Новые правила в работе с персональными данными: как обезопасить бизнес от претензий и штрафов от Роскомнадзора
С конца мая 2025 года многие предприниматели и самозанятые столкнулись с очередным риском штрафных санкций от надзорных ведомств. На этот раз речь не о налоговой, а о Роскомнадзоре. Дело в том, что 30 мая вступил в силу Федеральный закон № 420-ФЗ, который ужесточает ответственность за нарушения, связанные с обработкой персональных данных. Проблема в том, что далеко не все, кто по закону является оператором персональных данных, знают об этом, поэтому штрафы могут «прилететь» совершенно неожиданно и оказаться крайне болезненными. Рассказываем о том, как соблюдать законодательство и избежать претензий РКН.
Что такое персональные данные, кто их собирает и обрабатывает
Согласно положениям Федерального закона № 152 — ФЗ («Закон о персональных данных»), под персональными данными (ПД) понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу.
Кроме того, в п. 2 ст. 3 того же закона дается определение оператора персональных данных. Это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
А из п. 3 данной статьи можно узнать, что понимается под обработкой персональных данных — «любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
Кроме того, в п. 2 ст. 3 того же закона дается определение оператора персональных данных. Это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
А из п. 3 данной статьи можно узнать, что понимается под обработкой персональных данных — «любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
Что это означает на практике?
Во-первых, под персональными данными подразумевается любая информация о физическом лице, которая позволяет идентифицировать человека как личность. То есть, прежде всего — паспортные данные, информация о месте работы и должности, адрес прописки и фактического проживания, адрес электронной почты, номер телефона и др. Кроме того, в эту же категорию попадает биометрическая информация — отпечатки пальцев, слепок голоса, ДНК и др.
Во-вторых, оператором персональных данных считается абсолютно любое ООО, ИП или самозанятый: все, кто собирает и хранит такую информацию на каком-либо материальном носителе (к которому теоретически могут иметь доступ третьи лица). Например, данные сотрудников или подрядчиков, посетителей сайта, подписчиков в социальных сетях, адреса покупателей для доставки им товара, клиентов в CRM и многое другое. Вместе с тем, в законе перечислены случаи, когда юрлицо/ИП/самозанятый не подпадают под категорию «оператор персональных данных»:
1. Обработка и хранение данных для личных/семейных нужд.
2. Обработка и хранение данных, содержащих государственную тайну.
3. Обработка и хранение документов Архивного фонда и иных архивных документов, содержащих ПД, в соответствии с законодательством об архивном деле.
Во-вторых, оператором персональных данных считается абсолютно любое ООО, ИП или самозанятый: все, кто собирает и хранит такую информацию на каком-либо материальном носителе (к которому теоретически могут иметь доступ третьи лица). Например, данные сотрудников или подрядчиков, посетителей сайта, подписчиков в социальных сетях, адреса покупателей для доставки им товара, клиентов в CRM и многое другое. Вместе с тем, в законе перечислены случаи, когда юрлицо/ИП/самозанятый не подпадают под категорию «оператор персональных данных»:
1. Обработка и хранение данных для личных/семейных нужд.
2. Обработка и хранение данных, содержащих государственную тайну.
3. Обработка и хранение документов Архивного фонда и иных архивных документов, содержащих ПД, в соответствии с законодательством об архивном деле.
Если вы — оператор персональных данных
Итак, все, кто в каком-либо виде собирает и хранит информацию о клиентах или контрагентах и не попадает под указанные выше исключения, имеют статус оператора персональных данных. Соответственно, об этом необходимо подать уведомление в Роскомнадзор, после чего оператор ПД будет включен в специальный открытый реестр.
Отметим, такой реестр существует уже достаточно давно — с октября 2009 года, но раньше регистрироваться в нем можно было после фактического начала работы с ПД. Теперь это нужно делать до начала такой работы. То есть, по сути, все операторы ПД и те, кто планирует ими стать, должны были подать уведомление в РКН до 30 мая 2025 года.
Второй важный момент: при отсутствии уведомления РКН сначала может вынести предупреждение, а дальнейшее бездействие повлечет за собой крупные штрафные санкции. Штрафы за такое нарушение были и до поправок, но в пределах всего нескольких тысяч рублей, поэтому мало кто обращал на это внимание. Теперь они увеличились в десятки и даже сотни раз:
Такие изменения ФЗ № 420-ФЗ внес в статью 13.11 КоАП РФ. Вместе с тем, появились и новые штрафы, связанные с утечкой персональных данных. На их размер влияет масштаб и некоторые другие параметры утечки. Так, утечка ПД от 1 до 10 тыс. человек грозит ИП и ООО штрафом от 3 до 5 млн рублей; за утечку ПД специальных категорий (политические взгляды, национальная принадлежность, подробности интимной жизни и др.) им придется заплатить уже от 10 до 15 млн рублей, а если данные биометрические — от 15 до 20 млн рублей (физические лица заплатят в этом случае от 400 до 500 тыс. рублей). Кроме того, за повторную утечку к бизнесу применят оборотный штраф (1−3% от годового оборота). А если бизнес, самозанятый или должностное лицо не уведомят РКН об утечке, то получат еще один штраф в размере от 1 до 3 млн рублей. В некоторых случаях предполагается даже уголовная ответственность.
