⁉️ Что случилось. С 30 мая 2025 года в разы увеличатся штрафы за нарушения в работе с персональными данными (ПД). Правительство ужесточило административную ответственность за несоблюдение правил обработки ПД и ввело многомиллионные штрафы за незаконную передачу личной информации физлиц.
Основание — закон от 30.11.2024 № 420-ФЗ.
Если вы думаете, что все это вас не касается — вы сильно заблуждаетесь. Сделали разбор с основными терминами и правилами, чтобы вы точно знали, что относится к персональным данным и что с ними делать, чтобы не попасть на штраф в 15 млн руб.
Разберемся с терминами
Что такое персональные данные. Это любая информация, которая так или иначе касается физлица.
Что относится к персональным данным:
ФИО;
данные паспорта;
дата и место рождения;
адрес регистрации и проживания;
ИНН;
СНИЛС;
информация об образовании, профподготовке и квалификации;
сведения о семейном статусе;
информация о трудовой деятельности;
медицинские данные.
Обработка персональных данных — любые действия с информацией о физлице. Например — получение, систематизация, хранение, использование, уточнение, передача, уничтожение.
Кто такой оператор персональных данных. Это те, кто получает, хранит и использует ПД.
Кто относится к операторам персональных данных:
организации, ИП, физические лица, которые собирают информацию через мессенджеры, соцсети, формы и CRM-системы;
все, кто собирает номера телефонов, электронные почты, имена и адреса;
владельцы сайтов с формами обратной связи, регистрации или заказов;
владельцы онлайн-магазинов;
владельцы клиник, салонов и онлайн-школ;
эксперты, которые дают консультации или обучают на курсах;
блогеры, у которых более 10 000 подписчиков.
Что такое согласие на обработку персональных данных. Это подтверждение физлица, что оно передает свои личные данные для использования в определенных целях.
Что должно быть в согласии на обработку персональных данных:
ФИО, телефон физлица, адрес электронной почты;
сведения об операторе, его информационных ресурсах, с помощью которых предоставляется доступ к данным;
цель обработки данных;
категории и перечень данных, на обработку которых дается согласие;
срок действия согласия.
Кто должен зарегистрироваться в Роскомнадзоре. Это должны сделать все компании, ИП и физлица (в том числе со статусом самозанятых), которые занимаются обработкой персональных данных.
Исключение — кто не обязан регистрироваться в Роскомнадзоре:
те, кто обрабатывает данные из государственных информационных системы ПД, созданных для защиты безопасности государства и общественного порядка;
те, кто обрабатывает данные без электронных средств автоматизации;
те, кто обрабатывает сведения по закону о транспортной безопасности.
Что такое уведомление в Роскомнадзор. Это документ, который подтверждает, что компания или ИП собираются обрабатывать ПД физлиц. Его подают на бумаге или онлайн (через сайт Роскомнадзора или портал Госуслуги). В течение 30 дней после получения уведомления Роскомнадзор вносит информацию о компании или ИП в реестр операторов персональных данных.
Когда нужно подать уведомление об обработке ПД в Роскомнадзор. Это нужно сделать до начала обработки данных.
Если меняются сведения, нужно уведомить об этом Роскомнадзор не позднее 15 числа месяца, следующего за месяцем изменений.
Если прекращаете обработку ПД, нужно уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки сведений.
Телеграм-канал Клерк.Премиум
Все, что нужно для вашей успешной ежедневной работы
Новые штрафы за нарушения при работе с персональными данными
Незаконная передача информации о людях при количестве от 1 000 до 10 000 человек:
для граждан штраф — от 100 000 до 200 000 руб.;
для должностных лиц госорганов штраф — 200 000–400 000 руб.;
для компаний и ИП штраф — 3–5 млн руб.
Незаконная передача информации о людях при количестве от 10 000 до 100 000 человек:
для граждан штраф — от 200 000 до 300 000 руб.;
для должностных лиц госорганов штраф — 300 000–500 000 руб.;
для компаний и ИП штраф — 5–10 млн руб.
Незаконная передача информации о людях при количестве более 100 000 человек:
для граждан штраф — от 300 000 до 400 000 руб.;
для должностных лиц госорганов штраф — 400 000–600 000 руб.;
для компаний и ИП штраф — 10–15 млн руб.
