Поправки в закон о персональных данных россиян: что нужно знать

Новый порядок, повышенная ответственность и штрафы. С 30 мая 2025 года вступят в силу поправки в КоАП, которые добавляют новые требования к обработке данных. Поправки ужесточают ответственность операторов персональных данных (ПДн).

Юридическим лицам и индивидуальным предпринимателям необходимо подать уведомление в Роскомнадзор (РКН), получить пакет документов, соответствующий текущему законодательству.

Рассказываем, в чем заключается ужесточение административной ответственности, какие риски существуют для операторов при неправильной обработке ПДн, какая ответственность будет за нарушение законодательства о защите ПДн, когда нужно подавать уведомление о начале обработки ПДн в Роскомнадзор.

Напомним, президент подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» в ноябре 2024 года:

Федеральным законом устанавливается административная ответственность за ряд административных правонарушений в области персональных данных, в том числе за невыполнение или несвоевременное выполнение оператором обязанностей по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных, по уведомлению такого уполномоченного органа в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, а также за действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей персональные данные.

Величина административного штрафа за такие действия (бездействие) оператора дифференцируется в зависимости от числа субъектов персональных данных и (или) идентификаторов.

Статус оператора ПДн

Оператор персональных данных — любая государственная структура, муниципальная организация, коммерческое предприятие или индивидуальные предприниматели, которые занимаются организацией и (или) реализацией процессов, связанных с обработкой ПДн. Данные организации устанавливают цели, для которых проводится обработка, а также определяют перечень необходимой им информации.

Роскомнадзор ведет реестр операторов ПДн. Сведения вносятся и исключаются из него на основании уведомлений, подаваемых операторами. Проверить, находится ли фирма в списках, можно на сайте РКН.

• Любая компания, которая работает с личными данными граждан, автоматически становится оператором ПДн. Учебные заведения, к примеру, хранят информацию об учениках, их родителях, о своих сотрудниках.
• Статус оператора и соответствующие обязанности компании по закону «О персональных данных» появляются у компании независимо от включения в реестр РКН. 
• Форма собственности компании не играет никакой роли: ООО или ИП. Это касается и отечественных компаний, и зарубежных компаний, работающих на территории России, либо собирающих сведения о россиянах.

Как компании должны соблюдать закон о защите ПДн

Для определенных организаций, таких как госорганы, существуют четкие инструкции по защите личной информации. Остальные компании и индивидуальные предприниматели сами определяют, как именно и в каком объеме им защищать ПДн. Самое важное, чтобы хранение информации гарантировало ее безопасность и неразглашение.

Какие правила нужно соблюдать, чтобы обеспечить сохранность ПДН 

• Во-первых, назначить ответственного за организацию обработки ПДн. 
• Во-вторых, разработать и утвердить Положение о защите ПДн; политику конфиденциальности ПДн пользователей сайта (при наличии сайта — разместить на сайте); политику компании в отношении обработки ПДн. 
• В-третьих, ознакомить работников с документами под роспись. 
• В-четвертых, необходимо осуществлять внутренний контроль за соблюдением закона «О персональных данных» и актуальностью локальных документов, своевременно представлять отчеты и уведомления в Роскомнадзор, уведомлять ведомство о трансграничной передаче данных по специальной форме.

Это требование только для тех предпринимателей, которые передают персональные данные своих клиентов или работников за границу: при бронировании гостиниц за границей или при отправке документов по электронной почте.

Риски операторов при неправильной обработке ПДн

Административная ответственность грозит организации и ее должностным лицам за обработку ПДн в следующих случаях:

• В случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ).
• В целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ).
• Без необходимого согласия или с неполными сведениями в согласии (ч. 2 ст. 13.11 КоАП РФ).

Без использования российских баз данных для записи, систематизации, хранения и извлечения персональных данных граждан РФ (ч. 5 ст. 18 Закона о персональных данных, ч. 8, 9 ст. 13.11 КоАП РФ).

