, ч. 1 ст. 4.1.1 КоАП РФ

Если вы по факту являетесь оператором персональных данных, а уведомление не подавали, это нарушение закона. Если такое произошло впервые, после 30 мая РКН, скорее всего, отправит бизнесу предупреждение. Однако если дальше предупреждение проигнорировать и уведомление не подать, штраф будет уже по новым нормам — от 100 до 300 тыс. руб.

«На практике Роскомнадзор наказывает бизнес не за просрочку уведомлений, а за само отсутствие уведомления. То есть если компания или ИП стали операторами персональных данных, но не сообщили в РКН, наказание может прилететь в любой момент по факту обнаруженного нарушения».

Как подать заявление

Подать уведомление в РКН можно тремя способами:

1. Заполнить шаблон уведомления на сайте РКН, распечатать его и отправить по почте в территориальный отдел РКН.
2. Заполнить уведомление на сайте РКН и подписать его усиленной квалифицированной электронной подписью.
3. Авторизоваться через «Госуслуги» и заполнить уведомление на сайте РКН.

Здесь важно понимать: уведомление, вероятнее всего, придется подавать в любом случае — даже если вы нашли себя в реестре РКН. Это связано с тем, что помимо первичного сообщения в РКН о сборе персональных данных отправлять надо и уведомления обо всех изменениях в ранее поданном уведомлении — до 15 числа следующего за изменениями месяца.

«Повторные уведомления в Роскомнадзор подаются, если поменялась любая информация, которую мы до этого сообщали в РКН. Например, произошла реорганизация компании, или закрыли ИП, или сменился человек, ответственный за обработку данных. Также когда меняются цели, способы обработки данных, которые обрабатываются, количество, точнее, категории субъектов, чьи данные обрабатываются, и т. д.

Пример

ООО «Маленькая страна» подало уведомление о начале обработки персональных данных своих сотрудников в 2024 году. Полгода спустя в компании собрали базу данных клиентов, и об этом в прежнем уведомлении не было сказано. «Маленькой стране» нужно срочно подавать новое уведомление в Роскомнадзор, если она этого не сделала.

Сообщить об утечке данных, если она уже была

Если произойдет утечка данных, в Роскомнадзор нужно будет сообщить о ней в течение 24 часов с момента обнаружения. В уведомлении указывают:

• предполагаемые причины неправомерной передачи персональных данных;
• какой ущерб был причинен правам людей, чьи данные утекли;
• какие меры предпринял бизнес для устранения последствий инцидента;
• контакты ответственного за взаимодействие с РКН по утечке.

Дальше ИП или компания обязаны провести внутреннее расследование причин и последствий ситуации. На это есть 72 часа с момента обнаружения утечки, а затем о результатах расследования тоже нужно сообщить в РКН.

Если утечка уже произошла, но сообщить о ней вы успеете до 30 мая, наказание за нее будет по старым нормам, то есть без штрафов за неуведомление Роскомнадзора и оборотных штрафов. А вот за попытки скрыть утечку данных и не сообщать в РКН после 30 мая грозят уже новые нормы закона. Об этом не так давно предупредил заместитель руководителя РКН Милош Вагнер.

Как не допустить утечек

Чтобы утечку не допустить, основные рекомендации такие.

Ограничьте доступ к персональным данным внутри компании с помощью программ. Разрешите сотрудникам видеть только те данные, которые необходимы для работы. Тогда, если аккаунт сотрудника будет взломан, злоумышленник получит доступ к минимальному объему информации.

Отсюда же следующий совет: защитите аккаунты сотрудников от взлома, насколько это возможно. Для этого необходимо использовать сложные пароли с заглавными и строчными буквами, цифрами и специальными символами. Для входа в аккаунт должна быть включена двухфакторная аутентификация — например, по коду из СМС. Зашифруйте конфиденциальные данные, которые хранятся на дисках, и установите антивирусы на компьютеры компании.

Обучите персонал. Расскажите сотрудникам о распространенных мошеннических схемах, чтобы они могли распознавать угрозы и защищать информацию. Часто утечки происходят из-за банальной цифровой неграмотности сотрудников.

