Штрафы до 500 млн рублей за персональные данные с 30 мая 2025 года

С 30 мая 2025 года вступают в силу новые требования к операторам персональных данных на основании Федерального закона от 30.11.2024 № 420-ФЗ – штрафы за нарушения увеличиваются до 500 млн рублей для данных общей категории, за нарушения с данными специальной категории предусмотрено лишение свободы до пяти лет.

Изменения касаются всех организаций и ИП, которые обрабатывают персональные данные работников, клиентов или контрагентов и не подали уведомление в Роскомнадзор о своем статусе оператора.

До указанной даты необходимо зарегистрироваться в реестре операторов персональных данных, иначе применение новых санкций станет неизбежным при выявлении нарушений.

Критерии статуса оператора персональных данных

Оператором персональных данных признается любое лицо, которое организует или осуществляет обработку персональных данных, определяя цели и содержание такой обработки.

Федеральный закон от 27.07.2006 № 152-ФЗ определяет оператора как государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Под это определение попадают работодатели всех форм собственности при работе с данными сотрудников, заказчики по договорам ГПД при взаимодействии с исполнителями, организации и ИП при сборе данных клиентов для заключения договоров или оказания услуг.

Статус оператора возникает при наличии физических лиц, у которых затребованы личные данные для заключения договоров, произведения оплаты, ведения кадрового учета или иных целей, связанных с обработкой персональной информации.

Категории обрабатываемых персональных данных

Персональные данные классифицируются на три категории с различными требованиями к защите и ответственности за нарушения.

Обычные персональные данные включают ФИО, паспортные данные, адреса проживания и регистрации, контактную информацию, данные документов об образовании. За нарушения при обработке таких данных предусмотрены штрафы до 500 млн рублей.

Биометрические персональные данные содержат отпечатки пальцев, изображения лица и глаз, голосовые характеристики, другие физиологические и биологические особенности человека, позволяющие установить его личность.

Специальные категории персональных данных охватывают информацию о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Нарушения при работе с такими данными влекут уголовную ответственность в виде лишения свободы на срок до пяти лет.

Условия обязательного уведомления Роскомнадзора

Уведомление в Роскомнадзор подается до начала обработки персональных данных, за исключением случаев, прямо предусмотренных законодательством.

Роскомнадзор ведет реестр операторов персональных данных, включение в который происходит на основании поданного уведомления. С 30 мая 2025 года отсутствие регистрации при фактической обработке данных повлечет применение новых санкций.

Случаи, не требующие уведомления

Уведомление не подается при обработке данных без согласия субъекта , когда такая обработка осуществляется:

⒈ Для исполнения договора – внесение паспортных данных ИП в договор аренды, указание адреса доставки в договоре поставки физическому лицу

⒉ Для соблюдения требований законодательства – запрос адреса электронной почты для направления чека ККТ, передача данных в налоговые органы и СФР

⒊ Для защиты прав третьих лиц – фиксация данных посетителей на входе в здание для обеспечения контроля и безопасности при условии не нарушения прав лица

⒋ При обработке вручную – ведение документооборота без использования автоматизированных средств обработки

⒌ В сфере транспортной безопасности – обработка данных для обеспечения безопасности на транспорте

⒍ Для государственной безопасности – обработка в целях обеспечения безопасности государства и поддержания общественного порядка

Во всех остальных случаях требуется получение согласия на обработку персональных данных и подача уведомления в Роскомнадзор.

Документооборот при работе с персональными данными сотрудников

Работодатель обязан утвердить Положение о защите персональных данных и Политику обработки персональных данных, получить согласие работников на обработку их данных.

Положение о защите персональных данных сотрудников

Документ устанавливает порядок работы с данными в организации, перечень лиц с доступом к персональной информации, правила хранения личных дел и кадровых документов, способы защиты электронных документов. Положение утверждается приказом руководителя, с ним знакомят всех работников под роспись в соответствии со статьей 88 ТК РФ.

Политика обработки персональных данных

Политика содержит принципы и регламенты конкретного оператора при работе с персональными данными. Документ должен быть публичным – при внутренней обработке размещается на информационном стенде, при сборе данных через интернет публикуется в сети.

Согласие на обработку персональных данных

При взаимодействии с физическими лицами, включая прием сотрудников на работу, требуется получение письменного согласия на обработку персональных данных. Согласие оформляется отдельным документом или включается условием в трудовой договор.

При изменении персональных данных работника изменения вносятся в кадровые документы по его заявлению или на основании подтверждающих документов. Передача данных третьим лицам без согласия работника допускается только в случаях, установленных законодательством.

Содержание и порядок подачи уведомления в Роскомнадзор

Уведомление подается по форме, утвержденной Приказом Роскомнадзора от 28.10.2022 № 180, с указанием конкретных целей обработки данных и мер их защиты.

Обязательные сведения в уведомлении

В уведомлении указываются наименование юридического лица или ФИО индивидуального предпринимателя, адрес оператора, цель обработки персональных данных с детализацией для каждой цели:

• категории персональных данных
• категории субъектов персональных данных
• способы обработки персональных данных
• дата начала обработки
• срок или условие прекращения обработки
• сведения об обеспечении безопасности данных

Уведомление подписывается уполномоченным лицом – руководителем организации или индивидуальным предпринимателем.

Способы подачи уведомления

На бумажном носителе – заполненная форма с сайта Роскомнадзора подается лично в территориальный орган или направляется почтовым отправлением.

В электронной форме – документ заполняется на сайте Роскомнадзора, подписывается усиленной квалифицированной электронной подписью и отправляется через официальный портал.

Через портал Госуслуги – подача осуществляется с подтвержденного профиля физического лица, уполномоченного действовать от имени организации.

Рассмотрение уведомления и включение в реестр операторов

Роскомнадзор рассматривает уведомление в течение 30 дней с момента получения и принимает решение о включении оператора в реестр.

Срок рассмотрения начинает исчисляться с даты получения уведомления Роскомнадзором. При подаче документов почтовым отправлением срок отсчитывается с момента фактического получения письма территориальным органом.

По результатам рассмотрения принимается решение о внесении нового оператора в реестр операторов персональных данных , который доступен на официальном сайте по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/.

Роскомнадзор проверяет соответствие фактической деятельности оператора сведениям, указанным в уведомлении, поэтому механическое копирование информации из уведомлений других операторов недопустимо. Выявление несоответствий между заявленной и фактической обработкой данных влечет применение санкций.

Используемые нормативные акты

• Федеральный закон от 30.11.2024 № 420-ФЗ
• Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”
• Трудовой кодекс Российской Федерации
• Приказ Роскомнадзора от 28.10.2022 № 180
• Положение об обработке персональных данных
• Порядок ведения трудовых книжек

Вопросы по применению требований к персональным данным