30 июня 2025 года
- С 30 мая 2025 года вступают в силу новые штрафы за утечку персональных данных. Какие основные изменения в законодательстве о защите персональных данных Вы можете выделить?
- В новой редакции Кодекса об административных правонарушениях вводятся различные виды ответственности за нарушения при работе с персональными данными. Штрафы грозят, например, за несвоевременное или полное отсутствие уведомления уполномоченного органа о начале обработки персональных данных или инцидентах, связанных с утечкой такой информации. Вводится ответственность за утечку как персональных данных общих и специальных категорий, так и биометрических персональных данных.
При этом ужесточается ответственность за нарушение законодательства в области персональных данных. Увеличены размеры штрафов как для физических, так и должностных и юридических лиц за незаконную обработку персональных данных или обработку, которая не соответствует заявленным целям. Теперь штраф для граждан составит от 10 до 15 тыс. рублей, для должностных лиц – от 50 до 100 тыс. рублей, а для юридических лиц – от 150 до 300 тыс. рублей. Дополнительные, более строгие санкции предусмотрены за их повторную утечку.
- Какие штрафные санкции ждут нарушителей? Каковы различия в штрафах за утечку обычных и специальных категорий данных?
- За невыполнение или несвоевременное уведомление Роскомнадзора об утечке персональных данных для физических лиц предусмотрен штраф от 50 до 100 тыс. рублей. Для должностных лиц он составит от 400 до 800 тыс. рублей, а для юридических лиц – от 1 до 3 млн рублей.
Для общих персональных данных размер штрафа зависит от объема утекшей информации. Для физических лиц сумма штрафа может составить от 100 до 400 тыс. рублей. Для должностных лиц – от 200 до 600 тыс. рублей. Для юридических лиц – уже от 1 млн до 15 млн рублей.
Повторная утечка общих персональных данных повлечет за собой более существенные штрафы. Для физических лиц он может составить от 300 до 400 тыс. рублей, для должностных – от 800 тыс. до 1 млн 200 тыс. рублей. Для юридических лиц штраф будет начислен в размере от 1 до 3 процентов от выручки за предыдущий год, но не менее 25 и не более 500 млн рублей.
В свою очередь, утечка специальных категорий персональных данных повлечет за собой штраф для физлиц в размере от 300 до 400 тыс. рублей. Для должностного лица он составит от 1 млн до 1 млн 300 тыс. рублей. Юрлица в данном случае будут оштрафованы на сумму в размере от 10 до 15 млн рублей.
Отдельно за утечку биометрических персональных данных предусмотрен штраф для физлиц в размере от 400 до 500 тыс. рублей, для должностных – от 1 млн 300 тыс. до 1 млн 500 тыс. рублей. Юридические лица будут оштрафованы на сумму от 15 до 20 млн рублей.
Любая повторная утечка специальных или биометрических персональных данных влечет за собой максимальные штрафы. Для физлиц он составит от 500 до 800 тыс. рублей, для должностных – от 1 миллиона 500 тыс. до 2 млн рублей. Для юридических лиц, как и в случае с общими персональными данными, – в размере от 1 до 3 процентов выручки за предыдущий год либо от 25 до 500 млн рублей.
- Какие конкретные требования должны быть прописаны в локальных актах компаний и непосредственно политике конфиденциальности для соблюдения законодательства о персональных данных, и какова ответственность за их несоблюдение?
- Оператор, который ведёт или собирается вести обработку персональных данных, должен выполнить ряд мер, – все они есть в статье 18.1 Федерального закона «О персональных данных». Прежде всего, необходимо разработать и опубликовать политику обработки персональных данных и принять внутренние документы, определяющие порядок предотвращения, выявления и устранения нарушений законодательства. Если оператором выступает юридическое лицо – назначить ответственного за организацию этого процесса.
Законодательство обязывает оператора публиковать политику обработки персональных данных при сборе информации через сайт. Это должно быть доступно на сайте и дублироваться на каждой странице, где ведётся сбор персональных данных. Политика, в свою очередь, максимально полно описывает все процессы обработки персональных данных. Документ, таким образом, даёт пользователю представление, с какой целью оператор собирает и обрабатывает его личные данные.
В политике обработки персональных данных, в частности, должны быть подробно описаны цели, перечень данных, порядок и сроки этой процедуры. А именно, какие категории и перечень персональных данных обрабатываются, к каким категориям относятся субъекты, чьи данные используют, каким образом и в какие сроки проводится обработка и хранение. Обязательно должно быть указано, каким образом происходит уничтожение данных после обработки или при наступлении иных законных оснований.
Это необходимо для оценки деятельности оператора не только со стороны субъектов персональных данных, но и контролирующих органов. За нарушение или невыполнение обязательств предусмотрена административная ответственность. За подобные нарушения, которые описаны в части 3 статьи 13.11 КоАП РФ, для физических лиц предусмотрен штраф от 1,5 до 3 тыс. рублей. Для должностных он составит от 6 до 12 тыс. рублей, а для юридических – от 30 тыс. до 60 тыс. рублей.
