Успеть до штрафов Роскомнадзора

27 апреля 202527 апр 2025

4 мин

С 30 мая 2025 года начнут действовать поправки в административный и уголовный кодексы, которые ужесточают ответственность за утечки и незаконную обработку персональных данных. Это касается всех, кто собирает и обрабатывает персональные данные граждан: и физлиц, и компаний и государственных органов. Например, за нарушение правил обработки персональных данных можно получить штраф до 500 млн руб., а за персданные, отнесенные к специальной категории — наказание в форме лишения свободы на срок до пяти лет Изменения в Федеральном законе № 152-ФЗ “О персональных данных”, которые вступят коснутся: Для минимизации рисков и соответствия требованиям закона вам необходимо: Уведомление в РКН должно содержать следующую информацию: Важные моменты в связи с изменениями 2025 года: Рекомендации: Важно понимать: это задача не для одного специалиста. Только совместные усилия юриста, IT-службы и службы безопасности могут обеспечить комплексный и эффективный подход. В следующих постах я обязательно объясню

Изменения в Федеральном законе № 152-ФЗ “О персональных данных”, которые вступят коснутся:

Операторов персональных данных - то есть это те компании, ИП и самозанятые, кто обрабатывает персональные данные. Если вы собираете, храните и используете, например, номер телефона, ФИО, адрес электронной почты своих клиентов, поставщиков, партнеров и т.д., то вы - оператор персональных данных и изменения в законе коснуться именно вас.
Роскомнадзора: закон расширяет его полномочия по контролю за обработкой персональных данных, проведению проверок и реагированию на нарушения.
Субъектов персональных данных (граждан): изменения направлены на усиление защиты прав граждан в отношении их персональных данных.

Для минимизации рисков и соответствия требованиям закона вам необходимо:

Уведомить РКН об обработке персональных данных.
Разработать комплекс регламентирующих документов. По моему опыту, такой пакет может включать от 10-12 до 20 различных документов.
Внедрить организационные и технические меры защиты персональных данных.

Итак, о чем надо уведомлять:

Уведомление в РКН должно содержать следующую информацию:

Сведения об операторе: Наименование (ФИО для ИП), адрес, контакты.
Цели обработки персональных данных: Четкое и конкретное описание целей, для которых собираются и обрабатываются данные.
Категории персональных данных: Перечень типов обрабатываемых данных (например, ФИО, паспортные данные, адрес, email и т.д.).
Категории субъектов персональных данных: Определение круга лиц, чьи данные обрабатываются (например, клиенты, сотрудники, посетители сайта и т.д.).
Правовое основание обработки персональных данных: Указание на закон, договор или согласие субъекта данных.
Способы обработки персональных данных: Перечисление действий, совершаемых с данными (сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, блокирование, удаление, уничтожение).
Сведения об обеспечении безопасности персональных данных: Описание мер, принимаемых для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и т.д.
Сведения о трансграничной передаче данных (если осуществляется): Информация о странах, в которые передаются данные, и мерах, принимаемых для защиты данных при передаче.
Сведения о месте нахождения базы данных: Страна, где физически находится база данных.
Информация об уполномоченном лице по защите прав субъектов персональных данных (если назначено).

Важные моменты в связи с изменениями 2025 года:

Уточненные требования к согласию на обработку данных: Согласие должно быть более конкретным и информированным. Необходимо будет пересмотреть формы согласий.
Усиление требований к защите данных: Компаниям необходимо будет внедрять более эффективные технические и организационные меры защиты.
Новые обязанности по информированию субъектов данных: Предоставление более полной информации о том, как обрабатываются их данные.
Возможность проведения профилактических визитов РКН: РКН сможет проводить профилактические визиты для консультирования и предотвращения нарушений.

Рекомендации:

Изучите изменения в 152-ФЗ: Внимательно ознакомьтесь с текстом закона и разъяснениями РКН.
Проведите аудит обработки персональных данных: Определите, какие данные вы обрабатываете, с какой целью и как обеспечивается их защита.
Приведите процессы в соответствие с законом: Обновите политики обработки персональных данных, формы согласий, технические и организационные меры защиты.
Своевременно подайте (или обновите) уведомление в РКН: Убедитесь, что ваше уведомление содержит актуальную и полную информацию.
Следите за разъяснениями РКН: РКН будет публиковать разъяснения по применению новых норм закона.

Важно понимать: это задача не для одного специалиста. Только совместные усилия юриста, IT-службы и службы безопасности могут обеспечить комплексный и эффективный подход. В следующих постах я обязательно объясню, почему.

Не ждите крайнего срока!

Я – юрист по персональным данным в крупном холдинге. Моя задача – подготовить до 30 мая 2025 года порядка 70 компаний которые ранее не вели подобную работу. По сути, мы начинаем с нуля. Знаю что многие сейчас столкнулись с той же проблемой: что делать? С чего начать? Как сделать все официально и избежать штрафов?

Поэтому буду сама оформлять организации как операторов персданных и делиться с вами своим опытом.

В следующих публикациях я подробно расскажу о каждом из этих пунктов, опишу свой алгоритм действий и поделюсь практическими советами.