Навести порядок в процессах

Переведите работу с персональными данными на российские сервисы и ПО. Откажитесь от Google Analytics или других иностранных сервисов аналитики и замените их на российские аналоги, например на «Яндекс Метрику», MyTracker. Перейдите на сервис рассылок, который принадлежит российской компании, например на Sendsay, RuSender.

Настройте кнопки согласия на обработку данных на сайте, чтобы посетители могли четко выразить свое согласие. При этом галочки не должны проставляться автоматически, это должно быть личное действие пользователя. Важно показать и ссылку на политику обработки данных, принятую в компании (у ИП).

Настройте cookie. Если cookie содержат ID, IP, имя и другие персональные данные, то на сайте должен быть баннер, где посетитель может отказаться от сбора и выбрать, какие данные оставить: технические, аналитические, рекламные.

«Частые ошибки — когда на сайте есть политика и согласие, но неправильно оформлены чек-боксы: либо одна галочка для принятия оферты и дачи согласия на обработку персональных данных, или галочки проставлены, но нет ссылок на документы, которые должны быть обязательно».

Добавить нужные документы

Разработайте и утвердите локальные акты о работе с персональными данными: например, политику обработки персональных данных, положение по организации обработки и обеспечению безопасности персональных данных, различные инструкции, правила, приказы, журналы учета и т. д. Точный перечень документов и их содержание зависят от бизнеса: чьи персональные данные вы обрабатываете, в какой программе, кто имеет доступ к ним, кто отвечает за обработку ПД и пр.

Важно: эти документы бизнес должен разработать и утвердить самостоятельно, просто скачать из интернета типовые образцы не получится. Каждый документ должен показывать, как конкретная компания или ИП работает с данными людей на практике.

«Политика в области обработки персональных данных и политика конфиденциальности — это разные названия одного и того же документа. Обязательных требований к названию в законе нет. Просто на сайте должна быть политика, причем с учетом всех изменений в законе 152-ФЗ за последние годы.

Самые частые ошибки в этом документе такие: компании не указывают цели сбора персональных данных, объем обрабатываемых данных, категории субъектов, чьи данные обрабатывает оператор».

P. S. О трансграничной передаче данных

Бывают ситуации, когда компания или ИП не могут или не хотят перейти на российские сервисы для работы с клиентами или пользователями сайтов. Самый частый пример — использование Google Analytics. В этом случае возникает риск дополнительно нарушить закон, так как, с точки зрения Роскомнадзора, происходит трансграничная передача персональных данных.

Трансграничная передача данных без соблюдения порядка может обернуться штрафом до 6 млн руб. Это не новый штраф, но напоминания о нем Роскомнадзор периодически направляет бизнесу.

Порядок действий в такой ситуации следующий:

1. Оцените страну, в которую будете передавать данные. На сайте РКН есть списки стран, которые, с точки зрения властей, обеспечивают и не обеспечивают «адекватную защиту» данных.
2. Отправьте в Роскомнадзор уведомление о планируемой передаче данных.
3. РКН может запросить, как вы убедились, что ваш иностранный партнер эти данные надежно защищает. Ответить нужно в течение 10 рабочих дней.
4. Получите отдельное согласие РКН на трансграничную передачу данных.

«Уведомление рассматривается в течение 10 дней, и дальше может быть вынесено решение о запрещении осуществлять трансграничную передачу или об ограничении в этой сфере. Если никакого ответа не последовало, значит, Роскомнадзор фактически разрешил вам ее осуществлять, и тогда можно использовать иностранные метрики спокойно».

«Если запрет вынесен после передачи данных, по закону вы обязаны обеспечить их удаление у иностранного получателя. Однако на практике российская сторона может только потребовать удаления, добиться исполнения требований — почти нереально».

В общем случае достаточно одного уведомления в Роскомнадзор о трансграничной передаче данных. Повторно уведомлять при каждой передаче не требуется. Однако если у компании произойдут изменения, которые приводят к новым потокам данных за границу (например, передача данных в новые страны), уведомление нужно будет направить заново.

Источник - https://delo.modulbank.ru/laws/personalnye-dannye-2025