30 мая 2025 года вступили в силу существенные изменения в законодательстве о защите персональных данных (ПД). Федеральный закон № 420-ФЗ ужесточает санкции за различные нарушения в этой сфере.Сразу отметим, что даже микробизнес, ИП и самозанятые (хранят данные контрагентов и их сотрудников в почте, 1С, сервисе ЭДО, СРМ и т.д), владельцы сайтов, которые размещают на сайте формы обратной связи, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные. А значит, это статья будет полезна почти всем.
Однако, если физическое лицо сдает квартиру другому физическому лицу и хранит договор с данными и/или копию паспорта арендатора, то подавать уведомление в РКН не нужно.
Действие закона о персональных данных не распространяется на ситуации обработки персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.
Важные нововведения
С 1 января 2025 — новые формы согласия для ЕСИА и Единая биометрическая система (ЕБС)
С 1 марта 2025 — согласие на обработку ПД нельзя включать в другие документы
С 30 мая 2025 — увеличены штрафы за нарушения
С 1 сентября 2025 — обязательная передача обезличенных данных в государственную информационную систему (ГИС) по запросу Минцифры
Ужесточение требований к биометрическим данным
Что относится к персональным данным
Персональные данные– любая информация, которая относится прямо или косвенно к определенному физическому лицу (ст. 3 ФЗ «О персональных данных»).
В законе прямо не указывается, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к лицу, то к таким данным можно отнести:
- ФИО
- дата рождения
- адрес
- телефон
- данные паспорта
- фотография
- Отзывы с фото и именем клиента
Это НЕ персональные данные:
- Только имя и фамилия (без дополнительной информации)
- Заблюренное фото + имя
- Семейные архивы для личного пользования
За какие нарушения будут штрафовать
- Несанкционированная обработка персональных данных
- Неуведомление Роскомнадзора об обработке персональных данных
- Нарушение порядка обработки специальных категорий данных
- Нарушение требований к защите персональных данных при их обработке
- Нарушение требований к трансграничной передаче данных
- Утечки данных (размер штрафа зависит от количества и категории утекших данных)
- Неправильная политика конфиденциальности
- Непредоставление информации субъектам
Кто подлежит ответственности
Новые штрафы распространяются на:
- Юридических лиц
- Индивидуальных предпринимателей
- Самозанятых граждан
- Должностных лиц
- Физических лиц
Размеры штрафов
* За нарушение ИП штрафуют как юридических лиц
Штрафы за обработку персональных данных, несовместимую с целями обработки:
- Для граждан: 10 000 - 15 000 рублей
- Для должностных лиц: 50 000 - 100 000 рублей
- Для юридических лиц: 150 000 - 300 000 рублей
Штрафы за неуведомление Роскомнадзора:
- Для граждан: от 5 000 до 10 000 рублей
- Для должностных лиц — от 30 000 до 50 000 рублей
- Для юридических лиц: от 100 000 до 300 000 рублей
Штрафы за утечки данных (по количеству пострадавших) для организаций и ИП:
- 1 000 — 10 000 человек: 3 — 5 млн ₽
- 10 000 — 100 000 человек: 5 — 10 млн ₽
- Более 100 000 человек: 10 — 15 млн ₽
Штрафы за трансграничную передачу (хранение на зарубежных серверах):
- Первое нарушение: 1 — 6 млн рублей
- Повторное: 6 — 18 млн рублей
Как подать уведомление в Роскомнадзор
Существует три способа подачи уведомления:
- Бумажный способ:
- Отправка по почте в территориальный орган Роскомнадзора
- Уведомление должно быть подписано руководителем организации
- К уведомлению прилагается копия документа, удостоверяющего личность
- Электронный способ:
- Через сайт Роскомнадзора с использованием УКЭП
- Требуется действующая усиленная квалифицированная электронная подпись
- Уведомление подписывается руководителем организации
- Через Госуслуги:
- Требуется подтвержденная учетная запись
- Необходима привязка организации
- Уведомление подписывается электронной подписью
Подача уведомления носит разовый характер и означает принятие на себя функций оператора персональных данных. Помимо этого нужно иметь ряд внутренних документов, регламентирующих работу с персональными данными и выполнять мероприятия по их защите.
Важные рекомендации
Организация защиты данных:
- Назначьте ответственного за обработку персональных данных
- Разработайте политику конфиденциальности
- Составьте реестр обрабатываемых персональных данных
- Проведите аудит существующих согласий на обработку
- Внедрите технические средства защиты информации
Работа с согласиями:
- Используйте актуальные формы согласий
- Укажите конкретные цели обработки (Принцип минимизации: обрабатываете только те данные, которые отвечают целям обработки)
- Укажите срок действия согласия
- Предусмотрите возможность отзыва согласия
- Храните копии согласий не менее 3 лет
Обучение персонала:
- Проведите инструктаж сотрудников
- Обучите правилам работы с персональными данными
- Объясните ответственность за нарушения
- Организуйте периодическое повышение квалификации
Технические меры защиты:
- Используйте шифрование данных
- Внедрите системы антивирусной защиты
- Регулярно обновляйте программное обеспечение
- Проводите резервное копирование данных
Передача данных за границу
Перед отправкой данных в другую страну необходимо:
- уведомить Роскомнадзор о намерении трансграничной передачи
- проверить, что страна в официальном перечне "безопасных"
- получить согласие человека на трансграничную передачу
- провести оценку мер защиты ПД у получателя
В случае передачи ПД в "небезопасные" страны необходимо получить разрешение Роскомнадзора
Дополнительные меры безопасности
Физическая защита:
- Контроль доступа в помещения
- Видеонаблюдение
- Системы контроля и управления доступом
- Сейфы для хранения бумажных носителей
Организационные меры:
- Разработка регламентов обработки данных
- Создание инструкций по работе с персональными данными
- Ведение журналов регистрации событий
- Проведение регулярных проверок безопасности
- Документирование всех операций с данными
- Если у вас есть сайт или приложение, то необходимо сделать отдельную страницу "Политика конфиденциальности" и отдельное «Согласие пользователей» (не в пользовательском соглашении и без предустановленных галочек в формах)
Как избежать штрафов
Рекомендуется:
- Проверьте наличие вашей организации в Реестре операторов персональных данных
- Убедитесь в актуальности указанных целей обработки данных
- При необходимости подайте уведомление об изменении сведений
- Доработайте политику обработки персональных данных
- Проведите аудит имеющихся согласий на обработку данных
- Регулярно проводите мониторинг изменений законодательства
- Организуйте систему внутреннего контроля
- Проводите регулярные проверки на соответствие требованиям
Помните, что Роскомнадзор проводит регулярные проверки как с взаимодействием с организациями, так и без него. Своевременное уведомление и соблюдение требований законодательства помогут избежать серьезных финансовых потерь.
К сведению:
сейчас активизировались «специализирующиеся на защите персональных данных» лица, которые пугают «письмами из ФСБ»
и предлагают решить такие проблемы за вознаграждение.
Будьте внимательны и аккуратны!
