Я что-то нажал, и оно исчезло: как могут оштрафовать бизнес за утечки персональных данных

За какие нарушения накажут бизнес

Работа с персональными данными — сложный процесс, в котором может произойти много нарушений. Разберем основные.

За незаконный сбор и обработку персональных данных

Такое нарушение — это сбор и хранение персональных данных без цели, использование их не по назначению, передача данных без согласия человека.

За нарушения при обработке персональных данных Роскомнадзор сейчас штрафует максимум на 100 тыс. руб. за первое нарушение и на 300 тыс. руб. — за повторное. Но 30 мая 2025 года вступят в силу поправки к КоАП и штрафы вырастут:

Кроме того, с 11 декабря 2024 года виновные сотрудники компаний, сайты которых незаконно получали, использовали и/или распространяли персональные данные, будут нести уголовную ответственность. Максимальное наказание — лишение свободы на 5 лет.

«Уголовная ответственность будет только за сбор и распространение личной информации — например, о состоянии здоровья, интимной сфере, образе жизни и т. д. Распространение должно быть публичным. Максимальная ответственность до 5 лет может наступить за разглашение сведений о несовершеннолетних».

Мария Медведева,
частнопрактикующий юрист, специалист по персональным данным

За неправильные уведомления Роскомнадзора, их отсутствие или просрочку

Читайте также:

Как работодателю стать оператором персональных данных

Каждый работодатель для своих сотрудников и бизнес для своих клиентов — это оператор персональных данных. О начале сбора и обработки персональных данных и о многих других подобных моментах нужно предупреждать Роскомнадзор. Многие предприниматели игнорируют такую обязанность или отправляют просроченные уведомления — за это могут быть штрафы. Как правило, причины две.

Делают как раньше, до изменения 152-ФЗ. Уведомление можно было не подавать, если обработка персональных данных связана только с исполнением договора. Например, если клиент купил на сайте товар, продавец доставил и больше с клиентом не связывается, не отправляет ему письма о скидках и пр.

Предприниматель считает, что если уведомления нет, то РКН о нем не узнает, а значит, не придет с проверкой. Да и наказания за неуведомление в виде штрафа в 5 000 руб. большинство предпринимателей не боятся и готовы заплатить.

«Независимо от причины, по которой не отправили уведомление, вы получите штраф, потому что РКН проводит бесконтактные проверки, а значит, может зайти на ваш сайт, страницу в соцсети, бота в «Телеграм» и проверить вас. В результате вы получите штраф, а недостатки надо будет устранить».

Мария Медведева,
частнопрактикующий юрист, специалист по персональным данным

Еще один вариант нарушения — это неуведомления об утечках. Здесь речь тоже идет про Роскомнадзор, но про уведомления его в особых ситуациях — при утечках данных.

Сейчас за нарушение сроков информирования Роскомнадзор наказывает компании штрафом до 5 000 руб., но с 30 мая 2025 года ответственность за неуведомление РКН вырастет в несколько десятков раз.

Собрали все цифры по штрафам за неуведомления в таблицу:

Открыть счет
для бизнеса в Модульбанке

Бесплатный тариф, защита от блокировок, вывод прибыли на личную карту без ограничений и специальные условия для маркетплейсов

Открыть счет бесплатно

За утечку данных

Об уведомлениях РКН мы уже сказали, теперь о том, как закон наказывает за саму утечку персональных данных.

«Если проблема случилась из-за мошенничества сотрудника (например, он скачал на личный компьютер базу данных партнеров компании), то нужно помнить, что работодатель несет ответственность за такую ситуацию. Особенно, если не позаботился:

• о соглашении о неразглашении персональных данных;
• не дал сотруднику подписать инструкцию, где написано, что можно делать с персональными данными, а что нет».

Мария Медведева,
частнопрактикующий юрист, специалист по персональным данным

Сейчас за утечку персональных данных, если в ней нет уголовной составляющей, Роскомнадзор штрафует бизнес на сумму до 100 тыс. руб. вне зависимости от объема утекшей информации.

С 30 июня 2025 года административные штрафы за утечку персональных данных возрастут и будут зависеть от категории данных и количества пострадавших людей или сведений, которые позволяют точно определить человека.

Вот как вырастут штрафы:

При повторной утечке РКН не будет считать количество пострадавших, но накажет:

• директора или ИП — на 800 000-1 000 000 руб.;
• компанию — на 20 000 000-500 000 000 руб.

Если повторно утекли биометрические или специальные данные, то штраф составит:

• на директора или ИП — 1 500 000-2 000 000 руб.;
• на компанию — 25 000 000-500 000 000 руб.

Если утечка персональных данных привела к ущербу, то это уже уголовное преступление, за которое могут посадить в тюрьму на 4 года, если ущерб окажется крупным. Например, с помощью вредоносной программы можно удалить базу данных, и компании-владельцу нужно будет потратить время и деньги для ее восстановления.

А если произошла утечка тайны, доступ к которой по закону есть только у ограниченного числа людей, свободу ограничат на срок до 7 лет.

За невыполнение в срок предписания Роскомнадзора

Также Роскомнадзор штрафует за уклонение или препятствование проведению проверки, а также за невыполнение требований уточнить или уничтожить недостоверные, устаревшие или незаконно полученные данные. Например, прокурор может направить протест против политики в области обработки персональных данных, если она нарушает требования закона. При неисполнении требований в срок будет штраф.

За отказ в удовлетворении требований физлица

Речь об игнорировании запросов на доступ, исправление, удаление персональных данных. Это может обернуться штрафом в 50 000-90 000 руб., а предпринимателю — в 20 000-40 000 руб. За повторное нарушение штрафы возрастут до 300 000-500 000 руб. и 50 000-100 000 руб. соответственно.

Короче

• Государство следит за тем, чтобы те, кто работает с персональными данными, соблюдали правила и требования к работе с ними. Для этого действуют различные штрафы и меры уголовной ответственности, вплоть до тюремного заключения. А собирают и обрабатывают персональные данные все, кто ведет бизнес или занимается частной практикой.
• Административные штрафы — это уже сейчас большие суммы, а с 30 мая 2025 года станут еще больше.
• С 11 декабря 2024 года под уголовную ответственность будет подпадать работа интернет-сайтов, которые используют незаконно полученные данные. Под пристальное внимание могут попасть парсеры — программы или скрипты, которые автоматически собирают и анализируют данные сайтов. Например, конкуренты подключили парсер к сайту по продаже пластиковых окон, который находится в топе, и получают данные посетителей этого сайта. Так формируют базу персональных данных пользователей, которые интересовались пластиковыми окнами. Затем эту базу за деньги сливают продавцам пластиковых окон как горячие лиды.
• Ужесточение ответственности за нарушения при работе с персональными данными касается всех, кто с ними работает. Особенно новые штрафы и уголовная ответственность касаются тех, кто активно ведет бизнес в интернете.
• Если хотите работать с персональными данными без риска штрафов, то собирать согласия на их обработку — must have. Также не забывайте про соблюдение сроков в общении с Роскомнадзором, работающую политику конфиденциальности и меры защиты персональных данных.

Модульюрист

Юридическая поддержка вашего бизнеса по подписке. Безлимитные консультации, составление договоров, досудебных претензий, защита интересов в суде. От 12 490 рублей в месяц

Узнать больше