Как работать с персональными данными с 30 мая 2025 года
С 30 мая в России в разы увеличатся штрафы за нарушения при работе с персональными данными — ПД. Разобрались, что учесть бизнесу, который обрабатывает данные клиентов и сотрудников.
Как изменятся штрафы
Собрали основные поправки в таблицу.
Суммы штрафов для бизнеса до и после 30 мая
На кого распространяются требования по работе с ПД
Если бизнес собирает персональные данные сотрудников, клиентов или контрагентов, он становится оператором ПД и должен выполнять требования закона по работе с ними.
По сути, почти каждый бизнес — оператор персональных данных, так как к ним относятся и Ф. И. О. людей, и их фотографии, и адреса проживания, и номера телефона, e‑mail и другая информация.
Как уведомить Роскомнадзор о намерении обрабатывать ПД
Если планируете обрабатывать ПД сотрудников и клиентов, нужно не только получить их согласие, но и уведомить Роскомнадзор о своих планах — зарегистрироваться в реестре операторов ПД.
Для этого заполняют форму на сайте Роскомнадзора.
Если не зарегистрировались в реестре ранее, стоит сделать это до 30 мая — пока не заработали новые штрафы.
При подаче уведомления особое внимание обратите на цели обработки данных — если указать одни, а по факту ПД будут использоваться для других, можно получить серьезный штраф. Например, если магазин укажет, что собирает ПД клиентов только для заключения с ними договоров, а на деле использует информацию еще и для продвижения товаров, это нарушение.
Если состав обрабатываемых данных со временем изменится или их начнут собирать для новых целей, уведомление нужно подать заново.
Что делать в случае утечки персональных данных
Если третьи лица несанкционированно получили доступ к ПД, оператор должен сообщить об этом в Роскомнадзор в течение 24 часов с момента утечки. Сделать это можно через сайт ведомства. Если своевременно не предупредить Роскомнадзор о случившемся — есть риск получить штраф.
После утечки оператор ПД должен провести внутреннее расследование и установить причины инцидента, найти нарушителей и усилить безопасность персональных данных. О результатах внутреннего расследования также нужно уведомить Роскомнадзор — не позже 72 часов с момента выявления инцидента. В сообщении указать, что стало причиной случившегося, какой вред причинен и какие меры приняты для усиления защиты баз данных.
Если в течение года со дня уплаты штрафа за первое нарушение бизнес допустит утечку вновь, ему грозит штраф от 1 до 3% от выручки, полученной за год, предшествующий году нарушения. Но не менее 20 млн и не более 500 млн рублей.
Как Роскомнадзор узнает о нарушениях
Роскомнадзор сможет узнать о нарушениях в ходе проверки. До 2030 года действует мораторий на плановые надзорные мероприятия ведомства, а внеплановые Роскомнадзор может провести в ряде случаев.
Например, в таких:
- невыполнение или неполное выполнение предписаний об устранении ранее выявленных нарушений;
- требование прокуратуры;
- решение руководства Роскомнадзора;
- обращения граждан.
Например, клиент пожалуется, что после визита в салон красоты ему начали звонить продавцы других бьюти‑услуг и товаров, — это значит, что салон без ведома человека передал его ПД третьим лицам.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Остались вопросы о работе с ПД? Задавайте в комментариях.
Анатолий, добрый день! Если физлицо или самозанятый собирает и обрабатывает ПД — к нему тоже это относится, но штрафы уже будут ниже.
Получается к физлицам и самозанятым это не относится?