Ответственность за нарушение закона о защите ПДн 

В соответствии со ст. 24 ФЗ «О персональных данных», нарушители требований закона несут ответственность согласно действующему законодательству. Помимо административной и уголовной ответственности, предусмотрена гражданско-правовая ответственность: виновник незаконного сбора, обработки и (или) передачи ПДн обязан возместить моральный вред по требованию пострадавшего, независимо от возмещения имущественного вреда и убытков.

Оператор несет прямую ответственность за вред, причиненный субъекту ПДн. Сотрудники оператора, допустившие нарушения, несут дисциплинарную ответственность перед работодателем в соответствии с Трудовым кодексом.

Штрафы

С 30 мая 2025 года вводятся штрафы за нарушения в сфере обработки персональных данных. Игнорирование запросов субъектов данных, невыполнение требований об уточнении, блокировании или уничтожении неполных, неточных, незаконно полученных данных влечет ответственность по ч. 5, 5.1 ст. 13.11 КоАП РФ.

Неправомерная передача, предоставление, распространение или доступ к персональным данным оператором, если это не уголовное преступление, влечет административные штрафы:

При утечке данных от 1 000 до 10 000 человек или от 10 000 до 100 000 идентификаторов штрафы составляют: 

• для обычных граждан — от 100 до 200 тыс. рублей;
• для должностных лиц — от 200 до 400 тыс. рублей;
• для организаций — от 3 до 5 млн рублей.

Если утечка затронула от 10 000 до 100 000 человек или от 100 000 до 1 000 000 идентификаторов:

• гражданам придется заплатить — от 200 до 300 тыс. рублей;
• должностным лицам — от 300 до 500 тыс. рублей;
• компаниям — от 5 до 10 млн рублей.

В случае, когда пострадали более 100 000 человек или утекло больше 1 000 000 идентификаторов, штрафы вырастают:

• до 300-400 тыс. рублей для граждан;
• до 400-600 тыс. рублей для должностных лиц;
• до 10-15 млн рублей  для юридических лиц.

Несообщение в Роскомнадзор о фактах неправомерной (случайной) передачи данных — штраф для юрлиц до 3 млн рублей (ч.11 ст. 13.11 КоАП РФ). 

За неправомерную передачу (распространение) биометрических данных предусмотрены штрафы до 20 млн рублей (ч.17 ст.13.11 КоАП РФ).

Уплата штрафов, выписанных РКН, не отменяет ответственности перед пострадавшими физическими лицами. Кроме этого, сохраняется уголовная ответственность за незаконное использование ПДн.

Согласие на обработку ПДн

Обработка персональных данных обычно требует согласия субъекта. Оно может быть оформлено документом или выражено действиями субъекта (проставлением галочки в электронной форме или договоре). Субъект вправе отозвать согласие в любое время. За детей и недееспособных согласие дают законные представители.

Если веб-сайт собирает и обрабатывает ПДн, включая cookie-файлы, он является информационной системой ПДн. 

• Необходимо уведомлять посетителей о сборе данных и получать их согласие.
• Если есть пользовательское соглашение (оферта), добавьте ссылку на него, иначе разместите текст согласия на обработку данных на отдельной странице и добавьте ссылку под форму.

Зачем и когда нужно подавать уведомление о начале обработки ПДн в РКН

Законодательство предусматривает три ситуации, освобождающие от необходимости уведомления Роскомнадзора об обработке персональных данных:

• если обрабатываемая информация является частью государственных информационных систем, созданных для обеспечения государственной и общественной безопасности;
• если обработка данных осуществляется в соответствии с законодательными нормами, регулирующими стабильную работу и безопасность транспортной системы;
• если обработка персональных данных происходит исключительно на бумажных носителях, без применения средств автоматизации.

В другой ситуации, перед началом обработки ПДн, нужно уведомить РКН. С 30 мая 2025 года вводится административная ответственность за неисполнение или несвоевременное исполнение данного обязательства. Для физических лиц предусмотрен штраф в размере до 10 тыс. рублей, а для юридических лиц — от 100 тыс. до 300 тыс. рублей.

Если организация существует уже давно, но еще не зарегистрирована в Реестре операторов, нужно подать уведомление в ближайшее время и прописать цели, в которых собираются персональные данные физических лиц.