Отметим, такой реестр существует уже достаточно давно — с октября 2009 года, но раньше регистрироваться в нем можно было после фактического начала работы с ПД. Теперь это нужно делать до начала такой работы. То есть, по сути, все операторы ПД и те, кто планирует ими стать, должны были подать уведомление в РКН до 30 мая 2025 года.
Второй важный момент: при отсутствии уведомления РКН сначала может вынести предупреждение, а дальнейшее бездействие повлечет за собой крупные штрафные санкции. Штрафы за такое нарушение были и до поправок, но в пределах всего нескольких тысяч рублей, поэтому мало кто обращал на это внимание. Теперь они увеличились в десятки и даже сотни раз:
- Для юридических лиц и ИП размер штрафа составляет от 100 до 300 тыс. рублей за первичное нарушение, и до 500 тыс. руб. за повторное.
- Должностным лицам придется заплатить от 30 до 50 тыс. руб.
- Физические лица (самозанятые) — от 5 до 10 тыс. руб.
Такие изменения ФЗ № 420-ФЗ внес в статью 13.11 КоАП РФ. Вместе с тем, появились и новые штрафы, связанные с утечкой персональных данных. На их размер влияет масштаб и некоторые другие параметры утечки. Так, утечка ПД от 1 до 10 тыс. человек грозит ИП и ООО штрафом от 3 до 5 млн рублей; за утечку ПД специальных категорий (политические взгляды, национальная принадлежность, подробности интимной жизни и др.) им придется заплатить уже от 10 до 15 млн рублей, а если данные биометрические — от 15 до 20 млн рублей (физические лица заплатят в этом случае от 400 до 500 тыс. рублей). Кроме того, за повторную утечку к бизнесу применят оборотный штраф (1−3% от годового оборота). А если бизнес, самозанятый или должностное лицо не уведомят РКН об утечке, то получат еще один штраф в размере от 1 до 3 млн рублей. В некоторых случаях предполагается даже уголовная ответственность.
Как избежать претензий и штрафов со стороны РКН
Прежде всего, нужно заполнить и подать уведомление в РКН о том, что вы планируете начать работать или уже работаете с ПД. Рекомендуем сделать это даже в том случае, если вы ранее уже были включены в соответствующий реестр РКН. Подать заявление можно через личный кабинет на сайте РКН, через сервис «Госуслуги», по почте, либо лично. Подробности можно уточнить здесь.
В заявлении необходимо указать реквизиты оператора ПД, какие именно ПД будут обрабатываться (контактная информация, паспортные данные и т. п.), чьи это ПД — клиентов, сотрудников и т. д., цели и методы обработки, меры по защите ПД.
Кроме этого, необходимо разработать, прописать и выложить в открытый доступ (например, на сайте) политику в отношении обработки ПД (политика конфиденциальности). В ней должны быть четко указаны виды собираемых ПД, цель их использования, форма согласия на обработку и отказа от нее. Если речь идет о работе с контрагентами, например, сбор персональных данных руководителя компании для заключения договора (это часто используется, например, при заключении договоров по итогам тендерных закупок), последний должен подписать документ о согласии, где прописывается все то же самое.
И, конечно, очень важно обеспечить надежную защиту ПД, чтобы они ни при каких обстоятельствах не попали в третьи руки.
В заявлении необходимо указать реквизиты оператора ПД, какие именно ПД будут обрабатываться (контактная информация, паспортные данные и т. п.), чьи это ПД — клиентов, сотрудников и т. д., цели и методы обработки, меры по защите ПД.
Кроме этого, необходимо разработать, прописать и выложить в открытый доступ (например, на сайте) политику в отношении обработки ПД (политика конфиденциальности). В ней должны быть четко указаны виды собираемых ПД, цель их использования, форма согласия на обработку и отказа от нее. Если речь идет о работе с контрагентами, например, сбор персональных данных руководителя компании для заключения договора (это часто используется, например, при заключении договоров по итогам тендерных закупок), последний должен подписать документ о согласии, где прописывается все то же самое.
И, конечно, очень важно обеспечить надежную защиту ПД, чтобы они ни при каких обстоятельствах не попали в третьи руки.
