Важные обновления в законодательстве о персональных данных!

С 30.05.2025

--существенно увеличен размер санкций за нарушение требований к обработке персональных данных,

-- вводится административная ответственность за утечку персональных данных

Рассмотрим, за какие нарушения увеличены (введены) штрафы с 30.05.2025

1. Практически каждый день очень многие из нас при осуществлении предпринимательской деятельности получают от других лиц персональную информацию, такую, как ФИО, телефон, адрес электронной почты, паспортные данные, адрес проживания и др. Перечисленные персональные данные необходимы для заключения и исполнения договоров, доставки товара, осуществления рекламной или информационной рассылки своим клиентам, возврата денежных средств, а также реализации других целей обработки персональных данных. Полученные персональные данные клиентов, сотрудников, исполнителей сохраняются в базах данных, вносятся в таблицы, ранжируются, передаются другим лицам и обрабатываются иным способом.

Законодательство о персональных данных устанавливает исчерпывающий перечень случаев, при которых допускается обработка персональных данных. К таким случаям, в частности, относятся: обработка персональных данных с согласия физического лица или для исполнения договора, заключенного с лицом, чьи персональные данные обрабатываются.

Кроме того, обработка персональных данных должна ограничиваться достижением законных целей, содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Например, если вы хотите сделать рассылку рекламных материалов, то получение от клиента адреса электронной почты будет соответствовать целям обработки, а вот запрос его паспортных данных будет избыточным.

Изменениями от 30.11.2024 существенно увеличены штрафы за:

обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо за обработку, несовместимую с целями сбора персональных данных –

для физ. лиц -- от 10 000 до 15 000 руб.;

для ИП—от 50 000 до 100 000 руб.

для юр. лиц --от 150 000 до 300 000 руб.

2. Любое лицо, которое планирует обрабатывать персональные данные, обязано до начала обработки подать в Роскомнадзор уведомление о намерении осуществлять обработку.

Ранее за такое не уведомление специальные санкции не были предусмотрены законом.

Изменениями от 30.11.2024 введена ответственность за невыполнение и / или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных:

для физ. лиц -- от 5 000 до 10 000 руб.;

для ИП и юр. лиц —от 100 000 до 300 000 руб.

3. Законом о персональных данных для случаев неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных (далее—утечка), установлена обязанность уведомить Роскомнадзор с момента выявления такого инцидента:

--в течение 24 часов о произошедшем инциденте;

-- в течение 72 часов о результатах внутреннего расследования выявленного инцидента.

Для того, чтобы своевременно выполнить указанные обязанности, у оператора должны быть документы, регламентирующие порядок выявления утечки, проведения внутреннего расследования и уведомления Роскомнадзора.

Изменениями от 30.11.2024 введена ответственность:

-- за невыполнение и / или несвоевременное выполнение обязанности по уведомлению Роскомнадзора в случае утечки персональных данных

для физ.лиц -- от 50 000 до 100 000. руб.

для ИП и юр. лиц — от 1 млн до 3 млн руб.

--за утечку персональных данных от 1 000 до 10 000 субъектов и / или от 10 000 до 100 000 идентификаторов

для физ. лиц – 100 000 до 200 000 руб.

для ИП и юр.лиц - от 3 млн до 5 млн руб.

Более того, с 11.12.2024 установлена уголовная ответственность за незаконные использование и/или передачу, сбор и/или хранение компьютерной информации, содержащей персональные данные, а также за создание и /или обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и /или распространения персональных данных.

Что делать?

1. операторам, которые не успели подать уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных, следует это сделать в ближайшее время,

2. проверить цели обработки, содержание и объем персональных данных в Политике конфиденциальности

3. разработать документацию, регламентирующую порядок выявления утечки, проведения внутреннего расследования и уведомления Роскомнадзора.

Соблюдение законодательства поможет избежать серьезных финансовых потерь и сохранить доверие клиентов. А если нужна помощь в составлении документов -- обращайтесь!