Актуальные нормативы обработки персональных данных: изменения и последствия
Организации занимаются обработкой персональных данных, когда создают базу клиентов, оформляют договоры или размещают на сайте формы обратной связи с полями для имени, телефона и электронной почты. Юридически такие организации считаются операторами, поэтому слова «компания» и «оператор» в контексте документа являются взаимозаменяемыми. Принципы работы с данными едины для всех: контрагентов, клиентов и пользователей, поэтому мы обобщенно называем их контрагентами.
В данном правовом заключении не затрагиваются процедуры, связанные с обработкой данных работников. Для этого существуют отдельные документы, которые вы можете использовать.
Обработка персональных данных охватывает любой вид работы с ними: сбор, хранение, передачу, обезличивание и уничтожение (п. 3 ст. 3 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», обозначается как Закон № 152-ФЗ). Правовое заключение структурировано на разделы: сначала описываются единоразовые действия операторов — уведомление Роскомнадзора и создание системы защиты данных. В последующих разделах изложена организация операций по обработке данных, ориентируйтесь по ним. Если хотите, например, передать данные, ищите нужный раздел, либо, если требуется уничтожение данных, переходите к соответствующему. Для оценки рисков при ограниченном времени обратите внимание на ужесточенные меры в ответственности за утечки данных.
С 30 мая 2025 года вступят в силу новые нормы для операторов персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ). Нарушение правил может обернуться штрафом до 500 млн руб. для общедоступных данных и лишением свободы до пяти лет для специальных категорий.
В новый закон внесены многочисленные изменения относительно ответственности за неправомерные действия с данными.
- Повышены штрафы за нарушение норм обработки.
- Введены штрафы за неуведомление Роскомнадзора о начале обработки или утечке данных.
- Размер штрафа за первичную утечку зависит от её объема.
- Установлены оборотные штрафы для утечек персональных данных.
- Введены отдельные штрафы за утечки биометрических и специальных данных.
Компании грозят штрафы до 3 млн руб. за несообщение в Роскомнадзор. Ранее санкции накладывались только при обнаружении нарушений со стороны ведомства и отсутствовали при отсутствии уведомления об утечке. Теперь, с 30 мая 2025 года, недоносение до Роскомнадзора информации о начале обработки или утечке данных обойдется в значительную сумму. Подробности о сроках и способах уведомления представлены в первой части рекомендаций.
С 30 мая Роскомнадзор внедряет новые регуляции для расчета штрафов за первоначальные утечки личных данных, где размер штрафа будет зависеть от объема утечки. Для повторных нарушений введены оборотные санкции. Подробности о суммах штрафов представлены в таблице, а советы по предотвращению утечек — в разделе рекомендации.
Таблица 2. Суммы штрафов за начальную утечку персональных данных в зависимости от масштаба утечки:
| Количество утекшей информации | Граждани | Должностные лица | Компании |
| От 1000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов | от 100 тыс. до 200 тыс. руб. | от 200 тыс. до 400 тыс. руб. | от 3 млн. до 5 млн. руб. |
| От 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов | от 200 тыс. до 300 тыс. руб. | от 300 тыс. до 500 тыс. руб. | от 5 млн. до 10 млн. руб. |
| Более 100 000 субъектов или более 1 000 000 идентификаторов | от 300 тыс. до 400 тыс. руб. | от 400 тыс. до 600 тыс. руб | от 10 млн. до 15 млн. руб. |
При повторных утечках для компаний предусмотрены оборотные штрафы в размере от 1% до 3% от годового дохода, но не менее 20 млн руб. и не более 500 млн руб.
Таблица 3. Штрафы за повторные утечки данных:
| Тип нарушения | Нарушитель | Размер штрафа |
| Вторичная утечка данных персонального характера | Граждане | от 400 тыс. до 600 тыс. руб |
| Должностные лица | от 800 тыс. до 1 млн. руб | |
| Компании | от 1 до 3% от годового дохода, минимум 20 и максимум 500 млн руб | |
| Вторичная утечка данных специальных и биометрических категорий | Граждане | от 500 тыс. до 800 тыс. руб. |
| Должностные лица | от 1.5 млн. до 2 млн. руб | |
| Компании | от 1 до 3% от годового дохода, минимум 25 и максимум 500 млн руб. |
Для утечек специальных или биометрических данных предусмотрены штрафы до 20 млн руб. До изменений все данные штрафовались одинаково, но с 30 мая штрафы разделены по категории данных.
Таблица 4. Штрафы за утечку биометрических и специальных категорий данных:
| Тип нарушения | Нарушитель | Размер штрафа |
| Утечка специальных данных персонального характера | Граждане | от 300 тыс. до 400 тыс. руб. |
| Должностные лица | от 1 млн. до 1.3 млн. руб | |
| Компании | от 10 млн. до 15 млн руб. | |
| Утечка биометрических данных | Граждане | от 500 до 800 тыс. руб |
| Должностные лица | от 1.3 млн. до 1.5 млн руб | |
| Компании | от 15 млн. до 20 млн. руб |
С 11 декабря 2024 года за незаконные действия с компьютерной информацией, содержащей данные, предусмотрена уголовная ответственность. Закон, подписанный президентом, устанавливает наказание в виде штрафов или лишения свободы для таких нарушений.
За нарушения, касающиеся данных специальных или биометрических категорий, предусмотрены более строгие меры, включая штраф до 700 тыс. руб. или тюремное заключение на срок до пяти лет.
Если нарушение привело к серьезным последствиям или было совершено организованной группой, нарушителю грозит наказание до десяти лет лишения свободы и штраф до 3 миллионов рублей.
Статья не касается обработки персональных данных физлицами для личных или семейных целей (Федеральный закон от 30.11.2024 № 421-ФЗ, ст. 272.1 УК).
Как уведомить Роскомнадзор
В этом разделе описаны ситуации, требующие уведомления Роскомнадзора:
- при начальной обработке персональных данных;
- при передаче данных за границу третьим лицам;
- при изменении информации об операторе и его деятельности;
- при утечке данных;
- при прекращении деятельности.
Шаблоны уведомлений и рекомендации по их заполнению доступны в Навигаторе.
Уведомление о начале обработки данных
Уведомить Роскомнадзор о начале обработки данных необходимо, если организация использует компьютерную технику. С 30 мая за неуведомление предусмотрено наказание. Если обработка данных осуществляется на бумажных носителях, уведомление не требуется — переходите к следующему разделу.
Для уведомления Роскомнадзора и регистрации в качестве оператора персональных данных необходимо заполнить стандартную форму (приказ Роскомнадзора от 28.10.2022 № 180, далее – Приказ № 180) на сайте РНК. Уведомление можно подать в бумажном виде или через интернет. Выбор способа зависит от оператора.
При подаче на бумаге необходимо зарегистрироваться на сайте РНК, заполнить и распечатать уведомление, подписанное директором, и направить его лично или по почте заказным письмом с уведомлением. Уведомление о начале обработки следует подавать в территориальный орган Роскомнадзора в двух экземплярах. Один экземпляр остается у ведомства, второй возвращается с отметкой о принятии. Подача бумажного уведомления занимает время.
Через интернет процесс быстрее, но нужно иметь программу или подтвержденную учетную запись на портале Госуслуг. Программу можно скачать с сайта ведомства. Этот метод подходит, если у компании или представителя есть усиленная квалифицированная электронная подпись.
Ответственным за подачу уведомления о начале обработки данных должно быть назначено лицо компании, например, специалист отдела кадров.
