С конца мая 2025 года в России вступают в силу изменения в КоАП, касающиеся ответственности за нарушение правил работы с персональными данными. Нововведения напрямую затрагивают компании, индивидуальных предпринимателей, самозанятых и всех, кто получает, хранит или обрабатывает информацию о физических лицах.
Что изменится с 30 мая
Главное — ужесточение санкций. Например, за начало работы с персональными данными без уведомления Роскомнадзора юридическим лицам будет грозить штраф до 300 тысяч рублей, а за утечку данных более 100 тысяч человек — до 15 миллионов рублей. Речь идёт не только о коммерческих компаниях, но и о некоммерческих, государственных и образовательных учреждениях.
Как рассказала юрист, руководитель юридического бюро "Звезда-Астра" Надежда Курбатова в разговоре с изданием "Деловой квадрат", "даже ФИО, записанная охранником на входе в офис, может стать основанием для признания вашей организации оператором персональных данных". Соответственно, требуется официальное уведомление Роскомнадзора и соблюдение всех требований к обработке таких данных.
Кого это касается
– Работодателей, обрабатывающих данные сотрудников, кандидатов и бывших работников;
– Медицинских и образовательных учреждений;
– Логистических и курьерских служб, получающих контакты клиентов;
– Складов, бизнес-центров, где фиксируются данные посетителей;
– Самозанятых и ИП, работающих с физлицами.
Даже один заключённый договор с физическим лицом — повод подать уведомление в Роскомнадзор о начале обработки данных. Сделать это можно онлайн (через портал Госуслуг, сайт РКН или письмом по почте). После подачи уведомления ведомство в течение 30 дней вносит организацию в открытый реестр операторов.
Если ваша компания прекращает обработку персональных данных, об этом тоже надо уведомить РКН в течение 10 рабочих дней.
Какие штрафы появятся
За отсутствие уведомления о начале обработки:
– для граждан — от 5 до 10 тыс. руб.;
– для должностных лиц — от 30 до 50 тыс. руб.;
– для организаций и ИП — от 100 до 300 тыс. руб.
За утечку данных:
от 3 до 15 млн рублей для компаний — в зависимости от количества пострадавших (от 1 до 100 тыс. человек и более).
За повторную передачу данных без согласия:
– до 600 тыс. руб. для физлиц;
– до 1,2 млн руб. для должностных лиц;
– до 3% от годовой выручки — для организаций.
За неуведомление об утечке:
– до 3 млн рублей для юрлиц (уведомить нужно в течение 24 часов с момента инцидента).
Что нужно сделать, чтобы избежать штрафов
– Зарегистрировать организацию в реестре операторов персональных данных.
– Назначить ответственного за обработку.
– Получать письменные согласия от сотрудников, клиентов, подрядчиков и других лиц.
– Вести учёт изменений в способах и целях обработки данных и своевременно уведомлять РКН.
В случае утечки:
– в течение суток сообщить об этом в Роскомнадзор;
– в течение 72 часов провести внутреннее расследование и направить результаты в ведомство.
Уголовная ответственность тоже действует
С декабря 2024 года вступили в силу поправки в Уголовный кодекс (статья 272), предусматривающие наказание за неправомерный доступ к компьютерной информации с персональными данными. В зависимости от последствий — штраф до 1 млн рублей, исправительные работы или лишение свободы до 6 лет.
Итог: сегодня практически каждый бизнес так или иначе работает с персональными данными. Закон требует не только уведомлять Роскомнадзор, но и обеспечивать безопасность хранения информации. Новые штрафы — это сигнал к тому, чтобы не откладывать оформление документов "на потом".
Фото: Николай Сысоев
Обсуждение ( 0 ) Посмотреть все