2025-03-11 14:06:22

В конце 2024 года произошли изменения в федеральном законе № 152 "О персональных данных", которые прямо или косвенно могут вызвать риски бизнеса в связи с использованием информации о физических лицах (субъекте персональных данных). К таким понятиям персональных данных можно отнести: электронную почту, ФИО, ИНН, номер телефона с ФИО и другие их сочетания. Собирать, обрабатывать и хранить персональные данные необходимо строго в соответствии с федеральным законом №152-фз. Лицо, обрабатывающее персональные данные, становится оператором персональных данных (далее оператор ПДн). Оператором может быть как физическое лицо, так и индивидуальный предприниматель и самозанятый, физическое лицо в случае, если персональные данные используются не для личных нужд.

Обязательно при обработке персональных данных составляют Уведомление в Роскомнадзор для включения в Реестр. На сегодняшний момент нет практически организаций, которые не работают с персональными данными. На конец ноября 2024 года в реестре операторов Роскомнадзора зарегистрировано до 1 млн организаций и физлиц, при общем количестве юридических и физических лиц, зарегистрированных в России – 7,5 млн, не считая самозанятых.

30 ноября 2024 года введен федеральный закон, ужесточающий ответственность за отсутствие уведомлений. До мая 2025 года предупреждение составит 5 тыс. руб. (чаще Роскомнадзор выписывает предписание в форме предупреждения). После мая 2025 года штрафы значительно увеличиваются: на физическое лицо составят от 5 до 10 тыс. руб., должностное лицо – от 30 до 50 тыс. руб., на юридическое лицо и ИП – от 100 до 300 тыс. руб.

Проверить входит ли организация в реестр оператора Роскомнадзора можно напрямую на сайте, введя наименование организации или ИНН. Рекомендуется ИНН, что сокращает ошибки.

Роскомнадзор осуществляет постоянный мониторинг наличия организаций и физических лиц в реестре операторов, так как уведомления необходимо подавать при любых изменениях в уставной деятельности, местонахождении организации, смене лиц, ответственных за контроль персональных данных, изменение цели обработки персональных данных и иных внутренних локальных документах регламентирующих исполнение федерального закона № 152 «О персональных данных». Для анализа изменений в реестре операторов Роскомнадзор применяет искусственный интеллект и человеческие ресурсы. Обратите внимание, если уведомление (дата представлена на сайте реестра операторов) было подано до февраля 2023 года, то рекомендуется повторно подать уведомление, в связи с изменением формы Уведомления (в разрезе целей обработки персональных данных).

В законе 152-фз указаны действия об утечке персональных данных (копирование базы данных, копия базы данных доступна в интернет, обнаружен взлом данных, обнаружен шифровальщик), то необходимо в течение 24 часов подать Уведомление об инциденте на портале Роскомнадзора. А в течение 72 часов происходит расследование. Ответственность за неуведомление Роскомнадзора об утечке персональных данных с мая 2025 года штрафы для физических лиц достигнут максимум 100 тыс. руб., должностных лиц- от 400 до 800 тыс. руб., юридических лиц и ИП – от 1 млн. руб. до 3 млн. руб. в соответствии с ст. 13.11 КоАП РФ.

Сама утечка данных в соответствии с КоАП зависит от объема утечки. К примеру, объем утечки составляет от 1000 субъектов или 10 тыс. идентификаторов может повлечь штраф для физического лица – от 100 до 400 тыс. руб., для юридических лиц – от 5 до 15 млн. руб.

При этом повторный случай утечки персональных данных приведет к формированию оборотного штрафа от 1 до 3% от прошлогоднего оборота организации

Как отмечает эксперт Среднерусского института управления – филиал РАНХиГС Ирина Кружкова, штрафы могут быть суммированы и за неподачу уведомление и за саму утечку персональных данных, зависят от объема информации, которая «вышла» за пределы организации, то есть суммы могут быть увеличены. Эксперт подчеркивает, что должны быть приняты шаги со стороны юридического и физического лица для минимизации последствий ситуаций с потерей персональных данных: вложения в информационную безопасность (приобретение антивирусов, применение экранов для предотвращения угроз и др.), постоянное документальное подтверждение соблюдения требований к защите персональных данных (локальные акты, уведомления, обучение сотрудников, аудиты), соблюдение правил хранения персональных данных.

Отметим, что прибыль от применения персональных данных сомнительная, а риски бизнеса – существенно высоки!