С 30 мая 2025 года значительно выросли штрафы за работу с персональными данными. Также введены административные штрафы за утечку персональных данных (Федеральном законе № 420-ФЗ от 30 ноября 2024).
За нарушение в каких областях ужесточили штрафы
Наказания за нарушения в области обработки персональных данных ужесточили — добавили новые многомиллионные штрафы, а суммы старых кратно увеличили.
увеличили штрафы за неправомерную обработку данных;
установили штрафы за неуведомление Роскомнадзора об обработке или утечке данных;
установили размер штрафов за первичную утечку в зависимость от объема утечки;
ввели оборотные штрафы за утечку персональных данных;
выделили штрафы за утечку специальных и биометрических данных.
Оператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки. По факту, ОПД является любой ИП и компания: селлер без работников, ИП с сотрудниками, ИП или компания, проводящие обучение, а также предприниматели-бухгалтеры и финансисты, которые обрабатывают данные клиентов.
Новые штрафы за неуведомление Роскомнадзора
За неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных предусмотрен штраф:
штраф от 5 000 до 10 000 рублей — для физлиц;
от 30 000 до 50 000 рублей — для должностных лиц организаций;
от 100 000 до 300 000 рублей — для ИП;
от 100 000 до 300 000 рублей — для организаций.
🔥Специально для операторов персональных данных «Клерк» проводит экстренный вебинар «Работа с персональными данными с 30 мая 2025 года: регистрация в Роскомнадзоре, cookie и новые штрафы». Который состоится 27 мая в 15:00.
Разберем следующие вопросы:
Регистрация в Роскомнадзоре: срок уведомления.
Уведомления Роскомнадзора: когда нужно, сроки, образцы.
Локализация баз данных и трансфер данных.
Файлы cookie и защита персональных данных.
Ответственность за утечку персональных данных: новые штрафы.
Что нужно сделать сейчас владельцам сайтов.
❗️Бонусом вы получите 4 шаблона уведомлений в Роскомнадзор. Регистрируйтесь прямо сейчас
Новые штрафы за утечку персональных данных и биометрии
В 2025 году действуют оборотные штрафы за утечку персональных данных. В случае незаконной передачи информации о людях в количестве от 1 тыс. до 10 тыс. человек будет грозить штраф:
должностным лицам государственного или муниципального органа либо некоммерческой организации — от 200 тыс. до 400 тыс. руб.;
ИП и компаниям — от 3 млн до 5 млн руб.
Штрафы за утечку специальных персональных данных*:
для должностных лиц — от 1 млн до 1,3 млн руб.;
для ИП и компаний — от 10 млн до 15 млн руб.
*Специальные категории персональных данных — это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.
Отдельное наказание будет за нарушение порядка обработки биометрии, например, отпечатков пальцев, снимков лица, записей голоса. Новые штрафы за такие нарушения установлены в пределах:
от 400 000 до 500 000 рублей — для физлиц;
от 1,3 до 1,5 млн рублей — для должностных лиц;
от 15 млн до 20 млн рублей — для организаций и ИП (ч. 17 ст. 13.11 КоАП).
Повторные нарушения будут караться более строго: минимальный штраф составит 25 млн рублей, максимальный — 500 млн рублей (ч. 18 ст. 13.11 КоАП).
Если утечка произошла, то компания или ИП в течение 24 часов должна сообщить об этом в Роскомнадзор. Сделать это можно в свободной форме. После этого, в течение 72 часов с момента утечки необходимо провести расследование и направить в Роскомнадзор повторное уведомление о его результатах (ч.3.1 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ).
Как и куда отправить уведомление в Роскомнадзор
Если компания собирает такие данные, как ФИО, электронная почта или место работы, то она является оператором персональных данных, а следовательно, должна взаимодействовать с РКН и подавать в него уведомление. Уведомление нужно направить одним из трех способов:
Сформировать уведомление и направить в бумажном виде. Для этого нужно заполнить форму на сайте Роскомнадзора, а затем распечатать, подписать и направить письмом в адрес территориального отделения Роскомнадзора по месту своей регистрации.
