Добавить в корзинуПозвонить
Найти в Дзене
Анатомия права. Записки юриста
158 подписчиков

Ужесточение требований к обработке Персональных данных: новые реалии для компаний

5
5 мин
Организации осуществляют сбор и управление персональными данными, когда создают базу клиентов, подписывают договоры или размещают на своем сайте обратную форму, запрашивающую личные данные, такие как имя, телефон или электронная почта. Согласно законодательству, такие организации являются операторами данных, и здесь их обозначения приравниваются. Процедуры обработки едины для пользователей, клиентов и контрагентов сайтов компании; для удобства всех этих лиц будем называть контрагентами. В данном правовом документе мы не включаем сотрудников компаний в перечень субъектов данных. Если вам необходимы правила по обработке данных работников, обратитесь к другому документу. Обработка данных охватывает различные действия, такие как сбор, хранение, передача, обезличивание или уничтожение информации (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Структура правового заключения разделена по разделам. Первыми идут обязательные шаги для опер
Оглавление

Организации осуществляют сбор и управление персональными данными, когда создают базу клиентов, подписывают договоры или размещают на своем сайте обратную форму, запрашивающую личные данные, такие как имя, телефон или электронная почта. Согласно законодательству, такие организации являются операторами данных, и здесь их обозначения приравниваются. Процедуры обработки едины для пользователей, клиентов и контрагентов сайтов компании; для удобства всех этих лиц будем называть контрагентами.

В данном правовом документе мы не включаем сотрудников компаний в перечень субъектов данных. Если вам необходимы правила по обработке данных работников, обратитесь к другому документу.

Обработка данных охватывает различные действия, такие как сбор, хранение, передача, обезличивание или уничтожение информации (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Структура правового заключения разделена по разделам. Первыми идут обязательные шаги для оператора: извещение Роскомнадзора и создание системы защиты данных. Далее – организация процессов обработки. Например, для передачи данных смотрите раздел четвертый, а для уничтожения – шестой. Если времени на детальную проверку нет, оцените возможные риски, связанные с ужесточенной ответственностью за утечки данных.

30 мая 2025 года операторов ждут новые правовые требования (Федеральный закон от 30.11.2024 № 420-ФЗ). Штрафы за нарушения правил обработки общей категории данных могут достичь 500 млн руб., а за неправомерные действия со специальной категорией данных возможно наказание до пяти лет лишения свободы.

Закон усиливает меры ответственности за незаконные действия с данными:

  • Повышены штрафы за некорректную обработку;
  • Уведены штрафы за неуведомление Роскомнадзора о начале обработки или утечке;
  • Размер штрафов зависит от объема первичной утечки;
  • Применены оборотные штрафы за утечки данных;
  • Выделены штрафные санкции для специальных и биометрических данных.

Компании столкнутся с суммами до 500 тыс. рублей за нарушения целей или порядка обработки. Ранее штрафы для руководителей составляли до 20 тыс. рублей, для компании – до 100 тыс. рублей. Все актуальные суммы штрафов перечислены в таблице. Подробная информация о правилах обработки данных с рекомендациями Максима Лагутина, как избежать штрафов, представлена в данной рекомендации.

Таблица 1. Новые размеры штрафов после 30 мая 2025 года

Таблица 1. Новые размеры штрафов после 30 мая 2025 года
Таблица 1. Новые размеры штрафов после 30 мая 2025 года

Компании грозят штрафы до 3 млн руб. за несоблюдение обязанностей перед Роскомнадзором. До изменений оператор получал штраф только в случае самостоятельного выявления Роскомнадзором нарушения. С 30 мая 2025 года за неуведомление о начале обработки или утечке будет наложен штраф до 3 млн рублей. Детали уведомления Роскомнадзора подробно обсуждаются в первом разделе.

Объем и сумма штрафов за утечку персональных данных:

Штрафы в зависимости от количества утерянных данных:

От 1,000 до 10,000 субъектов, либо от 10,000 до 100,000 идентификаторов:

  • Граждане: 100,000 - 200,000 руб.
  • Должностные лица: 200,000 - 400,000 руб.
  • Компании: 3 - 5 млн руб.

