30 мая 2025 года вступили в силу существенные изменения в законодательстве о защите персональных данных (ПД). Федеральный закон № 420-ФЗ ужесточает санкции за различные нарушения в этой сфере.Сразу отметим, что даже микробизнес, ИП и самозанятые (хранят данные контрагентов и их сотрудников в почте, 1С, сервисе ЭДО, СРМ и т.д), владельцы сайтов, которые размещают на сайте формы обратной связи, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные. А значит, это статья будет полезна почти всем.

Однако, если  физическое лицо сдает квартиру другому физическому лицу и хранит договор с данными и/или копию паспорта арендатора, то подавать уведомление в РКН не нужно.

Действие закона о персональных данных не распространяется на ситуации обработки персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.

Важные нововведения

С 1 января 2025 — новые формы согласия для ЕСИА и Единая биометрическая система (ЕБС)

 С 1 марта 2025 — согласие на обработку ПД  нельзя включать в другие документы

С 30 мая 2025 — увеличены штрафы за нарушения 

С 1 сентября 2025 — обязательная передача обезличенных данных в государственную информационную систему (ГИС) по запросу Минцифры

 Ужесточение требований к биометрическим данным

 

Что относится к персональным данным

Персональные данные– любая информация, которая относится прямо или косвенно к определенному физическому лицу (ст. 3 ФЗ «О персональных данных»).

В законе прямо не указывается, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к лицу, то к таким данным можно отнести:

• ФИО
• дата рождения
• адрес
• телефон
• email
• данные паспорта
• фотография
• Отзывы с фото и именем клиента

 Это НЕ персональные данные:

• Только имя и фамилия (без дополнительной информации)
• Заблюренное фото + имя
• Семейные архивы для личного пользования

За какие нарушения будут штрафовать

• Несанкционированная обработка персональных данных
• Неуведомление Роскомнадзора об обработке персональных данных
• Нарушение порядка обработки специальных категорий данных
• Нарушение требований к защите персональных данных при их обработке
• Нарушение требований к трансграничной передаче данных
• Утечки данных (размер штрафа зависит от количества и категории утекших данных)
• Неправильная политика конфиденциальности
• Непредоставление информации субъектам

 

Кто подлежит ответственности

Новые штрафы распространяются на:

• Юридических лиц
• Индивидуальных предпринимателей
• Самозанятых граждан
• Должностных лиц
• Физических лиц

Размеры штрафов

* За нарушение ИП штрафуют как юридических лиц

Штрафы за обработку персональных данных, несовместимую с целями обработки:

• Для граждан: 10 000 - 15 000 рублей
• Для должностных лиц: 50 000 - 100 000 рублей
• Для юридических лиц: 150 000 - 300 000 рублей

Штрафы за неуведомление Роскомнадзора:

• Для граждан: от 5 000 до 10 000 рублей
• Для должностных лиц — от 30 000 до 50 000 рублей
• Для юридических лиц: от 100 000 до 300 000 рублей

Штрафы за утечки данных (по количеству пострадавших) для организаций и ИП:

• 1 000 — 10 000 человек: 3 — 5 млн ₽
• 10 000 — 100 000 человек: 5 — 10 млн ₽
• Более 100 000 человек: 10 — 15 млн ₽

Штрафы за трансграничную передачу (хранение на зарубежных серверах):

• Первое нарушение: 1 — 6 млн рублей
• Повторное: 6 — 18 млн рублей

 

Как подать уведомление в Роскомнадзор

Существует три способа подачи уведомления:

1. Бумажный способ:

• Отправка по почте в территориальный орган Роскомнадзора
• Уведомление должно быть подписано руководителем организации
• К уведомлению прилагается копия документа, удостоверяющего личность

2. Электронный способ:

• Через сайт Роскомнадзора с использованием УКЭП
• Требуется действующая усиленная квалифицированная электронная подпись
• Уведомление подписывается руководителем организации

3. Через Госуслуги:

• Требуется подтвержденная учетная запись
• Необходима привязка организации
• Уведомление подписывается электронной подписью

 

Подача уведомления носит разовый характер и означает принятие на себя функций оператора персональных данных. Помимо этого нужно иметь ряд внутренних документов, регламентирующих работу с персональными данными и выполнять мероприятия по их защите.

 

Важные рекомендации

Организация защиты данных:

• Назначьте ответственного за обработку персональных данных
• Разработайте политику конфиденциальности
• Составьте реестр обрабатываемых персональных данных
• Проведите аудит существующих согласий на обработку
• Внедрите технические средства защиты информации

Работа с согласиями:

• Используйте актуальные формы согласий
• Укажите конкретные цели обработки (Принцип минимизации: обрабатываете только те данные, которые отвечают целям обработки)
• Укажите срок действия согласия
• Предусмотрите возможность отзыва согласия
• Храните копии согласий не менее 3 лет

Обучение персонала:

• Проведите инструктаж сотрудников
• Обучите правилам работы с персональными данными
• Объясните ответственность за нарушения
• Организуйте периодическое повышение квалификации

Технические меры защиты:

• Используйте шифрование данных
• Внедрите системы антивирусной защиты
• Регулярно обновляйте программное обеспечение
• Проводите резервное копирование данных

 

Передача данных за границу

Перед отправкой данных в другую страну необходимо:

• уведомить Роскомнадзор о намерении трансграничной передачи
• проверить, что страна в официальном перечне "безопасных"
• получить согласие человека на трансграничную передачу
• провести оценку мер защиты ПД у получателя

В случае передачи ПД в "небезопасные" страны необходимо получить разрешение Роскомнадзора 

 

Дополнительные меры безопасности

Физическая защита:

• Контроль доступа в помещения
• Видеонаблюдение
• Системы контроля и управления доступом
• Сейфы для хранения бумажных носителей

Организационные меры:

• Разработка регламентов обработки данных
• Создание инструкций по работе с персональными данными
• Ведение журналов регистрации событий
• Проведение регулярных проверок безопасности
• Документирование всех операций с данными
• Если у вас есть сайт или приложение, то необходимо сделать отдельную страницу "Политика конфиденциальности" и отдельное «Согласие пользователей» (не в пользовательском соглашении и без предустановленных галочек в формах)

 

Как избежать штрафов

Рекомендуется:

• Проверьте наличие вашей организации в Реестре операторов персональных данных
• Убедитесь в актуальности указанных целей обработки данных
• При необходимости подайте уведомление об изменении сведений
• Доработайте политику обработки персональных данных
• Проведите аудит имеющихся согласий на обработку данных
• Регулярно проводите мониторинг изменений законодательства
• Организуйте систему внутреннего контроля
• Проводите регулярные проверки на соответствие требованиям

 

Помните, что Роскомнадзор проводит регулярные проверки как с взаимодействием с организациями, так и без него. Своевременное уведомление и соблюдение требований законодательства помогут избежать серьезных финансовых потерь.

 

К сведению:
сейчас активизировались «специализирующиеся на защите персональных данных» лица, которые пугают «письмами из ФСБ»
и предлагают решить такие проблемы за вознаграждение.
Будьте внимательны и аккуратны!