Главное за неделю в рассылке
«Что делать Юристу»
Новости профессионального комьюнити и лучшие материалы
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности
Как изменились штрафы за ошибки в работе с персданными
С 30 мая 2025 года штрафы выросли в 3-5 раз, а еще для многих нарушений появились самостоятельные составы. Главные поправки такие:
1. Увеличили штраф за неподачу уведомления о начале обработки персональных данных в Роскомнадзор. Например, юрлица уплатят от 100 тыс. до 300 тыс. рублей. А старая вилка штрафа была для них 3 тыс. – 5 тыс. рублей.
Важно
Уведомление должны подать все, у кого есть хотя бы один работник или клиент-физлицо. Это касается компаний, ИП, самозанятых, адвокатов, нотариусов и т. д. Исключений по организационно-правовой форме нет.
2. Кратно выросли штрафы за утечку персональных данных. Максимальное наказание теперь 15 млн рублей, а при повторных утечках компаниям и ИП грозит штраф от 1 % до 3% от годовой выручки. У оборотного штрафа есть минимальный порог 20 млн рублей и максимальный — 500 млн рублей.
3. Ввели уголовную ответственность за незаконное использование компьютерной информации, которая содержит персональные данные. Практики пока нет, но эксперты говорят, что статья сформулирована максимально расплывчато. Максимальное наказание по этой статье — 8 лет лишения свободы.
Напомню основные требования к работе с персональными данными, чтобы вы не попали на штраф.
Как работать с персданными: главное
Разберу самые важные обязанности, за нарушения по которым штрафуют чаще всего.
1. Оператор должен подать уведомление о начале обработки персональных данных. Все, кто так или иначе работают с данными хотя бы одного физлица, считаются операторами персональных данных. Даже если вы просто эти данные храните. Такие предприниматели должны встать в реестр операторов персональных данных.
Для этого нужно подать в Роскомнадзор уведомление о начале обработки персональных данных. Удобнее всего через сайт Роскомнадзора, но нужна электронная подпись.
Подробнее о том, как правильно уведомить контролеров и что делать потом, читайте в отдельной статье.
2. В компании и на сайте должен быть необходимый комплект документов. Как минимум это согласия на обработку данных, когда они нужны, Положение об обработке персональных данных, cookie-баннеры и чек-бокс для получения согласия на сайте и т. д.
Поделюсь, как быстро составить корректное и заточенное под ваш бизнес Положение об обработке персональных данных. Зайдите в КонсультантПлюс или оформите демодоступ от Что делать Консалт. На главной странице в профиле «Юрист» увидите Конструктор договоров, в котором есть и нужное положение. Дальше просто заполните онлайн-форму и получите готовый безопасный документ.
3. Нужно помнить о категориях персональных данных. Все данные делятся на три группы:
- обычные: Ф. И. О., телефон, e-mail, адрес и т. д.;
- специальные: информация о здоровье, религии, политических взглядах, судимостях и т. п.;
- биометрические: лицо, голос, отпечатки пальцев, сетчатка, ДНК и т. д.
Для каждой группы действуют отдельные требования по получению согласия и обезличиванию данных.
4. Серверы, где хранятся персональные данные, должны находиться на территории России. Использовать иностранные облачные сервисы, такие как Google Analytics, Meta Pixel, Hotjar и т. д., нельзя. За это штрафуют до 18 млн рублей.
Если компания планирует передавать персональные данные за рубеж, для этого нужно получить специальное разрешение. Как это сделать ― тоже читайте в статье.
5. Электронные операции с персональными данными нужно защищать. Используйте средства криптографической защиты, которые утверждены правительством. Ориентируйтесь на Приказ ФСБ от 09.02.2005 № 66.
6. Об утечке персональных данных нужно уведомить Роскомнадзор в течение 24 часов. А в течение 72 часов с момента утечки нужно провести внутреннее расследование и подать повторное уведомление.
Кто должен соблюдать требования к работе с персданными
Требования к работе с персданными касаются всех, кто так или иначе собирает, хранит или обрабатывает персональные данные:
- компании и ИП, у которых есть клиентские базы, CRM, программы лояльности;
- владельцы сайтов, даже если они собирают только e-mail для рассылки;
- работодатели, обрабатывающие данные сотрудников и кандидатов;
- банки, медицинские учреждения, онлайн-магазины, HR-агентства и т. д.;
- иностранные компании, работающие с гражданами России и другие.
Что проверить, чтобы не оштрафовали за ошибки по персданным
Советую такие практические шаги для бизнеса:
1. Проведите аудит процессов обработки данных. Проверьте наличие и актуальность документов по обработке персональных данных: политика, регламенты, журналы обращений и т. д.
2. Введите журнал обращений. Фиксируйте в нем все запросы сотрудников и третьих лиц на удаление, изменение или доступ к данным.
3. Разработайте четкий регламент действий при утечке данных. Сроки для уведомления Роскомнадзора об утечке очень сжатые, поэтому все сотрудники должны заранее знать, что делает каждый из них.
4. Проверьте наличие согласий на обработку персданных, когда они нужны. Заодно проверьте, актуальны ли у вас формы согласий. Для обработки специальных и биометрических данных возьмите отдельное письменное согласие. На рассылки и получение рекламы тоже должно быть самостоятельное согласие.
5. Проверьте, уведомляли ли вы Роскомнадзор о начале обработки персональных данных. Уведомить Роскомнадзор нужно до начала обработки, то есть сразу после создания компании или регистрации ИП.
6. Локализуйте хранение данных. Удостоверьтесь, что базы данных и сервисы находятся на российских серверах. Откажитесь от использования иностранных облачных платформ, не имеющих разрешения Роскомнадзора.
7. Назначьте ответственного за работу с персональными данными. Это может быть любой сотрудник компании, но главное, чтобы у него были организационно-распорядительные полномочия. Например, назначить ответственным дворника можно, но за все нарушения всё равно будет отвечать руководитель.
8. Обучите сотрудников. Расскажите о новых штрафах, напомните правила работы с персональными данными.
Сайт компании: что проверить
Роскомнадзор может изучить сайт компании в любой момент, он не обязан предупреждать компанию о такой проверке. Удостоверьтесь, что на вашем сайте:
1. Актуальные формы согласий на обработку персданных. Важно, что в них не должно быть предзаполнения. Человек должен сам поставить галочку в поле «Согласен».
2. Размещена политика конфиденциальности или политика обработки персональных данных. Она не должна противоречить остальным документам по персональным данным.
3. Есть cookie-баннеры, если вы собираете куки. Особенно важно разместить такой баннер, если собранные данные затем используют для настройки рекламы под конкретного человека.
4. Удостоверьтесь, что не используете зарубежные сервисы аналитики. Считается, что это трансграничная передача персональных данных.
У оператора персональных данных есть еще много сложных обязанностей: правильно хранить данные, в некоторых случаях уточнять или блокировать, отвечать на запросы о предоставлении данных, прекращать обработку. Чтобы избежать ошибок, изучите Готовое решение КонсультантПлюс по своему доступу или оформите пробный от Что делать Консалт на два дня.
