С мая Роскомнадзор начнет брать миллионные штрафы. Как убедиться, что вашей компании они не грозят
Вместе с экспертом по защите персданных Максимом Лагутиным подготовили инструкцию, как бухгалтеру провести ревизию документов, чтобы Роскомнадзор не оштрафовал за ошибки в работе с персданными. Теперь штрафы достигают 500 млн руб. Можно получить даже уголовный срок. Посмотрите, надо ли исправить что-то в работе в ближайшие недели.
За какие нарушения в работе с персданными грозят штрафы или тюремный срок
С 30 мая вводят новые штрафы за неаккуратную работу с персданными, максимум — 500 млн руб., если штраф считают в процентах от выручки прошлого года. Все новые штрафы смотрите в таблице. Кроме того, появилась уголовная ответственность (федеральные законы от 30.11.2024 № 420-ФЗ, № 421-ФЗ). Зачем наказание сделали таким суровым.
На заметку
Зачем ввели циклопические штрафы за персданные
Когда персданные попадают в руки посторонних, они становятся инструментом для спама, шантажа, мошенничества. Утечки стали массовыми. По данным авторов поправок, в интернете циркулирует более 20 000 баз данных, где содержится информация о 80 процентах населения России.
Крупные штрафы, по мнению разработчиков, должны стимулировать компании вкладываться в информационную безопасность. Правда, в бизнес-сообществе предполагали, что компании скорее начнут формировать бюджет на штрафы, потому что при всей осторожности утечки неизбежны. Предприниматели протестовали против поправок, приводили аргументы: МСП просто не потянут штрафы, а крупный бизнес будет вынужден повышать тарифы, чтобы покрыть новые расходы.
В итоге поправки смягчили: штрафы снизят для компаний, которые докажут, что вкладывались в информбезопасность и соблюдали требования к защите данных (ч. 3.4-2 ст. 4.1 КоАП в ред. Закона № 420-ФЗ). Но от идеи штрафов в процентах от выручки законодатели не отказались и не стали снижать максимальную планку в 500 млн руб.
Оштрафовать могут компанию, сотрудника или сразу обоих. К уголовке привлекают только виновных в нарушении физиков. Есть угроза и для бухгалтера, если он работает с персданными. Приведем основные нарушения.
Словарь
Биометрические персональные данные — это физиологические и биологические данные человека (ст. 11 Закона № 152-ФЗ). Например, отпечатки пальцев, радужная оболочка глаза.
Не подали уведомление в Роскомнадзор. Компания должна заранее сообщить в Роскомнадзор о том, что намерена обрабатывать персональные данные (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это касается и тех случаев, когда компания работает только с данными сотрудников.
Многие компании уведомления не подавали, в том числе потому, что штрафы за нарушение требования были несущественными — максимум 5000 руб. Но с 30 мая они будут достигать 300 000 руб.
Штраф за неуведомление можно оспорить (см. пример ниже). В основном это удается благодаря короткому сроку давности — три месяца. Он сохранится.
Пример 1. Как удалось избежать штрафа за некорректное уведомление Роскомнадзора, еще и поданное с опозданием
Собирали информацию «на всякий случай». Нельзя собирать и хранить данные, если в них нет необходимости прямо сейчас. Иногда документы нужны на короткий срок. Например, без копии паспорта не оформить сотруднику УКЭП. Тогда можно взять копию паспорта, но уничтожьте ее сразу после выпуска подписи.
Роскомнадзор может выписать компании штраф за сбор лишних документов с персональными данными. Штрафы с 30 мая поднимаются в среднем в два раза (Закон № 420-ФЗ). Это касается и нарушений, которые допустил бухгалтер. Взыскание удастся отменить, если доказать, что данные были необходимы и получены законно. Есть примеры.
Словарь
Персданные специальных категорий — сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
Пример 2. Как компанию чуть не оштрафовали из-за того, что бухгалтер копировала паспорта клиентов
Допустили утечку данных. Компания обязана защищать персональные данные (ст. 19 Закона № 152-ФЗ). Убедитесь, что они недоступны посторонним. За утечку оштрафуют. Пока что максимальный штраф составляет до 300 000 руб. (ч. 1, 1.1 ст. 13.11 КоАП). С 30 мая он будет зависеть от того, какой объем данных упустила компания и какие это данные.
Штраф будет выше, если в чужие руки попали биометрические данные либо данные специальных категорий. К ним относятся, например, сведения о состоянии здоровья. Полный перечень смотрите на поле слева.
Для компаний, которые допустят неоднократные утечки данных, ввели оборотные штрафы. Их будут считать из выручки за год, предшествующий нарушению, или части выручки за текущий год. В такой ситуации с компании могут взыскать до 500 млн руб. (ч. 10–18 ст. 13.11 КоАП).
Если произошла утечка, Роскомнадзор ищет, кто в ней виноват. Посмотрите на примере ниже, когда сотрудника удалось привлечь к ответственности.
Пример 3. Как сотрудника наказали за утечку
Использовали данные, добытые незаконным путем. Сотрудники не имеют права использовать базы компаний для личной наживы. За незаконный сбор и передачу данных, создание ресурсов для их распространения грозит уголовное наказание (ст. 272.1 УК).
