- СкачатьОбразец политики обработки персональных данных пользователей интернет-сайта.docx165 загрузок
- СкачатьОбразец политики защиты и обработки персональных данных.docx254 загрузки
Закон о персональных данных: ужесточение нарушений
Требования к операторам персональных данных и новые суммы штрафов прописали в Федеральном законе № 420-ФЗ от 30 ноября 2024, но бизнесу и ответственным лицам дали полгода на адаптацию — изменения вступают в силу 30 мая 2025 года.
За нарушение в каких областях ужесточили наказание:
неправомерная обработка персданных, например, без уведомления;
утечка данных — первичная или вторичная;
утечка специальных и биометрических персональных данных;
отсутствие уведомления Роскомнадзора о начале обработки или утечке данных.
Штрафы за разглашение, передачу третьим лицам, несоблюдение порядка обработки, хранения и уничтожения тоже могут ударить по финансовому здоровью компании или ИП. Чтобы обезопасить бизнес, важно внимательно читать требования закона и обеспечить защиту персональных данных работников на бумаге, на электронных носителях и в информационных системах.
Новые штрафы за нарушение обработки персональных данных
С 30 мая 2025 года, если компания или ИП начинают обрабатывать персональные данные, то им нужно помнить сразу о двух видах штрафов: санкции за нарушение федерального закона и ответственность перед Роскомнадзором.
До вступления в силу изменений, получить штраф от ведомства можно было при условии, что инспекторы РКН сами найдут нарушения у компании или ИП, а за отсутствие уведомления о начале обработки штрафа вообще не было. Теперь, если после 30 мая не послать уведомление в Роскомнадзор, то оператор рискует получить штраф до 3 миллионов рублей.
Если вы еще не отправили уведомление, то стоит поспешить — сформировать его на портале pd.rkn.gov.ru. Малый бизнес из реестра МСП, который не уведомит РКН или сделает это с опозданием, оштрафуют минимум на 50 тысяч рублей. Основание — ч. 10 ст. 13.11 КоАП.
Штрафы за нарушение обработки собрали в таблицу.
Вид нарушения | Кто нарушил | Штрафы до 30 мая 2025 года, тыс. руб. | Штрафы после 30 мая 2025 года, тыс. руб. |
Первичное нарушение правил обработки персданных | Физическое лицо | от 2 до 6 | от 10 до 15 |
Ответственное (должностное) лицо | от 10 до 20 | от 50 до 100 | |
Компания | от 60 до 100 | от 150 до 300 | |
Повторное (и далее) нарушение правил обработки персданных | Физическое лицо | от 4 до 12 | от 15 до 30 |
Ответственное (должностное) лицо | от 20 до 50 | от 100 до 200 | |
ИП | от 50 до 100 | от 100 до 200 | |
Компания | от 100 до 300 | от 300 до 500 |
Наш эксперт обращает внимание: закон ужесточили — внесли новые нарушения и штрафы. Поэтому имеет смысл подстраховаться — не только направить уведомление в Роскомнадзор, но и прописать в нем все цели, для чего вы собираете персональные данные у физических лиц. Формулировку целей можно найти в п. 3 и 3.1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Дополнительно для каждой цели можно прописать — какие именно сведения, что и как вы с ними будете делать: действия, способы обработки.
Хотите защитить свой бизнес от многомиллионных штрафов Роскомнадзора?
Возьмем на себя все заботы о персональных данных и защитим от претензий проверяющих
Новые штрафы за утечку персональных данных
Теперь организации или предпринимателю придется платить штраф пропорционально объему данных, которые попали в общий доступ — размер отчислений в бюджет сделали оборотным.
Если допустить утечку повторно, то бизнес оштрафуют в размере от 1 до 3 процентов годовой выручки.
Собрали в таблицу штрафы, которые начнут действовать с 30 мая 2025 года.
Объем утечки | Штраф для физлица, тыс. руб. | Штраф для ответственного (должностного) лица, тыс. руб. | Штраф для компании, млн. руб. |
От 1000 до 10 000 субъектов, и/или от 10 000 до 100 000 идентификаторов | от 100 до 200 | от 200 до 400 | от 3 до 5 |
От 10 000 до 100 000 субъектов, и/или от 100 000 до 1 000 000 идентификаторов | от 200 до 300 | от 300 до 500 | от 5 до 10 |
Более 100 000 субъектов, и/или более 1 000 000 идентификаторов | от 300 до 400 | от 400 до 600 | от 10 до 15 |
Если допустить повторную утечку, то придется заплатить больше.
