Что надо сделать до весны, чтоб не платить миллионные штрафы в Роскомнадзор

В 2025 закончится мораторий на проверки. Это значит, что Роскомнадзор (далее также — РКН) начнет проверять организации, работающие с персональными данными (далее — ПД). Однако многие компании малого бизнеса по-прежнему пребывают в иллюзии, что их это не коснется. Между тем, даже за некорректно оформленный «баннер с галочкой» можно получить штраф в 700 000 рублей.

Давайте разберемся, что можно сделать уже сейчас, чтобы снизить риски штрафов и репутационных потерь и не быть застигнутым врасплох в случае проверок от РКН.

Материал подготовили:

Так часто говорят руководители малого бизнеса, ссылаясь на то, что у них «только один директор» или «я ИП, при чем тут Роскомнадзор?».

Развеем мифы: даже если у вас нет сотрудников, или вы обрабатываете только ФИО и контакты контрагента — вы тоже оператор персональных данных. И требование закона о необходимости уведомлять РКН на вас также распространяется.

Разберем ситуацию:

Вы как ИП организуете чужие свадьбы и праздники. Но вот сейчас сами готовитесь вступить в брак и составляете список гостей на свадьбу с указанием номеров телефонов и email. Вы в этом случае оператор персональных данных? Правильный ответ: нет. В личных целях можно обрабатывать ПД и не уведомлять об этом Роскомнадзор.

А вот если вы по списку гостей потом направите от своего ИП коммерческое предложение об организации праздника, то в этом случае вы действуете как оператор ПД. О такой обработке необходимо уведомить РКН.

Вывод: Уже после появления в ЕГРЮЛ записи о регистрации компании или ИП необходимо уведомить РКН о своем статусе оператора ПД. Масштаб бизнеса не имеет значения.

Обязанность уведомить РКН о своем статусе оператора ПД была и раньше. Однако штраф за неуведомление составлял 5 000 рублей. По этой причине многие принимали решение «лучше вообще не подам уведомление, чем подам, а меня еще и проверят, соответствую ли я своему уведомлению».

Однако в декабре 2024 ситуация изменилась. Принят закон, увеличивающий штраф за неуведомление РКН для ИП до 100 000 рублей, а для ЮЛ — до 300 000 рублей. Причем этим штрафом облагается не только факт неуведомления, но и поданное с неточностями уведомление.

Например, ваша компания подавала уведомления в РКН 3-5 лет назад, указав только «базу»: обработка ПД для целей кадрового оборота и исполнения законодательства о бухгалтерском и налоговом учете, т. е. ровно то, что есть абсолютно в каждой компании. Однако на сегодняшний момент на вашем сайте есть баннер с окошком обратного звонка для посетителя. А это самостоятельная цель обработки. У нее свои условия и сроки. Это значит, что вам необходимо подать уточненное уведомление в РКН. В противном случае — штраф.

Закон о новых суммах штрафов вступает в силу 30.05.2025 г. Таким образом, до этой даты вам нужно подать уведомление в РКН либо при необходимости уточнить ранее поданное.

Формальный подход к подаче уведомления может привести к ошибкам. Почему?

Во-первых, это может привести к отказу в регистрации в реестре операторов ПД. Во-вторых, в случае, если на проверке РКН выявит расхождение реальной картины вашего оборота ПД с тем, что вы указали в уведомлении, это приведет к штрафам.

Краткую дорожную карту мероприятий ДО подачи уведомления приводим ниже:

1. Понять, в каких процессах в компании обрабатываются ПД (в результате появляется «Реестр процессов»).

2. Проверить, чьи ПД, в каком объёме и в каких целях обрабатываются (наполняем «Реестр процессов»).

3. Составить перечень информационных систем, в которых компания обрабатывает ПД (фиксируете периметр вашей ответственности).

4. Актуализировать / создать с нуля обязательные локальные документы (как минимум, утвердить ответственного за обработку ПД и принять Положение о порядке обработки ПД).

5. Проверить, что все письменные согласия имеются и отвечают требованиям закона (минимизируем риск получить штраф до 700 000 руб).

Этот перечень — минимальный набор действий, но далеко не полный.

Документальное оформление оборота персональных данных по всем правилам — это большой фронт работ. Он может занять несколько месяцев, что очень пугает многие компании, и часто кажется, что на это совсем нет ресурса.

Мы попробуем этот миф развеять. Это тот самый случай, когда «слона нужно есть по частям». Главное — увидеть эти части и понять их значение применительно к вашим процессам.

Условно мы разделяем работу с персональными данными на несколько блоков:

Разберем их подробнее.

Фасадный блок — это must have. Конечно, название условное, но характерное. Это «фасад» или «лицо» оператора ПД. В него мы включаем все те данные, которые РКН может увидеть без извещения о проверке, просто посмотрев ваш сайт. Именно поэтому мы рекомендуем начинать работу с ПД с этого блока.

Здесь мы смотрим, есть ли на сайте политика обработки ПД, учитывающая требования актуального законодательства, корректно ли оформлены окошки обратной связи и прочие согласия на обработку ПД пользователей и пр. Все эти детали важны.

Для примера, вот штрафы за отсутствие или некорректные документы «фасадного» блока.

Блок внутренних отношений: здесь проводится работа по приведению в порядок документов, которыми должны руководствоваться сотрудники компании для обеспечения правил работы с ПД.

В этом блоке сосредоточен самый большой объем необходимых документов. Вот примеры штрафов за отсутствие некоторых из них:

Блок внешних коммуникаций — самый важный в снижении негативных последствий от утечек ПД.