Из пояснительной записки к поправкам в УК понятно, на кого нацелена новая статья. Разработчики переживали из-за того, что люди массово пользуются интернет-услугами. При этом оставляют данные в личных кабинетах на сайтах и в приложениях. Недобросовестные сотрудники компаний сливают клиентские базы. Злоумышленники их скупают или получают бесплатно, а затем организуют в интернете торговлю данными. Для борьбы с такой деятельностью и ввели новую статью. Эксперт считает, что наказание по ней для бухгалтера или директора исключено, если только они не распространяли данные умышленно.
|
Как подготовиться, прежде чем Роскомнадзор придет с проверкой
До конца мая у компаний еще есть время перепроверить работу с персданными, чтобы потом не платить миллионы.
Направьте уведомление в Роскомнадзор. Если вы никогда не отправляли уведомление, сделайте это сейчас, даже если обрабатываете персданные уже очень давно. Компания должна уведомить Роскомнадзор, даже если работает только с данными сотрудников (ст. 22 Закона № 152-ФЗ). Есть три вида уведомлений:
— о намерении обрабатывать персональные данные;
— о внесении изменений в ранее поданное уведомление;
— о прекращении обработки персональных данных.
Сдать уведомление можно на бумаге или в электронном виде через сайт pd.rkn.gov.ru (приказ Роскомнадзора от 28.10.2022 № 180).
Когда в работе с данными что-то поменяется, заполните уведомление о внесении изменений. К примеру, это надо сделать, если предупреждали Роскомнадзор, что обрабатывали данные сотрудников, а потом стали работать с клиентами. Если просто приняли новых сотрудников, уведомление не требуется. С уведомлением о прекращении обработки персональных данных все просто: в нем нужно отразить только причину и дату, когда прекратили обработку.
|
Проверьте согласия. Обрабатывать информацию физлиц можно только с их задокументированного согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Штраф за нарушение этого требования не поднимали, но он и так достаточно крупный: для компании за первое нарушение он составляет до 700 000 руб. (ч. 2 ст. 13.11 КоАП).
Передавать персональные данные сотрудников в различные ведомства можно без отдельного согласия, если обязаны это делать по закону (подп. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Например, документ не нужен, чтобы направить сведения в налоговую, СФР или военный комиссариат. Для всех остальных действий необходимо отдельное согласие (ч. 1 ст. 10.1 Закона № 152-ФЗ). Например, если передаете работу с кадрами или бухгалтерией сторонней организации.
Согласие на обработку персданных можно составить в свободной форме. Некоторые включают согласие в трудовой договор. Так делать сейчас не запрещено. Но скоро все должны будут оформлять согласие отдельно от иных документов, которые подписывает работник (законопроект № 679980-8 →sozd.duma.gov.ru). Эксперт разъяснил, что учесть поправки надо будет всем компаниям.
|
Избавьтесь от лишнего. Проверьте, что все данные и документы на сотрудников, которые они представили, сейчас вам необходимы. Если обнаружите лишние документы, уничтожьте их. Зафиксируйте такое уничтожение в акте и храните его в течение трех лет (приказ Роскомнадзора от 28.10.2022 № 179). Скачайте образец.
Уничтожать персданные нужно, если истек срок согласия на обработку или его отозвали. Например, при увольнении.
|
Узнайте, какие данные собирают сотрудники. В положении об обработке персональных данных у вас должны быть перечни таких данных, цели, способы и сроки обработки (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Может случиться, что сотрудники собирают какие-то данные, а руководство об этом даже не знает. Поэтому проведите опрос среди сотрудников и при необходимости уточните положение.
|
Собирайте и обрабатывайте сведения только в целях, которые записали в положении. Не включайте в него нормы, которые ограничивают права работников. Например, нельзя установить в положении обязанность работника предоставлять согласие исключительно по той форме, которую вы утвердили (определение Первого кассационного суда общей юрисдикции от 18.06.2024 по делу № 88-19257/2024).
Несмотря на все меры по защите данных, от их утечки никто не застрахован. Если она произошла, надо действовать быстро. Уведомьте Роскомнадзор в течение 24 часов с момента выявления (п. 12–14 ст. 19 Закона № 152-ФЗ). И в течение 72 часов отчитайтесь о результатах внутреннего расследования по факту утечки.
