Статья подготовлена с использованием нормативно-правовой базы по состоянию на 27.03.2025 г.
С 30 мая 2025 года вступают в силу изменения в ст. 13.11 Кодекса РФ об административных правонарушениях, в соответствии с которыми расширяется перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенно увеличиваются суммы штрафов за такие нарушения.
К административной ответственности могут быть привлечены как должностные и юридические лица, так и граждане (в частности, работники), обрабатывающие персональные данные субъектов с нарушением требований законодательства. Максимальный штраф предусмотрен для юридических лиц и ИП за неправомерную передачу биометрических персональные данные, на основании которых можно установить личность, – до 20 млн.руб.
Рассмотрим иные новые составы административных правонарушений, вступающие в силу с 30.05.2025 г. в разрезе минимального штрафа в рублях (для физических лиц / должностных лиц / юридических лиц и индивидуальных предпринимателей):
1. Неуведомление или несвоевременное уведомление* Роскомнадзора о неправомерной или случайной передаче (распространении, предоставлении доступа) персональных данных, повлекших нарушение прав субъектов персональных данных (50000 / 400000 / 1000000).
* Уведомлении о произошедшем инциденте, о предполагаемых причинах, нанесенном вреде, и принятых мерах по устранению последствий инцидента должно быть направлено в Роскомнадзор в течение 24 часов с момента выявления инцидента либо в течение 72 часов с момента проведения внутреннего расследования.
2. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные: если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния – ответственность различается в зависимости от количества раскрытых субъектов персональных данных и в зависимости от категорий персональных данных (100000 / 200000 / 3000000).
3. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, на основании которых можно установить личность (400000 / 1300000 /15000000).
4. С 01 июля 2025 года сбор персональных данных, в том числе через «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются (30000 / 100000 / 1000000).
Помимо новых составов административных правонарушений WESTLEGAL напоминает, за что еще может оштрафовать Роскомнадзор при неправильной работе с персональными данными? В случаях обработки персональных данных (минимальный штраф для физических лиц / должностных лиц / юридических лиц и индивидуальных предпринимателей, рублей):
1) несовместимой с целями сбора персональных данных (10000 / 50000 / 150000);
2) без согласия субъекта персональных данных (10000 / 100000 / 300000);
3) при отсутствии Политики в отношении обработки персональных данных и сведений о реализуемых требованиях к защите персональных данных (1500 / 6000 / 30000);
4) невыполнение оператором требований субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении (2000 / 8000 / 50000);
5) при отсутствии уведомления Роскомнадзора до начала обработки ПД с использованием средств автоматизации (5000 / 30000 / 100000).
Чтобы избежать ответственности WESTLEGAL рекомендуем организовать работу с персональными данными в соответствии с требованиями законодательства. Для этого необходимо:
1. Приказом назначить ответственного за обработку персональных данных.
2. Получить письменные согласия на обработку персональных данных с работников, соискателей.
3. Разработать Политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных, ознакомить с ними Работников, по возможности, разместить Политику на сайте, руководствоваться Политикой при обработке персональных данных.
4. При работе с физическими лицами (в том числе с ИП) – запрашивать с них согласие на обработку персональных данных – рекомендуется делать это отдельным документом.
5. Направить в Роскомнадзор уведомление об обработке персональных данных. На Портале персональных данных Роскомнадзора предоставлена возможность сформировать уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора.
С 30 мая 2025 года вступают в силу изменения в ст. 13.11 Кодекса РФ об административных правонарушениях, в соответствии с которыми расширяется перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенно увеличиваются суммы штрафов за такие нарушения.
К административной ответственности могут быть привлечены как должностные и юридические лица, так и граждане (в частности, работники), обрабатывающие персональные данные субъектов с нарушением требований законодательства. Максимальный штраф предусмотрен для юридических лиц и ИП за неправомерную передачу биометрических персональные данные, на основании которых можно установить личность, – до 20 млн.руб.
Рассмотрим иные новые составы административных правонарушений, вступающие в силу с 30.05.2025 г. в разрезе минимального штрафа в рублях (для физических лиц / должностных лиц / юридических лиц и индивидуальных предпринимателей):
1. Неуведомление или несвоевременное уведомление* Роскомнадзора о неправомерной или случайной передаче (распространении, предоставлении доступа) персональных данных, повлекших нарушение прав субъектов персональных данных (50000 / 400000 / 1000000).
* Уведомлении о произошедшем инциденте, о предполагаемых причинах, нанесенном вреде, и принятых мерах по устранению последствий инцидента должно быть направлено в Роскомнадзор в течение 24 часов с момента выявления инцидента либо в течение 72 часов с момента проведения внутреннего расследования.
2. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные: если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния – ответственность различается в зависимости от количества раскрытых субъектов персональных данных и в зависимости от категорий персональных данных (100000 / 200000 / 3000000).
3. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, на основании которых можно установить личность (400000 / 1300000 /15000000).
4. С 01 июля 2025 года сбор персональных данных, в том числе через «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются (30000 / 100000 / 1000000).
Помимо новых составов административных правонарушений WESTLEGAL напоминает, за что еще может оштрафовать Роскомнадзор при неправильной работе с персональными данными? В случаях обработки персональных данных (минимальный штраф для физических лиц / должностных лиц / юридических лиц и индивидуальных предпринимателей, рублей):
1) несовместимой с целями сбора персональных данных (10000 / 50000 / 150000);
2) без согласия субъекта персональных данных (10000 / 100000 / 300000);
3) при отсутствии Политики в отношении обработки персональных данных и сведений о реализуемых требованиях к защите персональных данных (1500 / 6000 / 30000);
4) невыполнение оператором требований субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении (2000 / 8000 / 50000);
5) при отсутствии уведомления Роскомнадзора до начала обработки ПД с использованием средств автоматизации (5000 / 30000 / 100000).
Чтобы избежать ответственности WESTLEGAL рекомендуем организовать работу с персональными данными в соответствии с требованиями законодательства. Для этого необходимо:
1. Приказом назначить ответственного за обработку персональных данных.
2. Получить письменные согласия на обработку персональных данных с работников, соискателей.
3. Разработать Политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных, ознакомить с ними Работников, по возможности, разместить Политику на сайте, руководствоваться Политикой при обработке персональных данных.
4. При работе с физическими лицами (в том числе с ИП) – запрашивать с них согласие на обработку персональных данных – рекомендуется делать это отдельным документом.
5. Направить в Роскомнадзор уведомление об обработке персональных данных. На Портале персональных данных Роскомнадзора предоставлена возможность сформировать уведомление в электронной форме и направить в его в территориальный орган Роскомнадзора.