В уведомлении необходимо указать ваши личные данные и цели обработки персональных данных. Например, если у вас нет сотрудников, то для работы с контрагентами укажите цель «подготовка и заключение гражданско-правовых договоров». Если у вас есть сотрудники, то цель — «исполнение трудового законодательства».
Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи. Вы можете заполнить форму и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется.
В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.
Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений.
В уведомлении указываете, какие конкретно данные вы собираете, способ их обработки, указываете ответственное лицо (как правило себя), указываете, где хранятся персональные данные — место Центр Обработки Данных, если данные хранятся у вас на компьютере, то указываете свой адрес.
Уведомление Роскомнадзора — разовая акция. Уведомление в общем случае подают однократно и в дальнейшем от компании требуется только актуализировать сведения. Информационное письмо о корректировке направляют теми же способами, что и уведомление. Это нужно сделать до 15-го числа месяца, следующего за месяцем изменений (п. 7 ст. 22 152-ФЗ).
Для проверки и исправлении ошибок никогда не поздно! На «Клерке» появился удобный инструмент, который быстро проверит ваш сайт на наличие сервисов cookies и метрик. Проверьте себя прямо сейчас, чтобы избежать новых штрафов. Проверить
Комментарии
87Коллеги, кто подавал уже данные в РКН? И сталкивался ли кто-то с проверками от ведомства?
Мы уже года два как в реестре. Подали уведомление и «спим спокойно»)
@Natalia_Ars, а сведения новые вносите? Корректировки подавали?
@nlukina, нет, у нас все стабильно)
@Natalia_Ars, это прекрасно! Стабильность сейчас - наше все))
Подал сегодня. Вот теперь сижу трясусь. Хотя...Что там меня проверять - комп на Линуксе, сайт без признаков сбора информации висит на Wordpress'e... Время нынче такое - лучше уж п***ку любимую "прикрыть", чем потом "расхлебывать"
Подали в сентябре 2022 года, как раз был очередной ажиотаж, разослали всем своим клиентам письма и образцы, как это сделать.
С удивлением узнали, что за это время уведомления в РКН подали 30% из наших клиентов. На вопрос почему? почти все ответили, а что время тратить, штраф же всего 5 т.р. был. Теперь бешено-прибадошно отправляют
Неправомерное использование персональных данных может привести к дискриминации в различных сферах, включая трудоустройство и доступ к услугам, не говоря о мерзком спаме. Обоснованные и жесткие меры.🔥🔥🔥🔥🔥🔥🔥
Надеюсь, теперь позорных спам-попрошаек станет поменьше!
Жду применение на практике: разорится в ноль парочку любителей сливать базы с персональными данными, другим сразу неповадно будет! Размеры штрафов отличные!
Действительно, штрафы весьма внушительные. Но будет ли РКН этим действительно заниматься или все для галочки.
@nlukina, у нас организация давно зарегистрирована в РКН, есть в реестре. Организация маленькая, относится к СМП. За последние 4 года пару раз присылали какие-то бредовые требования по внесению изменений или новых данных, уже не помню. Причем были танцы с бубнами для выполнения их требований (надо было делать через их систему). Так что пыхтят и дергают даже мелочевку. Надеюсь, что вылавливать за отсутствие регистрации не будут, остальные организации там не регистрировали.
@Saja, спасибо! Мне кажется, что могут начать трясти. Лучше внести данные в реестр.
@nlukina, тоже подумала об этом. Видимо придется.
Да чего там вылавливать?
Напишут скрипт, который сравнит список организаций и ИП, сдавших РСВ, со своим реестром подавших уведомление, и сформирует протокол о привлечении адм. ответственности.
@Старый ворчун, согласна. Будем регистрировать оставшихся. Грех РКН упускать возможности для таких штрафов.
@Старый ворчун,
Технически - это возможно, а вот с юридической точки зрения - сомневаюсь.
Может же быть так, что организация сдает РСВ на бумаге...
Может быть и так, что организация сама не ведет БУ и НУ, а делегировала это бухгалтерской компании, или сервису...
Может быть и так, что и кадровый учет ведет сторонняя организация...
Если автоматом выписать штрафы по вашему алгоритму, то получится, что вы априори обвинили виновными, да еще и наказали, тех, кто не обязан подавать уведомление в РКН.