|
Как изменятся штрафы Роскомнадзора за нарушения в работе с персональными данными с 30 мая 2025 года
| Что нарушили | Для кого наказание | Штраф, руб. (первое/повторное нарушение) | |
|---|---|---|---|
| До 30 мая | С 30 мая | ||
| Хранили излишние данные и документы, использовали сведения не по назначению (ч. 1, 1.1 ст. 13.11 КоАП) | Для компании | 60 000—100 000/ 100 000—300 000 | 150 000—300 000/ 300 000—500 000 |
| Для должностного лица | 10 000—20 000/ 20 000—50 000 | 50 000—100 000/ 100 000—200 000 | |
| Не уведомили или уведомили с опозданием Роскомнадзор об обработке персональных данных | Для компании | 3000—5000 (ст. 19.7 КоАП) | 100 000—300 000 (ч. 10 ст. 13.11 КоАП) |
| Для должностного лица | 300—500 (ст. 19.7 КоАП) | 30 000—50 000 (ч. 10 ст. 13.11 КоАП) | |
| Не уведомили или уведомили с опозданием Роскомнадзор об утечке персональных данных | Для компании | 3000—5000 (ст. 19.7 КоАП) | 1 млн — 3 млн (ч. 11 ст. 13.11 КоАП) |
| Для должностного лица | 300—500 (ст. 19.7 КоАП) | 400 000—800 000 (ч. 11 ст. 13.11 КоАП) | |
| Впервые утратили персданные от 1000 до 10 000 субъектов | Для компании | 60 000—100 000 (ч. 1 ст. 13.11 КоАП) | 3 млн — 5 млн (ч. 12 ст. 13.11 КоАП) |
| Для должностного лица | 10 000—20 000 (ч. 1 ст. 13.11 КоАП) | 200 000—400 000 (ч. 12 ст. 13.11 КоАП) | |
| Впервые утратили персданные от 10 000 до 100 000 субъектов | Для компании | 60 000—100 000 (ч. 1 ст. 13.11 КоАП) | 5 млн — 10 млн (ч. 13 ст. 13.11 КоАП) |
| Для должностного лица | 10 000–20 000 (ч. 1 ст. 13.11 КоАП) | 300 000—500 000 (ч. 13 ст. 13.11 КоАП) | |
| Впервые утратили персданные более 100 000 субъектов | Для компании | 60 000—100 000 (ч. 1 ст. 13.11 КоАП) | 10 млн — 15 млн (ч. 14 ст. 13.11 КоАП) |
| Для должностного лица | 10 000—20 000 (ч. 1 ст. 13.11 КоАП) | 400 000–600 000 (ч. 14 ст. 13.11 КоАП) | |
| Впервые утратили персданные специальной категории | Для компании | 60 000—100 000 (ч. 1 ст. 13.11 КоАП) | 10 млн — 15 млн (ч. 16 ст. 13.11 КоАП) |
| Для должностного лица | 10 000—20 000 (ч. 1 ст. 13.11 КоАП) | 1 млн — 1,3 млн (ч. 16 ст. 13.11 КоАП) | |
| Впервые утратили биометрические данные | Для компании | 60 000—100 000 (ч. 1 ст. 13.11 КоАП) | 15 млн — 20 млн (ч. 17 ст. 13.11 КоАП) |
| Для должностного лица | 10 000—20 000 (ч. 1 ст. 13.11 КоАП) | 1,3 млн — 1,5 млн (ч. 17 ст. 13.11 КоАП) | |
| Повторно неправомерно распространили персданные более 1000 субъектов (ч. 15 ст. 13.11 КоАП) | Для компании | 100 000— 300 000 (ч. 1.1 ст. 13.11 КоАП) | От 1 до 3% выручки за год: от 20 млн до 500 млн (ч. 15 ст. 13.11 КоАП) |
| Для должностного лица | 20 000—50 000 (ч. 1.1 ст. 13.11 КоАП) | 800 000—1 200 000 (ч. 15 ст. 13.11 КоАП) | |
| Неправомерно распространили перcданные специальной категории или биометрические данные, если ранее уже теряли данные более 1000 субъектов | Для компании | 100 000—300 000 (ч. 1.1 ст. 13.11 КоАП) | От 1 до 3% выручки за год: от 25 млн до 500 млн (ч. 18 ст. 13.11 КоАП) |
| Для должностного лица | 20 000—50 000 (ч. 1.1 ст. 13.11 КоАП) | 1,5 млн — 2 млн (ч. 18 ст. 13.11 КоАП) | |
Как изменилась уголовная ответственность за нарушения в работе с персональными данными с 11 декабря 2024 года
| Что нарушили | Максимальное наказание в виде лишения свободы | |
|---|---|---|
| Было | Стало | |
| Незаконный сбор, хранение или передача компьютерной информации с персданными | 2 года (ч. 1 ст. 137 УК) | 4 года (ч. 1 ст. 272.1 УК) |
| То же нарушение совершили с персданными несовершеннолетних или специальных категорий или с биометрическими данными | 5 лет (ч. 3 ст. 137 УК) | 5 лет (ч. 2 ст. 272.1 УК) |
| То же нарушение совершили из корысти, с причинением крупного ущерба, по сговору или с использованием служебного положения | 4 года (ч. 2, 3 ст. 272 УК) | 6 лет и штраф до 1 млн руб. (ч. 3 ст. 272.1 УК) |
| То же нарушение, сопряженное с трансграничной передачей данных | 4 года (ч. 2 ст. 137 УК) | 8 лет и штраф до 2 млн руб. (ч. 4 ст. 272.1 УК) |
| То же нарушение, если оно повлекло тяжкие последствия, совершенное группой лиц | 4 года (ч. 2 ст. 272 УК) | 10 лет и штраф до 3 млн руб. (ч. 5 ст. 272.1 УК) |
