Сайт не работает без javascript. Включите поддержку javascript в настройках браузера!
ОК МП
🔴 Бесплатный вебинар → Работа бухгалтера с Wildberries 🟪
Наталия Лукина
Защита персональных данных
Обработка персональных данных в 2025 году: изменения, штрафы, что делать

Обработка персональных данных в 2025 году: изменения, штрафы, что делать

С 30 мая 2025 года штрафы за нарушения в работе с персональными данными значительно вырастут. Также введены новые штрафы за утечку персональных данных. Если вы являетесь оператором персональных данных (а ими являются практически все!), то это статья для вас.

С 30 мая 2025 года значительно выросли штрафы за работу с персональными данными. Также введены административные штрафы за утечку персональных данных (Федеральном законе № 420-ФЗ от 30 ноября 2024).

За нарушение в каких областях ужесточили штрафы

Наказания за нарушения в области обработки персональных данных ужесточили — добавили новые многомиллионные штрафы, а суммы старых кратно увеличили.

  • увеличили штрафы за неправомерную обработку данных;

  • установили штрафы за неуведомление Роскомнадзора об обработке или утечке данных;

  • установили размер штрафов за первичную утечку в зависимость от объема утечки;

  • ввели оборотные штрафы за утечку персональных данных;

  • выделили штрафы за утечку специальных и биометрических данных.

Оператор персональных данных (ОПД) должен уведомить Роскомнадзор о своем намерении обрабатывать персданные до начала их обработки. По факту, ОПД является любой ИП и компания: селлер без работников, ИП с сотрудниками, ИП или компания, проводящие обучение, а также предприниматели-бухгалтеры и финансисты, которые обрабатывают данные клиентов.

Новые штрафы за неуведомление Роскомнадзора

За неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных предусмотрен штраф:

  • штраф от 5 000 до 10 000 рублей — для физлиц;

  • от 30 000 до 50 000 рублей — для должностных лиц организаций;

  • от 100 000 до 300 000 рублей — для ИП;

  • от 100 000 до 300 000 рублей — для организаций.

🔥Специально для операторов персональных данных «Клерк» проводит экстренный вебинар «Работа с персональными данными с 30 мая 2025 года: регистрация в Роскомнадзоре, cookie и новые штрафы». Который состоится 27 мая в 15:00.

Разберем следующие вопросы:

  1. Регистрация в Роскомнадзоре: срок уведомления.

  2. Уведомления Роскомнадзора: когда нужно, сроки, образцы.

  3. Локализация баз данных и трансфер данных.

  4. Файлы cookie и защита персональных данных.

  5. Ответственность за утечку персональных данных: новые штрафы.

  6. Что нужно сделать сейчас владельцам сайтов.

❗️Бонусом вы получите 4 шаблона уведомлений в Роскомнадзор. Регистрируйтесь прямо сейчас 

Новые штрафы за утечку персональных данных и биометрии

В 2025 году действуют оборотные штрафы за утечку персональных данных. В случае незаконной передачи информации о людях в количестве от 1 тыс. до 10 тыс. человек будет грозить штраф:

  • должностным лицам государственного или муниципального органа либо некоммерческой организации — от 200 тыс. до 400 тыс. руб.;

  • ИП и компаниям — от 3 млн до 5 млн руб.

Штрафы за утечку специальных персональных данных*:

  • для должностных лиц — от 1 млн до 1,3 млн руб.;

  • для ИП и компаний — от 10 млн до 15 млн руб.

*Специальные категории персональных данных — это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.

Отдельное наказание будет за нарушение порядка обработки биометрии, например, отпечатков пальцев, снимков лица, записей голоса. Новые штрафы за такие нарушения установлены в пределах:

  • от 400 000 до 500 000 рублей — для физлиц;

  • от 1,3 до 1,5 млн рублей — для должностных лиц;

  • от 15 млн до 20 млн рублей — для организаций и ИП (ч. 17 ст. 13.11 КоАП).

Повторные нарушения будут караться более строго: минимальный штраф составит 25 млн рублей, максимальный — 500 млн рублей (ч. 18 ст. 13.11 КоАП).

Если утечка произошла, то компания или ИП в течение 24 часов должна сообщить об этом в Роскомнадзор. Сделать это можно в свободной форме. После этого, в течение 72 часов с момента утечки необходимо провести расследование и направить в Роскомнадзор повторное уведомление о его результатах (ч.3.1 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ).

Как и куда отправить уведомление в Роскомнадзор

Если компания собирает такие данные, как ФИО, электронная почта или место работы, то она является оператором персональных данных, а следовательно, должна взаимодействовать с РКН и подавать в него уведомление. Уведомление нужно направить одним из трех способов:

  • Сформировать уведомление и направить в бумажном виде. Для этого нужно заполнить форму на сайте Роскомнадзора, а затем распечатать, подписать и направить письмом в адрес территориального отделения Роскомнадзора по месту своей регистрации.

В уведомлении необходимо указать ваши личные данные и цели обработки персональных данных. Например, если у вас нет сотрудников, то для работы с контрагентами укажите цель «подготовка и заключение гражданско-правовых договоров». Если у вас есть сотрудники, то цель — «исполнение трудового законодательства».

  • Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи. Вы можете заполнить форму и подписать ее электронной подписью. В этом случае подача в бумажном виде не потребуется.

  • В личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.

Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений.

В уведомлении указываете, какие конкретно данные вы собираете, способ их обработки, указываете ответственное лицо (как правило себя), указываете, где хранятся персональные данные — место Центр Обработки Данных, если данные хранятся у вас на компьютере, то указываете свой адрес.

Уведомление Роскомнадзора — разовая акция. Уведомление в общем случае подают однократно и в дальнейшем от компании требуется только актуализировать сведения. Информационное письмо о корректировке направляют теми же способами, что и уведомление. Это нужно сделать до 15-го числа месяца, следующего за месяцем изменений (п. 7 ст. 22 152-ФЗ).

Для проверки и исправлении ошибок никогда не поздно! На «Клерке» появился удобный инструмент, который быстро проверит ваш сайт на наличие сервисов cookies и метрик. Проверьте себя прямо сейчас, чтобы избежать новых штрафов. Проверить

Информации об авторе

Наталия Лукина

Наталия Лукина

Шеф-редактор Трибуны в Клерк.Ру

288 подписчиков1 388 постов

Этот пост написан блогером Трибуны. Вы тоже можете начать писать: сделать это можно .

Комментарии

87
  • Ольга Ульянова
    Аудитор-консультант

    Неправомерное использование персональных данных может привести к дискриминации в различных сферах, включая трудоустройство и доступ к услугам, не говоря о мерзком спаме. Обоснованные и жесткие меры.🔥🔥🔥🔥🔥🔥🔥

    Надеюсь, теперь позорных спам-попрошаек станет поменьше!

    Жду применение на практике: разорится в ноль парочку любителей сливать базы с персональными данными, другим сразу неповадно будет! Размеры штрафов отличные!

     

     

  • Anny Niki

    Нужно ли ИП без работников отправлять уведомление на самого себя?

ГлавнаяПодписка