Здесь мы работаем со всеми случаями передачи ПД вашим контрагентам (бухгалтер на аутсорсе, самозанятый разработчик, компания-интегратор или те, с кем компания использует API-методы и т. д.).

При проверке РКН будет анализировать наличие поручения на обработку ПД с вашими контрагентами или корректность условия передачи ПД. Отсутствие или неверные условия передачи ПД могут привести к штрафам до 700 000 рублей. При этом наличие корректно очерченной зоны ответственности при передаче ПД от/к контрагентам может помочь снизить или совсем аннулировать потенциальные штрафы от РКН.

Блок инфобезопасности — это вишенка на торте. Он посвящен технической стороне вопроса и выполняется в паре со специалистом по информационной безопасности. Здесь мы выявляем технические характеристики вопросов оборота ПД в компании, разрабатываем техническую и эксплуатационную документации для информационных систем в компании, формируем модель угроз.

Для чего нужен блок инфобезопасности:

1. Его наличие смягчает или снимает полностью ответственность при утечках ПД

2. Имеет огромное значение при Due diligence и оценке компании, в т. ч. ее безопасности.

3. Важен при взаимодействии с крупными игроками рынка, для контрактов с которыми важны высокие стандарты инфобезопасности.

Вывод: когда вы видите работу с ПД в виде смысловых блоков, она не кажется непосильной. В зависимости от конкретной ситуации будет понятно, с чего вам лучше начать. В каких-то случаях важнее начать с внутреннего блока и, в первую очередь, обезопасить внутренний оборот. А в иных случаях, важнее всего заняться «фасадной» частью, чтоб сделать корректной получение и оборот ПД пользователей вашего сервиса. Так у вас появится пошаговый план, с которым «дорогу осилит идущий». Чтоб увидеть состояние своих блоков и разработать такой порядок действий, вам понадобится аудит работы с ПД.

Аудит работы с ПД — это анализ имеющихся процессов по обработке ПД и документов по ним. Поскольку процессы время от времени меняются, то и файл с результатами аудита будет разным с течением времени.

Аудит нужен операторам ПД для 3 основных целей:

Разберем их подробнее.

Аудит для уведомления РКН

Сформировать и подать уведомление в РКН можно как с помощью профильных специалистов, так и своими силами. Сложность процедуры зависит от количества процессов, в которых вы обрабатываете ПД.

Примерный алгоритм подготовки к подаче уведомления мы описали выше, и он строится на базовом аудите обработки ПД. Это позволяет увидеть полную картину оборота ПД в вашей компании перед заполнением уведомления. Так вам будет очевидно, где при необходимости «подстелить соломки», составив план доработок по созданию необходимых документов.

Аудит для оперативного реагирования на изменения

Результат аудита поможет сформировать дорожную карту по работе с ПД в компании, ведь он учитывает все процессы с ПД, наличие/отсутствие необходимых документов, очерчивает круг ответственности оператора ПД и его контрагентов.

Если какой-то бизнес-процесс в компании изменился, то создать для него корректную юридическую обвязку намного эффективнее (читай: быстрее и точнее), имея под рукой карту всех процессов.

Это все равно что чинить часовой механизм: бессмысленно чинить саму шестеренку, надо видеть ее связи в цепочке всего механизма.

Аудит для снижения штрафов за утечки

Для многих это пока менее очевидная причина проводить аудит. Однако качественно проведенный аудит можно превратить в официальный план пошагового действия. В нем потребуется учесть все необходимые меры по защите ПД согласно ст. 18.1 ФЗ № 152-ФЗ «О персональных данных». Наличие такого плана уже может быть основой для снижения суммы штрафа.

Это предусмотрено новой редакцией п.3.4.-2 ст. 4.1 КоАП РФ (в ред. ФЗ от 30.11.2024 N 420-ФЗ). Для снижения ответственности за утечку ПД компании нужно будет подтвердить 3 условия:

Рассмотрим это правило на примере.

В декабре 2025 г происходит утечка данных клиентов Компании А (более 1 млн идентификаторов).

Как Компания А может снизить штрафы:

Вывод: новая реальность для бизнеса в том, что добросовестное принятие мер по защите ПД на постоянной основе — это шанс снизить потенциальные штрафы от утечек ПД, от которых защитится может далеко не каждый.

В 2025 работой персональными данными придется заняться всем видам бизнеса: от ИТ-гигантов до булочной у дома.

Если раньше считалось, что достаточно иметь политику и согласие, то сейчас очевидно, что придется смотреть глубже в бизнес-процессы. Цифровизация бизнеса и тотальный межведомственный обмен оголили все связи компании, сделали прозрачнее ее коммуникацию с иными операторами и субъектами ПД.

Выше мы показали, что процесс создания корректной юридической обвязки по работе с ПД не такой сложный, если разобрать его на части. Безусловно, на такую работу понадобятся дополнительные ресурсы. Придется привлечь privacy-специалиста (в штат или найти подрядчика) или обучить кого-то из своих сотрудников.

Видимо, пришла пора изменить свои стереотипы и признать, что работа с ПД становится таким же постоянным спутником бизнеса, как и налоги. Теперь высокие расходы на работу с ПД постепенно станут такой же нормой, как хорошие услуги налоговых консультантов.

Хочется подчеркнуть, что такие ресурсы окажутся хорошей инвестицией в информационную безопасность компании и помогут оградить ее от финансовых санкций и репутационных потерь.

Если у вас остались вопросы, вы можете обратиться к нам: +7 (969) 790-00-90, написать в телеграм @aglrequest или по электронной почте info@ag-legal.ru. Или задать их в комментариях под статьей.

Подписывайтесь на наш канал, где мы разбираем и другие актуальные для IT юридические вопросы.