Кадровая работа

Персональные данные

С мая Роскомнадзор начнет брать миллионные штрафы. Как убедиться, что вашей компании они не грозят

Вместе с экспертом по защите персданных Максимом Лагутиным подготовили инструкцию, как бухгалтеру провести ревизию документов, чтобы Роскомнадзор не оштрафовал за ошибки в работе с персданными. Теперь штрафы достигают 500 млн руб. Можно получить даже уголовный срок. Посмотрите, надо ли исправить что-то в работе в ближайшие недели.

За какие нарушения в работе с персданными грозят штрафы или тюремный срок

С 30 мая вводят новые штрафы за неаккуратную работу с персданными, максимум — 500 млн руб., если штраф считают в процентах от выручки прошлого года. Все новые штрафы смотрите в таблице. Кроме того, появилась уголовная ответственность (федеральные законы от 30.11.2024 № 420-ФЗ, № 421-ФЗ). Ниже читайте, ради чего наказание сделали таким суровым.

Оштрафовать могут компанию, сотрудника или сразу обоих. К уголовке привлекают только виновных в нарушении физиков. Есть угроза и для бухгалтера, если он работает с персданными. Приведем основные нарушения.

Словарь

Биометрические персональные данные — это физиологические и биологические данные человека (ст. 11 Закона № 152-ФЗ). Например, отпечатки пальцев, радужная оболочка глаза.

Не подали уведомление в Роскомнадзор. Компания должна заранее сообщить в Роскомнадзор о том, что намерена обрабатывать персональные данные (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это касается и тех случаев, когда компания работает только с данными сотрудников.

Многие компании уведомления не подавали, в том числе потому, что штрафы за нарушение требования были несущественными — максимум 5000 руб. Но с 30 мая они будут достигать 300 000 руб.

Штраф за неуведомление можно оспорить (см. пример ниже). В основном это удается благодаря короткому сроку давности — три месяца. Он сохранится.

Пример 1. Как удалось избежать штрафа за некорректное уведомление Роскомнадзора, еще и поданное с опозданием

Физик пожаловался в Роскомнадзор на то, что садовое товарищество обрабатывает персданные с 2007 года, а уведомило об этом только в 2022 году. К тому же уведомление неправильное: организация умолчала, что обрабатывает не только Ф. И. О., дату, место рождения и адрес, но также телефон и номер участка. Это основание для штрафа на сумму до 5000 руб. (ст. 19.7 КоАП).

Роскомнадзор не стал возбуждать дело, потому что истек трехмесячный срок давности с даты уведомления. Жалобщик настаивал, чтобы товарищество наказали, и обратился в суд. Но в итоге решение Роскомнадзора осталось в силе (постановление Первого кассационного суда общей юрисдикции от 11.08.2023 № 16-4407/2023).

Как будет с 30 мая 2025 года. Компанию могут попытаться оштрафовать на сумму до 300 000 руб. Это не значит, что станут наказывать всех поголовно. Роскомнадзор не оштрафует, если вы подадите уведомление после начала обработки, главное его подать.

Срок давности по-прежнему будет три месяца. Если они прошли, штраф не грозит.

Собирали информацию «на всякий случай». Нельзя собирать и хранить данные, если в них нет необходимости прямо сейчас. Иногда документы нужны на короткий срок. Например, без копии паспорта не оформить сотруднику УКЭП. Тогда можно взять копию паспорта, но уничтожьте ее сразу после выпуска подписи.

Роскомнадзор может выписать компании штраф за сбор лишних документов с персональными данными. Штрафы с 30 мая поднимаются в среднем в два раза (Закон № 420-ФЗ). Это касается и нарушений, которые допустил бухгалтер. Взыскание удастся отменить, если доказать, что данные были необходимы и получены законно. Есть примеры.

Словарь

Персданные специальных категорий — сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

Пример 2. Как компанию чуть не оштрафовали из-за того, что бухгалтер копировала паспорта клиентов

К бухгалтеру жилищно-строительного кооператива пришли жильцы, чтобы взять справку с места жительства. Бухгалтер сделала копии их паспортов. Жильцы пожаловались в Роскомнадзор на сбор лишних сведений, чтобы кооператив оштрафовали на сумму до 100 000 руб. (ч. 1 ст. 13.11 КоАП).