От 10,000 до 100,000 субъектов, либо от 100,000 до 1,000,000 идентификаторов:

  • Граждане: 200,000 - 300,000 руб.
  • Должностные лица: 300,000 - 500,000 руб.
  • Компании: 5 - 10 млн руб.

Более 100,000 субъектов, либо свыше 1,000,000 идентификаторов:

  • Граждане: 300,000 - 400,000 руб.
  • Должностные лица: 400,000 - 600,000 руб.
  • Компании: 10 - 15 млн руб.

Повторная утечка данных влечет взыскание в размере 1-3% от годового дохода фирмы, но не менее 20 млн и не более 500 млн рублей. Эти санкции вступают в силу с 30 мая.

Штрафы за утечку общих данных:

  • Граждане: 400,000 - 600,000 руб
  • Должностные лица: 800,000 руб - 1 млн руб
  • Компании: от 1 до 3% годового дохода (не менее 20 и не более 500 млн руб)

Штрафы для утечки специальных или биометрических данных:

  • Граждане: 500,000 - 800,000 руб
  • Должностные лица: 1.5 - 2 млн руб
  • Компании: от 1 до 3% годового дохода (не менее 25 и не более 500 млн руб)

До 30 мая единовременные штрафы применялись вне зависимости от типа данных, после указанного срока — разные размеры наказания за утечку специальных и биометрических данных.

За неправомерное обращение с компьютерной информацией, содержащей персональные данные, с 11 декабря 2024 года грозит уголовное преследование: штраф 300,000 - 400,000 руб, принудительные работы до 4 лет или лишение свободы до 4 лет. При утечке специальных данных – штраф до 700,000 руб и наказание до 5 лет.

Если нарушение привело к серьёзным последствиям или было совершено организованной группой, нарушителю грозит до десяти лет лишения свободы и штраф до 3 миллионов рублей.

Статья не распространяется на случаи, когда физические лица используют персональные данные исключительно для личных и семейных нужд (Федеральный закон от 30.11.2024 № 421-ФЗ, ст. 272.1 УК).

Как уведомить Роскомнадзор:


В этом разделе разобрали все ситуации, когда нужно оповещать Роскомнадзор:

  • при начале обработки персональных данных;
  • передаче данных зарубежным третьим лицам;
  • изменении информации об операторе и его деятельности;
  • утечке персональных данных;
  • завершении работы.

Образцы уведомлений и рекомендации по их оформлению

О начале обработки данных

Уведомлять Роскомнадзор о начале обработки необходимо, если организация использует компьютеры или другие вычислительные средства. С 30 мая отсутствие уведомления карается. При обработке данных на бумаге уведомление не требуется – переходите к следующему разделу.

Чтобы уведомить о начале обработки персональных данных и зарегистрироваться как оператор, нужно заполнить унифицированную форму (приказ Роскомнадзора от 28.10.2022 № 180, далее – Приказ № 180). Это можно сделать на сайте РНК. Уведомление подаётся в бумажном или электронном виде на выбор оператора.

При подаче в бумажном виде необходимо зарегистрироваться на сайте РНК, заполнить уведомление, распечатать и подписать директором, после чего предоставить лично или отправить заказным письмом с уведомлением. Уведомление подается в территориальный орган Роскомнадзора в двух экземплярах: один остаётся у оператора, другой — у Роскомнадзора с отметкой о получении. На это потребуется время.

Онлайн-подача проще, но требует специальной программы или подтверждённой учётной записи на портале Госуслуг. Программу можно скачать на официальном сайте ведомства, и этот способ подходит тем, у кого есть усиленная квалифицированная электронная подпись.

Ответственный за уведомление о намерении начать обработку данных должен быть назначен в компании. Обычно это специалист кадрового отдела.

Безопасность и правопорядок
95,2 тыс интересуются