Вид повторной утечки | Штраф для физлица, тыс. руб. | Штраф для ответственного (должностного) лица, млн руб. | Штраф для компании |
Утекли только общие данные | от 400 до 600 | от 0,6 до 1 | от 1 до 3% выручки за календарный год или за часть текущего года, но не менее 20 и не более 500 млн руб. |
Утекла не только общая информация, но и специальные данные, биометрия | от 500 до 800 | от 1,5 до 2 | от 1 до 3% выручки за календарный год или за часть текущего года, но не менее 25 и не более 500 млн руб. |
Эксперт обращает внимание: кадровику или ответственному лицу за обработку и хранение персональных данных надо знать их виды. К общим относятся Ф. И. О., место регистрации и работы, адрес электронной почты. К специальным — информация о здоровье, судимостях, принадлежности к расе или политической партии. Биометрия — фото и видео человека, запись его голоса, дактилоскопия.
У «Первой Экспертной Бухгалтерии» есть команда, которая может с нуля создать систему защиты персональных данных в вашей компании или доработать имеющуюся в соответствии с изменениями закона. Мы обеспечим правовую защиту бизнеса и СЕО компании от штрафов и репутационных рисков в сфере персональных данных — предлагаем оптимальную цену за полный пакет мероприятий и документов.
Что сделать для организации хранения и обработки персональных данных
Чтобы не вызывать вопросы со стороны контрольных органов и не создавать риски для утечки, компании или индивидуальному предпринимателю стоит регулярно выполнять несколько мероприятий.
Опубликовать политику компании по использованию персональных данных. Важно предоставить физический доступ к документу, например, разместить его на специальном стенде в офисе. Если у предпринимателя нет офиса или сотрудники находятся на «удаленке», то опубликовать политику на интернет-ресурсе с общим доступом, например, на официальном сайте компании. Более того, если у бизнеса есть свой сайт, то опубликовать там политику обработки персональных данных пользователей нужно в обязательном порядке.
Если документ не сделать или не опубликовать, то можно получить штраф:
1,5 – 3 тыс. руб. для физических лиц;
6 – 12 тыс. руб. для должностных лиц;
10 – 20 тыс. руб. для ИП;
30 – 60 тыс. руб. для компаний.
Скачать образец политики защиты и обработки персональных данных
Скачать образец политики обработки персональных данных пользователей интернет-сайта
Вовремя отвечать за запросы владельца персональных данных. Сотрудник может спросить работодателя — как именно он обрабатывает и хранит его данные. На его запрос важно не только ответить, но и сделать это вовремя — в течение 30 дней.
Если игнорировать запрос, то можно получить штраф:
2 – 4 тыс. руб. для физических лиц;
8 – 12 тыс. руб. для должностных лиц;
20 – 30 тыс. руб. для ИП;
40 – 80 тыс. руб. для компаний.
Организовать хранение персональных данных. Закон разделяет два вида обработки данных — автоматизированный и неавтоматизированный. Если сведения о сотрудниках вносятся в компьютерные базы, значит, надо организовать защиту электронных носителей информации, например:
установить режим безопасности в помещениях, где находится компьютер с базой данных;
определить лиц, которым разрешат доступ к базам;
применять шифровальные (криптографические) средства для защиты и копирования информации.
Если персональные данные обрабатывают без автоматизации — на бланках или карточках — надо организовать защиту места хранения. Например, приобрести надежный сейф, ограничить доступ в комнату, где хранятся данные.
Если не обеспечить сохранность носителей, то назначат штраф:
1,5 – 4 тыс. руб. для физических лиц;
8 – 20 тыс. руб. для должностных лиц;
20 – 40 тыс. руб. для ИП;
50 – 100 тыс. руб. для компаний.
Следить за уничтожением персональных данных. Сотрудник или его уполномоченный представитель, на которого он оформил доверенность, могут потребовать уничтожить персональные данные, отозвать согласие на обработку. Их требования будут обоснованы, если информация:
утратила актуальность;
была получена незаконно;
используется в целях, которые не закреплены в политике защиты и обработки данных.
Если владелец персональных данных потребовал их уничтожить, то продолжать обработку и хранение нельзя, иначе придется заплатить штраф:
2 – 4 тыс. руб. для физических лиц, в случае повторного нарушения — 20 – 30 тыс. руб.
8 – 20 тыс. руб. для должностных лиц, в случае повторного нарушения — 30 – 50 тыс. руб.
20 – 40 тыс. руб. для ИП, в случае повторного нарушения — 50 – 100 тыс. руб.
50 – 90 тыс. руб. для компаний, в случае повторного нарушения — 300 – 500 тыс. руб.
А еще важно уложиться в сроки уничтожения — 7 дней в случае требования от сотрудника, 10 дней, если ошибку нашел сам оператор, и 30 дней, если данные надо уничтожить, потому что выполнена цель их обработки.
Бумажные носители можно измельчить в шредере или сжечь, компьютерные файлы — стереть, носители — отформатировать.
Настроим работу с персональными данными с нуля
Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор
Реклама: ООО «ПЭБ», ИНН 5904400185, erid: 2W5zFJpyBZA
Начать дискуссию