Если бы так было можно, то и сотрудники ГИБДД нас штрафовали бы автоматически только потому, что мы зарегистрированы у них в базе.
Без разбора, без доказательств, а исходя из предположения, что имея автомобиль, мы можем превышать скорость.
Склоняюсь к тому, что они вначале должны прийти в офис и собрать доказательства того, что в офисе, сотрудником организации, обрабатываются ПД физических лиц, и не просто так обрабатываются, а автоматизировано, не на бумаге, далее составить Акт, и уже на его основании выписать штраф.
Иначе все штрафы можно обжаловать в суде, просто придя туда, и заявив, что штраф выписан просто так, без доказательства вины компании.
Согласно ст.1.5. КоАП РФ лицо, в отношении которого ведется производство по делу об административном правонарушении, считается невиновным, пока его вина не будет доказана в порядке, предусмотренном КоАП РФ, и установлена вступившим в законную силу постановлением судьи, органа, должностного лица, рассмотревших дело.
Черта с два... Все эти драконовские меры - это благодатная взяткоемкая среда за высосанные из пальца нарушения.
Хотели бы, действительно, бороться за слив персональных данных, думается мне, давно бы начали с ФНС. Ибо практику шквала звонков на предмет открытия расчетного счета по новому только что зарегистрированному ООО/ИП еще никто не отменил. А коль так, думается мне, то и остальные персональные данные так же легко сливаются.
Или я я не прав и что-то путаю?
@VadimBA,
Одновременно вводится маркировка звонков и большие штрафы за спам. Я полагаю, что это звенья одной цепи. Кто-то явно посчитал деньги на рекламе и сливе баз, и решил присесть на денежный поток это - первое.
Второе, штрафы порядка 500 млн. вводят даже не столько за продажу, но и за утечку перс.данных. Вариант сценария: не понравилась кому-то платформа Клерк ру, наняли хакеров один раз слили базу пользователей, через время еще раз: привет штраф 500 млн. и гудбай компания. Очень удобно отнимать или рушить неугодные или аппетитные интернет-ресурсы. Не помню, чтобы за что-то еще были такие штрафы.
Нужно, конечно, читать первоисточник, что считается «утечкой» и при каких конкретно условиях будут применяться санкции.
Что касается в целом ужесточения мер или повышения налогов, у нас почему-то народ оптимистичный. Не верит вначале, а потом оказывается, что все работает…
В отношении самой ФНС: "Что дозволено Юпитеру, не дозволено быку"
И это вполне возможно... В местных реалиях, персональные данные - это не только штрафы, но и передел собственности.
@VadimBA, убежден, что вы правы.
РКН сами же, сразу после регистрации у них, и сливают полученные ПерсДанные (сегодня обнаружил, и в соседней ветке написал).
Вот тут https://www.klerk.ru/about/518628/ публичная оферта и ИНН уважаемой редакции для платных услуг.
Вот тут реестр РКН, куда это ИНН можно вставить и нажать на кнопочку "Найти"
https://pd.rkn.gov.ru/operators-registry/operators-list/?act=search&name_full=&inn=2310198925®n=
Если вы так сделаете, то ниже появится строка из Реестра РКН, из которой вы узнаете, что уведомление уважаемой редакции зарегистрировано в реестре 04.04.2023
А далее, если вы нажмете на наименование ЮрЛица (Наименование оператора), то вы сможете наглядно увидеть ПерсДанные ответственного лица (а судя по адресу электронной почты, то сразу двух).
Обсуждаемая тема не имеет ни малейшего отношения к любителям слива баз.
@Старый ворчун,
То есть по вашему слив базы с персональными данными не относится к утечке персональных данных?
@Ольга Ульянова аудитор, при чём тут слив?
Драконовские штрафы грозят ИП, который нанял одного работника, ввёл его ФИО в 1с и никому ничего не сливал.
@Старый ворчун, ну тогда это работник будет работать неофициально. Только и всего. А то вдруг хакеры сломают 1С и украдут данные этого одного или двух человек и будет мелкий ИП выплачивать полмиллиарда!
