30 мая 2025 года вступает в силу федеральный закон № 420-ФЗ, который ужесточает ответственность за несоблюдение требований обработки персональных данных. Он затронет практически всех предпринимателей, которые ведут клиентскую базу, работают с системой лояльности или рассылают своей аудитории электронные письма. О том, что должны сделать до 30 мая самозанятые, ИП и компании, чтобы не получить штрафы за нарушение законодательства в сфере личной информации, консультант компании b_152 Константин Холманов рассказал порталу Biz360.ru.
Константин Холманов – консультант по персональным данным компании b_152. Получил высшее юридическое образование. В компании b_152 консультирует клиентов по вопросам соблюдения законодательства о защите персональных данных, разрабатывает и внедряет в их фирмах документы, регламентирующие работу с личной информацией.
Новые требования федерального закона от 30.11.2024 № 420-ФЗ коснутся всех операторов персональных данных. То есть тех, кто собирает, хранит и использует в своих целях личную информацию о клиентах. Например, салоны красоты просят указать имя и контакты для записи на услуги. Крупные компании чаще используют CRM, так как обрабатывают данные на более высоком уровне. Самозанятые тоже хранят информацию о своих клиентах. Таким образом, поправки к закону затронут большинство предпринимателей.
До 30 мая 2025 года операторы персональных данных (организации, индивидуальные предприниматели и самозанятые) обязаны направить уведомление об обработке персональных данных в Роскомнадзор. Форма и порядок подачи этого документа утверждены приказом Роскомнадзора №180 от 28.10.2022.
В уведомлении нужно отразить несколько моментов.
-
Сведения об операторе.
-
Цели обработки персональных данных. Для каждой цели необходимо указать:
- категории персональных данных (ФИО, паспортные данные, номер телефона и т.д.);
- категории субъектов (сотрудники, клиенты, контрагенты и т.д.);
- правовое основание (согласие субъекта, договор и т.д.).
- Предпринятые меры для защиты данных:
- организационные – назначение ответственного за обработку, принятые локальные акты (политика обработки персональных данных), ограничение - доступа к данным;
- технические – шифрование и антивирусная защита, использование сертифицированных средств защиты.
-
Ответственный в компании за обработку персональных данных и его контакты.
-
Дата начала и срок обработки полученных данных.
-
Передаёт ли компания или предприниматель персональные данные за границу.
-
Местонахождение база данных организации или предпринимателя.
Отправить уведомление можно тремя способами:
- на сайте Роскомнадзора с помощью усиленной квалифицированной электронной подписи (КЭП);
- через сайт «Госуслуги»;
- по почте.
Отдельно нужно сообщать об изменениях в обработке персональных данных. Например, если решите использовать их для маркетинговых исследований, то есть появилась новая цель обработки. Или вы начали собирать дополнительные сведения о клиентах – дату рождения для создания специальных маркетинговых предложений.
Обязательна актуализация уведомлений в случае передачи персональных данных третьим лицам. Например, когда работодатель направляет сведения о своих сотрудниках страховой компании для оформления полиса ДМС.
Сообщать об изменениях в целях обработки персональных данных необходимо до 15-го числа месяца, следующего за месяцем их внесения. Например, если изменения произойдут 10 июня, уведомление нужно подать не позднее 15 июля.
Для операторов персональных данных с 30 мая будут увеличены суммы штрафов по некоторым составам ст. 13.11 КоАП РФ. В частности, за обработку персональных данных с нарушениями закона или несоответствие целям сбора юрлицам придётся заплатить штраф при первичном нарушении в размере 150 000-300 000 рублей (раньше 60 000-100 000 рублей), а при повторном – 300 000-500 000 рублей.
Также вводятся новые составы нарушений.
-
Неподача уведомления в Роскомнадзор для юрлиц и ИП – 100 000-300 000 рублей.
-
Штрафы за утечки персональных данных зависят от масштаба нарушения:
- От 1 000 до 10 000 субъектов – до 5 млн рублей.
- От 10 000 до 100 000 субъектов – до 10 млн рублей.
- Больше 100 000 субъектов – до 15 млн рублей.
- Утечка специальной категории персональных данных – до 15 млн рублей.
- Утечка биометрических данных – до 20 млн рублей.
При повторной утечке данных любого типа штраф составит 1-3% годовой выручки, а для банков – процент от размера собственных средств.
Виновные в утечке граждане и ответственные лица тоже будут привлечены к ответственности, но для них штрафы меньше – до 600 000 рублей.
-
Шаг 1: назначьте в своей компании ответственного за персональные данные, если его пока нет.
-
Шаг 2: подготовьте и направьте уведомление об использовании персональных данных в Роскомнадзор.
-
Шаг 3: подготовьте пакет документов об обработке персональных данных в вашем бизнесе. Например, приказ о назначении лиц, ответственных за обработку и защиту персональных данных, положение по организации обработки и обеспечению безопасности персональных данных, политику конфиденциальности, согласие на обработку персональных данных и т.д.
Если компания не выполнит свои обязанности по уведомлению Роскомнадзора до 30 мая 2025 года, ей может быть назначен административный штраф. Кроме того, привлечение к административной ответственности может повлечь за собой репутационные риски.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал и страницу в «ВКонтакте».
