- Вчера, 20:00
- 59
- Время прочтения: 4 мин
Персональные данные: как не попасть на новые штрафы. Комментарий юриста Надежды Курбатовой
Как правильно оформлять обработку персональных данных
Сейчас деятельность многих организаций, индивидуальных предпринимателей связана с получением и обработкой персональных данных граждан, использование которых регулирует закон.
Контроль в области сохранности персональных осуществляет Роскомнадзор (РКН).
Задача деятельности Роскомнадзора – защита прав граждан и их персональных данных, контроль за обработкой персональных данных операторами на соответствие закону. Для этого ведется реестр операторов персональных данных.
Все юридические лица, индивидуальные предприниматели, а также самозанятые, которые собирают и обрабатывают персональные данные граждан, должны уведомлять Роскомнадзор:
- о начале обработки данных
- об утечке персональных данных
- об изменении способов, целей, сроков обработки
- о прекращении обработки
Кто должен отправлять уведомления в РКН
Все организации и индивидуальные предприниматели, получающие данные физических лиц, например:
- Сотрудников и кандидатов на работу;
- Уволенных сотрудников, родственников сотрудников;
- Поставщиков, подрядчиков, клиентов;
- Посетителей вашего офиса, склада;
- ФИО любого лица, полученное организацией;
- Учащихся, студентов;
- Законных представителей -
ДОЛЖНЫ УВЕДОМЛЯТЬ РОСКОМНАДЗОР ДО начала обработки персональных данных. Это касается не только коммерческих, но и государственных, некоммерческих, общественных организаций.
Практически все компании имеют дело с получением, хранением, систематизацией, накоплением, распространением персональных данных. Скорее всего, и ваша компания обрабатывает перс. данные.
Например, к вам на склад приезжают загружаться водители, и вы записываете их ФИО, государственные номера и марку автомобиля, номера телефонов для связи, название компании, где они работают. Или вы – бизнес-центр, где сотрудник на входе записывает паспортные данные посетителей и далее вносит их в компьютер. Заключаете договор ГПХ или с самозанятым? Договор содержит персональные данные физлица. Медицинские центры, образовательные учреждения, ремонтные организации, курьерские службы – это те, кто имеет дело с внешними контрагентами. А по наличию внутренних – работников и кандидатов на работу, стажеров, временного персонала, даже одного генерального директора –все организации подпадают под статус оператора персональных данных.
Для уведомления о том, что ваша организация ведет обработку данных граждан, она должна быть включена в реестр операторов персональных данных.
Для включения в реестр представитель организации должен самостоятельно обратиться в Роскомнадзор. Ссылка на страницу, где можно заполнить электронное заявление о включении вашей организации в реестр операторов персональных данных: https://pd.rkn.gov.ru/operators-registry/notification/ Также можно направить уведомление через портал Госуслуг или бумажным письмом по почте России в ваш территориальный орган РКН.
В течение тридцати дней РКН вносит вашу компанию в реестр, что делает обработку персональных данных вашей компаний легальным. Реестр является общедоступным, каждый обратившийся может найти анкету оператора по ИНН или названию на сайте Роскомнадзора.
Внимание, штрафы за несоблюдение закона по обработке персональных данных
С 30 мая 2025 года увеличиваются штрафы за неуведомление о начале обработки персональных данных, и увеличиваются значительно. Также вводятся штрафы за утечку персональных, в том числе биометрических данных.
Пожалуйста, ознакомьтесь с перечнем нарушений и размеров штрафов за них.
Штрафы за непредоставление уведомлений о начале обработки перс. данных
• от 5 000 до 10 000 рублей – для физлиц
• от 30 000 до 50 000 рублей – для должностных лиц организаций
• от 100 000 до 300 000 рублей – для ИП и юрлиц
Штрафы за утечку перс. данных
Утечка персональных данных - это неправомерная передача данных третьим лицам. Сейчас максимальный размер штрафов достигает 700 000 рублей. С 30 мая 2025 КоАП начинает дифференцировать размер штрафов в зависимости от количества граждан, чьи данные были неправомерно переданы.
