С 30 мая 2025 года в России вступают в силу новые требования к обработке персональных данных. Компании, индивидуальные предприниматели и должностные лица теперь несут более жёсткую ответственность за их защиту. Чтобы не попасть под санкции, нужно срочно пересмотреть подход к защите данных клиентов и сотрудников.
О какой обработке персональных данных идет речь?
Персональные данные – это любая информация, относящаяся к конкретному человеку: ФИО, дата рождения, паспортные данные, адрес, телефон, электронная почта, сведения о семейном положении, доходах и т. д.
Кто является оператором персональных данных?
Любая организация или предприниматель, которые в своей деятельности собирают, хранят и обрабатывают персональные данные, автоматически становятся операторами. Это касается:
- работодателей, которые ведут учёт сотрудников и начисляют зарплату;
- магазинов и сервисов, принимающих заказы и оформляющих доставку;
- клиник, обрабатывающих медицинские данные пациентов;
- любых организаций и ИП, использующих базы клиентов, рассылки или CRM-системы.
Примечание: до 1 сентября 2022 года Федеральный закон №152-ФЗ "О персональных данных" предусматривал исключения, позволяющие работодателям обрабатывать персональные данные сотрудников без уведомления Роскомнадзора. Однако теперь уведомление обязательно для всех, кто использует автоматизированные системы для работы с персональными данными.
Что изменится в 2025 году и на что обратить внимание?
С 30 мая 2025 года значительно ужесточается контроль за обработкой персональных данных. Основные изменения:
- Повышенные штрафы за нарушение требований закона.
- Ответственность ИП наравне с организациями.
- Ужесточённые требования к защите персональных данных.
Основные штрафы с мая 2025 г.:
|
Нарушение |
Организации и ИП |
|
Обработка персональных данных без правового основания |
100 000 – 300 000 руб. |
|
Обработка без согласия субъекта (если оно требуется) |
300 000 – 700 000 руб. |
|
Нарушение правил локализации баз данных в РФ |
1 000 000 – 6 000 000 руб. |
|
Несоблюдение требований к защите персональных данных |
30 000 – 100 000 руб. |
|
Утечка персональных данных (от 1 000 до 10 000 субъектов) |
3 000 000 – 5 000 000 руб. |
|
Утечка персональных данных (от 10 000 до 100 000 записей) |
5 000 000 – 10 000 000 руб. |
|
Утечка персональных данных (более 100 000 записей) |
10 000 000 – 15 000 000 руб. |
|
Несвоевременное уведомление Роскомнадзора о начале обработки |
100 000 – 300 000 руб. |
|
Несвоевременное уведомление Роскомнадзора об утечке данных |
1 000 000 – 3 000 000 руб. |
|
Незаконное использование или передача данных (ст. 272.1 УК РФ) |
Уголовная ответственность до 4 лет лишения свободы |
Примечание: повторные нарушения влекут за собой более строгие наказания, включая оборотные штрафы за массовую утечку данных в размере от 1% до 3% совокупного годового дохода компании, но не менее 20 000 000 рублей и не более 500 000 000 рублей.
Для физических и должностных лиц также предусмотрены штрафы за аналогичные нарушения. Например, за обработку персональных данных без правового основания физическим лицам грозит штраф от 10 000 до 15 000 рублей, а должностным лицам — от 50 000 до 100 000 рублей. За повторные нарушения размеры штрафов увеличиваются.
Указанные изменения, внесённые в КоАП РФ, начнут действовать с 30 мая 2025 года. Таким образом, привлечение к ответственности по новым правилам будет возможно только с этой даты.
Как избежать штрафов? Чем нужно заняться и на что обратить внимание прямо сейчас?
1. Разработка и утверждение политики или положения об обработке и защите персональных данных:
Создайте внутренний документ, регламентирующий порядок обработки и защиты персональных данных в вашей организации (ИП).
2. Публикация информации о политике обработки персональных данных:
Разместите на официальном сайте сведения о вашей политике в отношении обработки персональных данных, обеспечив открытый доступ к этой информации.
3. Разработка регламентов по работе с персональными данными:
Определите процедуры и инструкции для сотрудников, связанные с обработкой персональных данных, включая порядок их сбора, хранения, использования и уничтожения.
4. Получение письменного согласия от сотрудников на обработку их персональных данных:
Обеспечьте получение от каждого сотрудника письменного согласия на обработку его персональных данных, за исключением случаев, предусмотренных законодательством.
В соответствии с российским законодательством работодатели могут обрабатывать персональные данные сотрудников без их письменного согласия, если это необходимо для выполнения обязанностей, установленных законом (например, ведение кадрового учёта или начисление заработной платы). Однако для использования данных в иных целях или передачи третьим лицам требуется письменное согласие работника. Это согласие должно быть конкретным, информированным и добровольным, оформленным согласно статье 9 Федерального закона № 152-ФЗ "О персональных данных". Таким образом, работодателю следует оценить цели обработки данных и, при необходимости, получить соответствующее согласие сотрудников.
5. Назначение ответственных за обработку персональных данных:
Приказом назначьте лиц, ответственных за обработку персональных данных, указав их контактные данные (телефон, почтовый адрес, электронная почта).
6. Утверждение списка лиц, имеющих доступ к персональным данным:
Приказом утвердите перечень сотрудников, имеющих доступ к персональным данным, и определите их обязанности.
7. Ознакомление работников с локальными нормативными актами:
Обеспечьте ознакомление сотрудников под подпись с внутренними документами, устанавливающими порядок обработки персональных данных.
8. Проведение регулярного обучения сотрудников:
Проводите регулярные обучающие мероприятия для сотрудников, занимающихся обработкой персональных данных, разъясняя им актуальные требования законодательства и внутренние процедуры.
9. Сбор только необходимой информации:
Собирайте и обрабатывайте только те персональные данные, которые необходимы для достижения конкретных целей, избегая избыточности.
10. Предоставление информации субъектам персональных данных:
По запросу предоставляйте субъектам персональных данных информацию о том, какие данные о них обрабатываются, цели и правовые основания такой обработки.
11. Удаление данных по требованию:
Удаляйте персональные данные из рассылок и других баз по первому требованию субъекта данных, если иное не предусмотрено законодательством.
12. Уничтожение персональных данных по окончании использования:
Регулярно уничтожайте персональные данные по окончании их использования, документируя процесс уничтожения.
13. Обеспечение безопасности хранения баз данных:
Храните базы данных в защищённых местах и применяйте меры информационной безопасности для предотвращения несанкционированного доступа.
14. Уведомление Роскомнадзора о начале обработки персональных данных:
До начала обработки персональных данных уведомьте Роскомнадзор о своем намерении, за исключением случаев, предусмотренных законодательством.
15. Регистрация в Роскомнадзоре:
Если вы уже обрабатываете персональные данные, но не подавали уведомление, зарегистрируйтесь в Роскомнадзоре в установленном порядке.
16. Своевременное обновление информации в Роскомнадзоре:
Подавайте в Роскомнадзор уведомления об изменениях в ранее предоставленных данных, связанных с обработкой персональных данных.
17. Уведомление об утечке персональных данных:
Незамедлительно сообщайте в Роскомнадзор об утечке персональных данных или возникновении угрозы такой утечки.
Реализация указанных мер поможет вашей организации соответствовать требованиям законодательства Российской Федерации в области защиты персональных данных, избежать штрафов и сохранить репутацию компании (ИП).
