С 30 мая 2025 года в Российской Федерации вступают в силу новые, ещё более строгие меры ответственности за нарушения в сфере обработки персональных данных. Эти изменения охватывают широкий круг субъектов, осуществляющих предпринимательскую деятельность, поскольку большинство из них, так или иначе, являются операторами персональных данных (ПД).
Для самозанятых, индивидуальных предпринимателей, учредителей и директоров компаний обработка персональных данных является неотъемлемой частью их профессиональной деятельности. К числу персональных данных относятся:
- Информация о клиентах, содержащаяся в договорах, заявках и деловой переписке;
- Базы данных о записях на приём или оказание услуг;
- Персональные данные сотрудников, включая паспортные данные, СНИЛС, ИНН, адресные и контактные данные;
- Информация, собранная через контактные формы на веб-сайтах и в социальных сетях;
- Списки участников мероприятий и подписчиков информационных рассылок.
Согласно Федеральному закону №152-ФЗ, любая деятельность, связанная со сбором, хранением, передачей или обработкой персональных данных, требует соблюдения определённых законодательных требований. Это включает в себя разработку и внедрение политики обработки ПД, получение согласия субъектов данных, реализацию мер по обеспечению безопасности данных и обязательное уведомление Роскомнадзора о начале обработки персональных данных.
С 30 мая 2025 года санкции за несоблюдение этих требований значительно ужесточаются. В частности, непредставление уведомления об обработке персональных данных в Роскомнадзор квалифицируется по части 10 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ) и влечёт за собой следующие штрафы:
- Для физических лиц — от 5 000 до 10 000 рублей;
- Для должностных лиц — от 30 000 до 50 000 рублей;
- Для индивидуальных предпринимателей — от 100 000 до 300 000 рублей;
- Для юридических лиц — от 100 000 до 300 000 рублей.
Для предотвращения привлечения к ответственности рекомендуется заблаговременно направить уведомление в Роскомнадзор. Это можно сделать через официальный сайт ведомства, портал государственных услуг или почтовым отправлением в территориальное подразделение Роскомнадзора. После получения уведомления, Роскомнадзор осуществляет внесение организации в реестр операторов персональных данных, что обычно занимает до 30 дней. Только после внесения в реестр становится возможным законная обработка персональных данных.
Важно отметить, что ужесточение штрафных санкций является не просто формальным актом, а свидетельствует о повышении уровня контроля за соблюдением законодательства в сфере персональных данных. В связи с этим, тем, кто ещё не привёл свою деятельность в соответствие с требованиями закона, рекомендуется оперативно предпринять необходимые меры для минимизации рисков и обеспечения соответствия нормативно-правовым требованиям.