Новые штрафы в работе с персональными данными: что проверить прямо сейчас

Что случилось

30 мая 2025 года вступят в силу изменения в законодательстве о персональных данных и начнут применяться новые штрафы.

Появилось новое наказание — за неподачу уведомлений о сборе и обработке персональных данных (или подачу неправильных сведений) в Роскомнадзор (РКН). Пока наказывают по другой статье (это общий штраф за неподачу любых сведений в РКН), и бизнесу приходится платить от 3 до 5 тыс. руб. С 30 мая сумма составит от 100 до 300 тыс. руб., а за повторное нарушение могут наказать до 500 тыс. руб.

• Если закон нарушит самозанятый (физлицо), то штраф составит до 15 тыс. руб.
• Должностных лиц организаций могут наказать на сумму от 50 до 100 тыс. руб.

Читать в «Деле»

Я что-то нажал, и оно исчезло: как могут оштрафовать бизнес за утечки персональных данных

Спойлер: на сотни тысяч рублей и даже больше

Отдельная история — новые штрафы за нарушения, связанные с утечкой данных. Вот основные:

• за неуведомление об утечке персональных данных штраф составит от 1 до 3 млн руб.;
• за саму утечку персональных данных — от 3 до 15 млн руб. (в зависимости от масштаба утечки);
• за утечку биометрических данных — от 15 до 20 млн руб.

Наконец, если бизнес неоднократно допускает утечки больших объемов персональных данных, его ждут оборотные штрафы. Это от 1 до 3% от совокупной годовой выручки бизнеса за предыдущий год. А если утечка привела к ущербу, то это уже уголовное преступление, за которое могут посадить в тюрьму на 4 года, если ущерб окажется значительным.

Кого касаются новые штрафы

Если коротко, то это практически любой бизнес. Не важно, юрлицо это, ИП или принимающий на дому самозанятый мастер по маникюру, который записывает имена и телефоны клиентов. Важен сам факт того, что вы собираете, храните и используете личные данные людей: сотрудников, клиентов, контрагентов и т. д.

Форма сбора данных на сайте фитнес-клуба: в личном кабинете заполняется не только телефон, но еще ФИО клиента и его дата рождения. Фитнес-клуб явно должен регистрироваться в Роскомнадзоре

Если:

• у вас есть сотрудники или исполнители-физлица, работающие по договорам ГПХ;
• вы работаете напрямую с клиентами и собираете их персональные данные в электронном виде (например, в таблице Excel или в программе 1С);
• вы сохраняете контактную информацию клиентов или посетителей своих сайтов/соцсетей в специальных сервисах для рассылок;
• вы получаете адреса покупателей для доставки товаров;
• вы обрабатываете данные физлиц для исполнения договоров, организации мероприятий и т. д. —

поздравляем, вы определенно соответствуете понятию «оператор персональных данных» и должны зарегистрировать этот факт в РКН — то есть подать уведомление.

Анна в нашем примере — не оператор персональных данных, и подавать уведомление ей не нужно. А вот Ирина и ИП Маслов должны получать согласие своих клиентов (и сотрудников) на обработку персональных данных и уведомить о сборе и обработке РКН. Главная разница здесь в том, в какой форме хранятся и обрабатываются данные, а еще в том, с какой целью их собирают.

«Гипотетически даже сохранение контактов клиентов в смартфоне может привести к исполнению обязанностей оператора персональных данных, так как смартфоны часто используют облачные хранилища. Но будет ли такое хранение автоматизированной обработкой или нет, зависит от мнения Федеральной службы по техническому и экспортному контролю (ФСТЭК) в каждом конкретном случае».

Мария Медведева, частнопрактикующий юрист, специалист по персональным данным

Вот основные обязанности каждого оператора персональных данных:

• уведомлять Роскомнадзор о начале сбора/обработки данных до начала сбора или обработки;
• составлять и обновлять политику обработки персональных данных;
• собирать cookie только с согласия посетителя сайта — то есть добавить специальное поле для согласия;
• хранить и обрабатывать собранные данные только на российских серверах;
• использовать средства защиты данных — антивирусы и многое другое.

Что нужно сделать до 30 мая 2025 года

Времени осталось мало, так что вот готовый алгоритм действий.

Проверить регистрацию в РКН

Для начала проверьте наличие своего бизнеса в реестре РКН — потому что обязанность подавать уведомление о сборе данных действует уже несколько лет.