Утечка данных от 1 000 до 10 000 граждан:
• от 100 000 до 200 000 рублей – для физлиц
• от 200 000 до 400 000 рублей - для должностных лиц организаций
• от 3 до 5 млн рублей – для ИП и юрлиц
Утечка данных от свыше 10 000, но не более 100 000 человек
• от 200 000 до 300 000 рублей – для физлиц
• от 300 000 до 500 000 рублей – для должностных лиц организаций
• от 5 до 10 млн рублей – для ИП и юрлиц
За утечку данных более 100 000 человек:
• от 300 000 до 400 000 рублей – для физлиц
• от 400 000 до 600 000 рублей – для должностных лиц организаций
• от 10 до 15 млн рублей – для ИП и юрлиц
В КоАП добавлена новая статья (ч. 15 ст.13.11 КоАП РФ) про повторную незаконную передачу третьим лицам персональных данных - штрафы следующие:
• от 400 000 до 600 000 рублей – для физлиц
• от 800 000 до 1,2 млн рублей – для должностных лиц организаций
• от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций
Штрафы за неуведомление об утечке перс. данных
Сейчас уже действуют штрафы за неуведомление о произошедшей утечке данных, и их размер составляет от трех до пяти тысяч рублей.
А вот какие штрафы будут введены с 30 мая 2025 года:
• от 50 000 до 100 000 рублей – для физлиц
• от 400 000 до 800 000 рублей – для должностных лиц организаций
• от 1 до 3 млн рублей – для ИП и юрлиц
Что делать, если персональные данные утекли
Шаг 1. Уведомить РКН в течение 24 часов с момента утечки, с указанием причин и предполагаемого вреда, нанесенного субъектам перс. данных, форма уведомления свободная
Шаг 2. Провести внутреннее расследование в компании и выявить виновных в утечке лиц и сообщить об этом в РКН в течение 72 часов
Как уведомлять РКН: можно бумажным письмом по почте России или путем заполнения специальной формы на сайте Роскомнадзора. Это позволит избежать штрафа о неуведомлении об утечке персональных данных.
Уголовная ответственность за нарушения обработки персональных данных
Уголовная ответственность уже действует с декабря 2024 года (ст. 272 УК РФ) и касается обращения с компьютерной информацией, содержащей персональные данные граждан.
Штрафы за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, в зависимости от типа данных и тяжести последствий наказываются:
- штрафами от 200 тысяч до 1 миллиона рублей
- принудительными работами до 5 лет
- лишением свободы до 6 лет
Если физическое лицо обрабатывает персональные данные для личных и семейных целей, уголовная ответственность на эти действия не распространяется.
Изменения или прекращение обработки персональных данных
Уведомлять Роскомнадзор надо не только когда вы приступаете к обработке персональных данных, но и при изменении способов, целей, сроков обработки. В общем, любые изменения тех параметров, которые вы вносили в уведомление о начале обработки, требуют отправки уведомления в РКН до 15-го числа следующего месяца.
Если ваша компания прекращает обработку персональных данных, об этом тоже надо уведомить РКН в течение десяти рабочих дней.
Резюме – что делать бизнесу для избежания штрафов за обращение с персональными данными
- зарегистрируйте вашу организацию на сайте РКН в реестре операторов перс. данных
- назначьте приказом ответственного за обработку персональных данных
- проведите обучение сотрудников правилам законного обращения с перс. данными и размерам штрафов за их нарушение
- берите письменные согласия с граждан на обработку их перс. данных
Сегодня, в эпоху цифровых технологий и искусственного интеллекта, действия (или бездействие) в интернете становятся полностью прозрачными. Даже небольшое нарушение может быть отслежено.
Если у вас возникли вопросы, как организовать работу с персональными данными в вашей организации, отправить уведомление в РКН и т.д., можете написать мне на почту: Nadezhda_kurbato@mail.ru
Курбатова Надежда Борисовна, юрист, руководитель юридического бюро «Звезда-Астра».