А давайте-ка вот на реальном примере. Вот несколько ситуаций:
1) Пришел первоклассник в школу с мамой. Мама у учительницы берёт номер телефона и записывает: - Марь Иванна, номер +7-123-456-7890 - то персональные данные? Разумеется! Бегом в Роскомнадзор, а то штраф в 100500 миллионов, а, если еще папа у мамы в телефоне найдет телефон Мари Иванны, то это утечка и мама будет выплачивать 500 000 000. Отлично! Но едем дальше...
2) Два одноклассника обменялись телефонами, никами в Тележке и никами в Одноклассниках. Это персональные данные? Безусловно! Быстро подавать уведомление в Роскомнадзор, а то это повышенная категория данных - штраф и путевка в Сибирь лес валить! Но едем дальше...
3) Сидят две бабушки у подъезда, мимо идет дедушка, а у бабушек давно мужья померли, скучно ии и грустно. Одна говорит: - Ой, Киреевна, вот Вася пошел, а давай его в гости на чай пригласим? - А давай, Матвеевна. И узнают у дедушки номер квартиры - это персональные данные? -Ну естественно! И бабульки ковыляя бегут в Роскомнадзор, а то, ну вы уже поняли - огромный штраф их ждёт!
Примеров могу написать сколько угодно, но перейдем теперь к самому Роскомнадзору. Ему ж надо все контролировать! На сегодня только действующих ИП и организаций - 7 665 592, на учете РКН около 1 000 000 обработчиков данных и большей частью - это госструктуры и крупные предприятия. Добавим еще 100 000 000 физ лиц, они же тоже обрабатывают ПД (сюда относятся и самозанятые). И за 2 недели все эти люди побегут вставать на учёт! Что с таким объемом данных будем делать сам РКН?
Вот так как-то...
@Live-Meleshenko.VA, если вы почитаете закон, то поймете, почему записать телефон МарьиИвановны и работать с договорами, в которых есть персданные - не одно и тоже.
@nlukina, То есть - номер телефона и фамилия и имя человека - это не персональные данные. Браво! А то, что информация обо всех юрлицах и ИП выложена в свободном доступе - это тоже ничего, а про работу с договорами - это полная чушь! Я понимаю, что вы свои реквизиты храните в сейфе-матрешки и никому их не даете под страхом расстрела! Это только для своих нужд.
У нас не получается диалога, потому что вы слышите исключительно свои мысли, если вы записали телефон чей-то на бумажке в личных целях, то уведомление в ркн подавать не надо. На этом пустую дискуссию заканчивалю. Вам удачи
@nlukina, а я не на бумажку, а в телефон записал или планшет. А это автоматизированная обработка. Нужно срочно об этом заявить в РКН!
@meleshenckovladimir, вы можете обсудить этот вопрос на нашем вебинаре)
Не расстраивайтесь... Это поможете отвлечься: https://sweaterhub.ru/catalogue/koti_koshki?yclid=13478360568886984703
@VadimBA, я всегда знала, что пользователи Клерка, самые лучшие
Давайте.
Есть микропредприятие, оно работает и платит налоги.
У него есть НР (полтора землекопа) и программа 1с - т.е. обрабатываются перс данные.
Оно , под страхом, драконовских штрафов, обязано подать уведомление.
Я кое-где порылся и накопытил образец одного из обязательных документов, "Политика ... в отношении обработки персональных данных". Скромный такой текст, 9 страниц кеглем 12.
@Старый ворчун, как раз наш случай!
Нужно ли ИП без работников отправлять уведомление на самого себя?
У вас же есть контрагенты? Вы ведёте деятельность? Или есть договоры с физиками лицами? Если да, то нужно
@nlukina, У нас ИП без работников, продаем на маркетплейсах, есть один договор на услуги, возможно, будут позже и другие. В данном случае нужно подавать уведомление получается?
@meleshenckovladimir, даже если у вас нет работников и даже если вы официально не закупаете товар, вы все равно хоть раз заключали договор или оплачивали счет транспортной, фулфилменту, заключали договор аренды или что-то подобное. Поэтому да, нужно. Рекомендуем задавать вопросы нашим консультантам: https://www.klerk.ru/consultations/ они дадут развернутый полноценный ответ