Для поиска себя в реестре операторов данных нужно ввести ИНН бизнеса, и сервис выдаст результат

Срочно подать уведомление об обработке, если еще не подали

Если вы по факту являетесь оператором персональных данных, а уведомление не подавали, это нарушение закона. Если такое произошло впервые, после 30 мая РКН, скорее всего, отправит бизнесу предупреждение. Однако если дальше предупреждение проигнорировать и уведомление не подать, штраф будет уже по новым нормам — от 100 до 300 тыс. руб.

«На практике Роскомнадзор наказывает бизнес не за просрочку уведомлений, а за само отсутствие уведомления. То есть если компания или ИП стали операторами персональных данных, но не сообщили в РКН, наказание может прилететь в любой момент по факту обнаруженного нарушения».

Светлана Кузеванова, медиаюрист, автор телеграм-канала «Кузеванова рассказывает»

Как подать заявление

Подать уведомление в РКН можно тремя способами:

1. Заполнить шаблон уведомления на сайте РКН, распечатать его и отправить по почте в территориальный отдел РКН.
2. Заполнить уведомление на сайте РКН и подписать его усиленной квалифицированной электронной подписью.
3. Авторизоваться через «Госуслуги» и заполнить уведомление на сайте РКН.

Здесь важно понимать: уведомление, вероятнее всего, придется подавать в любом случае — даже если вы нашли себя в реестре РКН. Это связано с тем, что помимо первичного сообщения в РКН о сборе персональных данных отправлять надо и уведомления обо всех изменениях в ранее поданном уведомлении — до 15 числа следующего за изменениями месяца.

«Повторные уведомления в Роскомнадзор подаются, если поменялась любая информация, которую мы до этого сообщали в РКН. Например, произошла реорганизация компании, или закрыли ИП, или сменился человек, ответственный за обработку данных. Также когда меняются цели, способы обработки данных, которые обрабатываются, количество, точнее, категории субъектов, чьи данные обрабатываются, и т. д.

Светлана Кузеванова, медиаюрист, автор телеграм-канала «Кузеванова рассказывает»

Сообщить об утечке данных, если она уже была

Если произойдет утечка данных, в Роскомнадзор нужно будет сообщить о ней в течение 24 часов с момента обнаружения. В уведомлении указывают:

• предполагаемые причины неправомерной передачи персональных данных;
• какой ущерб был причинен правам людей, чьи данные утекли;
• какие меры предпринял бизнес для устранения последствий инцидента;
• контакты ответственного за взаимодействие с РКН по утечке.

Дальше ИП или компания обязаны провести внутреннее расследование причин и последствий ситуации. На это есть 72 часа с момента обнаружения утечки, а затем о результатах расследования тоже нужно сообщить в РКН.

Если утечка уже произошла, но сообщить о ней вы успеете до 30 мая, наказание за нее будет по старым нормам, то есть без штрафов за неуведомление Роскомнадзора и оборотных штрафов. А вот за попытки скрыть утечку данных и не сообщать в РКН после 30 мая грозят уже новые нормы закона. Об этом не так давно предупредил заместитель руководителя РКН Милош Вагнер.

Как не допустить утечек

Чтобы утечку не допустить, основные рекомендации такие.

Ограничьте доступ к персональным данным внутри компании с помощью программ. Разрешите сотрудникам видеть только те данные, которые необходимы для работы. Тогда, если аккаунт сотрудника будет взломан, злоумышленник получит доступ к минимальному объему информации.

Отсюда же следующий совет: защитите аккаунты сотрудников от взлома, насколько это возможно. Для этого необходимо использовать сложные пароли с заглавными и строчными буквами, цифрами и специальными символами. Для входа в аккаунт должна быть включена двухфакторная аутентификация — например, по коду из СМС. Зашифруйте конфиденциальные данные, которые хранятся на дисках, и установите антивирусы на компьютеры компании.

Обучите персонал. Расскажите сотрудникам о распространенных мошеннических схемах, чтобы они могли распознавать угрозы и защищать информацию. Часто утечки происходят из-за банальной цифровой неграмотности сотрудников.

Навести порядок в процессах

Читайте также:

Как работать с персональными данными клиентов и сотрудников

Переведите работу с персональными данными на российские сервисы и ПО. Откажитесь от Google Analytics или других иностранных сервисов аналитики и замените их на российские аналоги, например на «Яндекс Метрику», MyTracker. Перейдите на сервис рассылок, который принадлежит российской компании, например на Sendsay, RuSender.

