С 30 мая 2025 года вырастут штрафы за нарушения при обработке персональных данных

С 30 мая 2025 года вырастут штрафы за нарушения при обработке персональных данных

Cтатья опубликована на сайте https://its.1c.ru/

С 30 мая 2025 года существенно увеличатся штрафы за нарушения при обработке персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ, далее – Закон № 420-Ф3). Кроме того, Законом № 420-ФЗ введены новые составы нарушений и ответственность за них. В отдельные составы выделены нарушения, касающиеся массовой утечки персональных данных. Подробнее см. комментарий.

В связи с изменениями в законодательстве у операторов персональных данных возникает вопрос о необходимости подачи в Роскомнадзор до 30 мая 2025 года уведомления о намерении обрабатывать персональные данные.

В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) операторами являются организации и физические лица (в т. ч. ИП), которые самостоятельно или совместно с другими лицами обрабатывают персональные данные физических лиц (работников, клиентов и др.). Если организация или ИП обрабатывает персональные данные физлиц, они должны быть включены в реестр операторов персональных данных. Для этого необходимо представить соответствующее уведомление в Роскомнадзор (ч. 1 ст. 22 Закона № 152-ФЗ). Направить уведомление необходимо до начала обработки персональных данных.

Отметим, что в Законе № 152-ФЗ нет точных сроков, в течение которых оператор должен направить в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Единственное требование в законе – уведомление должно быть подано до начала обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Таким образом, обработка персональных данных без уведомления Роскомнадзора – это уже нарушение законодательства о персональных данных. Срок давности привлечения к ответственности за него исчисляется с даты обнаружения, т. е. с даты, когда Роскомнадзор выяснил, что персональные данные обрабатываются, а уведомление не подавалось.

Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Роскомнадзора от 28.10.2022 № 180. Ранее применялась форма уведомления, приведенная в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94.

При этом ч. 2 ст. 22 Закона № 152-ФЗ предусматривает ряд случаев, когда уведомлять Роскомнадзор необязательно. С 1 сентября 2022 года из ч. 2 ст. 22 Закона № 152-ФЗ исключили нормы, которые позволяли работодателям обрабатывать персональные данные без уведомления Роскомнадзора, если сведения о работнике были получены в рамках трудового законодательства.

Также были исключены случаи обработки персональных данных:

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, в иных аналогичных целях и др.

Следовательно, на работодателей (организации и ИП) и других операторов только с 1 сентября 2022 года была возложена обязанность по уведомлению Роскомнадзора о намерении обрабатывать персональные данные работников и других физлиц. Для тех категорий операторов, у которых обязанность обрабатывать персональные данные появилась только с 1 сентября 2022 года, Закон № 152-ФЗ не установил переходных положений. Поэтому считаем целесообразным подать такое уведомление после 1 сентября 2022 года, если оно ранее не подавалось. Поскольку сроки представления уведомления не установлены, его можно подать в Роскомнадзор сейчас.

При этом операторы персональных данных, которые не являются работодателями, были обязаны направить уведомление в Роскомнадзор еще раньше, то есть до вступления в силу упомянутых выше изменений, внесенных в Закон № 152-ФЗ, то есть до 1 сентября 2022 года. Если операторы обрабатывают персональные данные без уведомления Роскомнадзора, они нарушают законодательство. В такой ситуации есть риск привлечения операторов к ответственности за неуведомление Роскомнадзора по ст. 19.7 КоАП РФ (если нарушение обнаружено до 30 мая 2025 года) или по ч. 10 ст. 13.11 КоАП РФ (если нарушение обнаружено после 30 мая 2025 года).

Если операторы подадут уведомление в Роскомнадзор сейчас, то, полагаем, ведомство также признает это нарушением, а именно несвоевременной подачей уведомления о намерении обрабатывать персональные данные, что повлечет ответственность по ст. 19.7 КоАП РФ.

Напомним, что с 30 мая 2025 года размеры штрафов за нарушения будут повышены. За невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных установлен штраф (ч. 10 ст. 13.11 КоАП РФ):

  • для граждан – в размере от 5000 до 10 000 руб.;
  • для должностных лиц государственного или муниципального органа либо некоммерческой организации (далее – НКО) – от 30 000 до 50 000 руб.;
  • для организаций, которые не являются государственным (муниципальным) органом или НКО и ИП – от 100 000 до 300 000 руб.

Ранее в КоАП РФ не было отдельного состава нарушения, связанного с неисполнением обязанности по уведомлению Роскомнадзора о намерении обрабатывать  персональные данные. Поэтому до 30 мая 2025 года применяются нормы ст. 19.7 КоАП РФ, которая устанавливает ответственность за непредставление или несвоевременное представление сведений (информации) в орган государственного контроля (надзора).

Ответственность по этой статье существенно меньше, а штрафы ниже:

  • для граждан – предупреждение или штраф в размере от 100 до 300 руб.;
  • для должностных лиц – предупреждение или штраф в размере от 300 до 500 руб.;
  • для организаций – предупреждение или штраф в размере от 3000 до 5000 руб.

152DOC для 1С — конструктор технической документации в области защиты информации. Сервис помогает разработать документы по защите персональных данных и эксплуатации средств криптографической защиты информации в соответствии с законодательством РФ. 

Функционал сервиса «152DOC для 1С»

  • Автоматическое заполнение части данных об участнике «152DOC для 1С» на основании данных из ЕГРЮЛ;
  • Взаимодействие с КЛАДР / ФИАС (ГАР) – для стандартизации и унификации ввода адресов;
  • Заполнение шаблонов для генерации ОРД и документов по эксплуатации;
  • Визуализация прогресса заполнения данных, необходимых для генерации комплектов документов;
  • Генерация комплекта документов ОРД;
  • Генерация комплекта документов по эксплуатации СКЗИ
  • Обеспечение архивного хранения созданных документов, и сведений об их создании;
  • Скачивание комплекта документов в удобных форматах *.doc и *.rtf;
  • Генерация Уведомления в Роскомнадзор в формате *.pdf;
  • Сервис для проверки сайтов на наличие файлов Cookies и метрических программ. По итогу проверки выдаются рекомендации по приведению сайта в соответствии с требованиями 152-ФЗ*; 
  • Справочники ИСПДн, Базы данных, Филиалы;
  • Раздел Академия: видеоролики – для проведения обучения сотрудников по теме «Персональные данные»; 
  • Загрузка списков сотрудников, для быстрого заполнения документов;
  • Конструктор для создания документов Согласия (все типы форм);
  • Возможность составлять документы для списка сотрудников.

За консультацией по приобретению данного сервиса вы можете обратиться к нашему эксперту по телефону +7(4922)49-48-40