- Как правильно организовать процесс получения согласий на обработку персональных данных от работников и клиентов? Каковы последствия за некорректное оформление этих согласий?
- Процедуру получения согласия на обработку персональных данных определяет конкретный оператор. Однако есть общие правила, которые необходимо соблюдать. Прежде всего, согласие на обработку персональных данных должно быть добровольным: человек предоставляет его самостоятельно, без какого-либо принуждения. Необходимо, чтобы согласие было конкретным, предметным, информированным, сознательным и однозначным.
В документе должны быть четко указаны цели обработки данных, их перечень, сроки и процедура отзыва. Письменное согласие на обработку персональных данных необходимо в ряде случаев. Это относится к ведению открытых баз данных и обработке особых категорий данных, включая биометрические. Кроме того, в случае автоматизированных решений, затрагивающих права и интересы человека.
Во всех этих ситуациях согласие должно быть оформлено в строгом соответствии с требованиями, которые изложены в части 4 статьи 9 Федерального закона «О персональных данных». Важно учитывать, что нарушение правил получения согласия на обработку персональных данных повлечет административную ответственность. Это касается случаев, когда оператор не получает письменное согласие, если оно требуется, или когда предоставленное согласие не соответствует другим законным требованиям.
Важно помнить, что согласие – универсальное, но не единственное условие для обработки личной информации. К примеру, при заключении договора с субъектом персональных данных документ одновременно может быть правовым основанием для их обработки. Основание обработки персональных данных у нас закреплено действующим законодательством: трудовым, налоговым, в сфере бухгалтерского или воинского учета.
- С 1 июля 2025 года будет запрещена передача персональных данных заграницу. Какие рекомендации Вы можете дать компаниям для соблюдения этого требования?
- Под обработкой персональных данных мы понимаем любое действие, которое совершается как автоматизированно, так и без использования технических средств. Это сбор, запись, систематизация, хранение, изменение, извлечение, обработка, передача, обезличивание, блокирование, удаление и уничтожение личной информации. Упомянутый запрет касается конкретно сбора персональной информации базами данных за пределами России.
Если быть точнее, то закон запрещает сбор данных о российских гражданах, в том числе через интернет, с использованием баз данных, расположенных за пределами Российской Федерации. При этом трансграничная передача персональных данных законодательно не запрещена. Она осуществляется в соответствии с требованиями статьи 12 152-го федерального закона. В частности, оператор, который планирует такую деятельность, должен уведомить Роскомнадзор о своем намерении.
- Какова процедура регистрации организаций, предпринимателей, самозанятых в реестре операторов персональных данных? Каковы последствия за отсутствие такой регистрации?
- Перед началом обработки персональных данных оператор обязан сообщить об этом в специально уполномоченный орган. Уведомление подается в заполненной форме на портале персональных данных. Порядок регистрации операторов закреплен в статье 22 Федерального закона «О персональных данных».
С 30 мая вступают в силу изменения в Кодекс об административной ответственности. В новой редакции статьи 13.11 КоАП РФ за невыполнение или несвоевременное выполнение обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных оператор может быть привлечен к административной ответственности.
- Какие меры безопасности Вы рекомендуете для снижения риска утечек персональных данных? Как компании могут защитить себя от возможных штрафов за утечки?
- Прежде всего, следует строго ограничить объем собираемой и обрабатываемой информации. Использовать лишь те данные, которые действительно необходимы для оказания услуг или ведения деятельности. Не менее важно обеспечить раздельное хранение различных категорий персональных данных. Особенно тех, чьи цели обработки несовместимы. Идентификаторы, которые позволяют установить личность субъекта и данные о его взаимодействии с сервисами, должны храниться в изолированных базах данных, не связанных между собой. Роскомнадзор рекомендует использовать синтетические идентификаторы – они исключают прямую идентификацию субъекта.
Недопустимо накопление данных на всякий случай. Нужно своевременно уничтожать информацию сразу после достижения цели ее обработки. Для максимальной безопасности данных следует использовать исключительно собственные технические и программные средства. Передача обработки данных третьим лицам, как мы понимаем, не освобождает от ответственности, но при этом ослабляет контроль над ситуацией.
Компаниям необходимо внедрять строгие меры физического контроля доступа, чтобы не было компрометации данных со стороны внутренних нарушителей. Для надлежащей защиты персональных данных следует назначить ответственное лицо и наделить его соответствующими полномочиями. Строгое следование правилам и срокам обработки и хранения данных, своевременное уничтожение или обезличивание информации – минимизируют риски утечек и обеспечат защиту конфиденциальности.
О любых признаках или фактах утечки персональных данных следует незамедлительно сообщать в Роскомнадзор. В случае утечки данных необходимо заполнить установленную форму на портале персональных данных. Уведомление о неправомерной передаче данных, которое повлекло за собой нарушение прав субъектов, должно быть направлено в Роскомнадзор в течение 24 часов с момента инцидента, а в течение 72 часов – предоставлена информация о результатах внутреннего расследования.