Настройте кнопки согласия на обработку данных на сайте, чтобы посетители могли четко выразить свое согласие. При этом галочки не должны проставляться автоматически, это должно быть личное действие пользователя. Важно показать и ссылку на политику обработки данных, принятую в компании (у ИП).

Так может выглядеть правильно настроенная кнопка

Настройте cookie. Если cookie содержат ID, IP, имя и другие персональные данные, то на сайте должен быть баннер, где посетитель может отказаться от сбора и выбрать, какие данные оставить: технические, аналитические, рекламные.

Баннер при нажатии на кнопку «Настройки» позволяет выбрать интересующие виды данных

«Частые ошибки — когда на сайте есть политика и согласие, но неправильно оформлены чек-боксы: либо одна галочка для принятия оферты и дачи согласия на обработку персональных данных, или галочки проставлены, но нет ссылок на документы, которые должны быть обязательно».

Мария Медведева, частнопрактикующий юрист, специалист по персональным данным

Добавить нужные документы

Разработайте и утвердите локальные акты о работе с персональными данными: например, политику обработки персональных данных, положение по организации обработки и обеспечению безопасности персональных данных, различные инструкции, правила, приказы, журналы учета и т. д. Точный перечень документов и их содержание зависят от бизнеса: чьи персональные данные вы обрабатываете, в какой программе, кто имеет доступ к ним, кто отвечает за обработку ПД и пр.

Важно: эти документы бизнес должен разработать и утвердить самостоятельно, просто скачать из интернета типовые образцы не получится. Каждый документ должен показывать, как конкретная компания или ИП работает с данными людей на практике.

«Политика в области обработки персональных данных и политика конфиденциальности — это разные названия одного и того же документа. Обязательных требований к названию в законе нет. Просто на сайте должна быть политика, причем с учетом всех изменений в законе 152-ФЗ за последние годы.

Самые частые ошибки в этом документе такие: компании не указывают цели сбора персональных данных, объем обрабатываемых данных, категории субъектов, чьи данные обрабатывает оператор».

Мария Медведева, частнопрактикующий юрист, специалист по персональным данным

P. S. О трансграничной передаче данных

Бывают ситуации, когда компания или ИП не могут или не хотят перейти на российские сервисы для работы с клиентами или пользователями сайтов. Самый частый пример — использование Google Analytics. В этом случае возникает риск дополнительно нарушить закон, так как, с точки зрения Роскомнадзора, происходит трансграничная передача персональных данных.

Порядок действий в такой ситуации следующий:

1. Оцените страну, в которую будете передавать данные. На сайте РКН есть списки стран, которые, с точки зрения властей, обеспечивают и не обеспечивают «адекватную защиту» данных.
2. Отправьте в Роскомнадзор уведомление о планируемой передаче данных.
3. РКН может запросить, как вы убедились, что ваш иностранный партнер эти данные надежно защищает. Ответить нужно в течение 10 рабочих дней.
4. Получите отдельное согласие РКН на трансграничную передачу данных.

«Уведомление рассматривается в течение 10 дней, и дальше может быть вынесено решение о запрещении осуществлять трансграничную передачу или об ограничении в этой сфере. Если никакого ответа не последовало, значит, Роскомнадзор фактически разрешил вам ее осуществлять, и тогда можно использовать иностранные метрики спокойно».

Светлана Кузеванова, медиаюрист, автор телеграм-канала «Кузеванова рассказывает»

«Если запрет вынесен после передачи данных, по закону вы обязаны обеспечить их удаление у иностранного получателя. Однако на практике российская сторона может только потребовать удаления, добиться исполнения требований — почти нереально».

Мария Медведева, частнопрактикующий юрист, специалист по персональным данным

В общем случае достаточно одного уведомления в Роскомнадзор о трансграничной передаче данных. Повторно уведомлять при каждой передаче не требуется. Однако если у компании произойдут изменения, которые приводят к новым потокам данных за границу (например, передача данных в новые страны), уведомление нужно будет направить заново.

Модульюрист

Юридическая поддержка вашего бизнеса по подписке. Безлимитные консультации, составление договоров, досудебных претензий, защита интересов в суде. От 12 490 рублей в месяц

Узнать больше