Неправомерное распространение персональных данных спецкатегорий:
для должностных лиц госорганов штраф — 1–1,3 млн руб.;
для компаний и ИП штраф — 10–15 млн руб.
Отсутствие уведомления в Роскомнадзоре:
для граждан штраф — 5 000–10 000 руб.;
для должностных лиц штраф — 30 000–50 000 руб.;
для компаний и ИП штраф — 100 000–300 000 руб.
Несообщение ведомству об утечке, которая нарушила права физлиц:
для граждан штраф — 50 000–100 000 руб.;
для должностных лиц штраф — 400 000–800 000 руб.;
для компаний и ИП штраф — 1–3 млн руб.
Передача биометрических персональных данных:
для граждан штраф — 400 000–500 000 руб.;
для должностных лиц штраф — 1,3–1,5 млн руб.;
для компаний и ИП штраф — 15–20 млн. руб.
Как подать уведомление в РКН и зачем вообще включаться в реестр, читайте в нашем Разборе.
Чек-лист для бухгалтера: что делать, если вы оператор персональных данных
☑️ Определитесь, являетесь ли вы оператором персональных данных.
Да, если:
собираете данные через мессенджеры, соцсети, формы и CRM-системы;
у вас есть сайт с формами обратной связи, регистрации или заказов;
вы даете экспертные консультации или ведете курсы;
вы владеете онлайн-школой;
у вас есть блог, в котором более 10 000 подписчиков.
Нет, если:
вы работаете бухгалтером и не выполняете действия из списка выше.
☑️ Заполните уведомление в Роскомнадзор.
Укажите в документе:
с какими ПД вы работаете;
цель обработки ПД — например, реклама, продажи;
что делаете с ПД — собираете, систематизируете, храните, уничтожаете;
сколько храните ПД.
☑️ Направьте уведомление в Роскомнадзор — до начала обработки ПД.
Можно подать на бумаге или онлайн — на сайте Роскомнадзора или на портале Госуслуги.
☑️ Оформите документы о порядке обработки ПД.
положение о ПД или другой ЛНА;
политику обработки ПД.
☑️ Организуйте защиту данных от утечек.
Это можно сделать с помощью антивирусов и ограничения доступов к информации для сотрудников.
Подписка Клерк.Премиум — это помощь и экспертная поддержка для бухгалтера. Она позволит вам оставаться в курсе всех изменений, мы регулярно обновляем материалы, добавляем новые разборы, статьи, тренинги и записи вебинров.
Все материалы подписки доступны только подписчикам! Теперь это относится и к онлайн-курсам. Мы завершили поштучную продажу онлайн-курсов, так что теперь купить курс можно только с подпиской Клерк.Премиум.
В подписку входят:
60+ онлайн-курсов по важным темам.
Записи 200+ актуальных вебинаров и новые эфиры каждую неделю.
Безлимитные консультации с экспертами.
Статьи с разборами новых правил.
Онлайн-посещение конференций.
Справочно-правовая система.
Инструменты и сервисы для работы бухгалтера.
Оформите годовую подписку Клерк.Премиум за 9 000 рублей и получите всестороннюю помощь и поддержку экспертов «Клерка».
Уже 23 года нашей экспертности доверяют миллионы профессионалов по всей стране.
Телеграм-канал Клерк.Премиум
Все, что нужно для вашей успешной ежедневной работы
Комментарии
5Ничего не понятно... К примеру - есть ООО, оно занимается рекламой, есть несколько договоров с клиентами и договор с Яндексом, есть несколько сотрудников, увольнять и принимать не планируется, есть продажи на маркетплейсах, там только штрих-коды, данные клиентов не видны. Надо ли подавать уведомление в РКН или нет?
Т.к у вас есть сотрудники, то вы являетесь оператором персональных данных (ОПД) и должны уведомить Роскомнадзор о своем намерении обрабатывать персданные. В уведомлении РКН необходимо указать цели обработки персональных данных, в вашем случае - «исполнение трудового законодательства».
Так они оформлены несколько лет назад, а тут говорится про начало обработки этих данных.
Закон же только начинает свое действие
Попросили нашего эксперта разобрать этот вопрос https://t.me/klerk_premium/119. Если кратко: при наличии сотрудников вы должны зарегистрироваться как оператор персональных данных, даже если сотрудничаете с ними давно