Роскомнадзор действительно оштрафовал компанию. Но вот судьи не увидели в действиях бухгалтера нарушения. Она скопировала паспорта, чтобы подготовить иск к жильцам о взыскании долга по коммуналке. То есть действовала в рамках договора с ними, а данные нужны были для судопроизводства (п. 3, 5 ч. 1 ст. 6 Закона № 152-ФЗ). Штраф отменили (постановление Восьмого кассационного суда общей юрисдикции от 05.11.2024 № 16-6510/2024).

Как будет с 30 мая 2025 года. Если штраф не получится отменить, он может составить до 300 000 руб. для компании и до 100 000 руб. лично для бухгалтера.

Допустили утечку данных. Компания обязана защищать персональные данные (ст. 19 Закона № 152-ФЗ). Убедитесь, что они недоступны посторонним. За утечку оштрафуют. Пока что максимальный штраф составляет до 300 000 руб. (ч. 1, 1.1 ст. 13.11 КоАП). С 30 мая он будет зависеть от того, какой объем данных упустила компания и какие это данные.

Штраф будет выше, если в чужие руки попали биометрические данные либо данные специальных категорий. К ним относятся, например, сведения о состоянии здоровья. Полный перечень смотрите на поле слева.

Для компаний, которые допустят неоднократные утечки данных, ввели оборотные штрафы. Их будут считать из выручки за год, предшествующий нарушению, или части выручки за текущий год. В такой ситуации с компании могут взыскать до 500 млн руб. (ч. 10–18 ст. 13.11 КоАП).

Если произошла утечка, Роскомнадзор ищет, кто в ней виноват. Посмотрите на примере ниже, когда сотрудника удалось привлечь к ответственности.

Пример 3. Как сотрудника наказали за утечку

Замруководителя департамента назначили ответственным за обработку персональных данных. Но он неосторожно предоставил доступ к базам постороннему. Данные сотрудников попали в публичный доступ. В итоге ответственный получил штраф (решение Московского городского суда от 11.10.2023 по делу № 7-21402/2023). За первое нарушение максимальная сумма — 100 000 руб. (ч. 1 ст. 13.11 КоАП).

Как будет с 30 мая 2025 года. Если утекли данные более 1000 сотрудников, ответственного могут оштрафовать на сумму до 400 000 руб.

Использовали данные, добытые незаконным путем. Сотрудники не имеют права использовать базы компаний для личной наживы. За незаконный сбор и передачу данных, создание ресурсов для их распространения грозит уголовное наказание (ст. 272.1 УК).

Из пояснительной записки к поправкам в УК понятно, на кого нацелена новая статья. Разработчики переживали из-за того, что люди массово пользуются интернет-услугами. При этом оставляют данные в личных кабинетах на сайтах и в приложениях. Недобросовестные сотрудники компаний сливают клиентские базы. Злоумышленники их скупают или получают бесплатно, а затем организуют в интернете торговлю данными. Для борьбы с такой деятельностью и ввели новую статью. Эксперт считает, что наказание по ней для бухгалтера или директора исключено, если только они не распространяли данные умышленно.

Как подготовиться, прежде чем Роскомнадзор придет с проверкой

До конца мая у компаний еще есть время перепроверить работу с персданными, чтобы потом не платить миллионы.

Направьте уведомление в Роскомнадзор. Если вы никогда не отправляли уведомление, сделайте это сейчас, даже если обрабатываете персданные уже очень давно. Компания должна уведомить Роскомнадзор, даже если работает только с данными сотрудников (ст. 22 Закона № 152-ФЗ). Есть три вида уведомлений:

— о намерении обрабатывать персональные данные;

— о внесении изменений в ранее поданное уведомление;

— о прекращении обработки персональных данных.

Сдать уведомление можно на бумаге или в электронном виде через сайт pd.rkn.gov.ru (приказ Роскомнадзора от 28.10.2022 № 180).

Когда в работе с данными что-то поменяется, заполните уведомление о внесении изменений. К примеру, это надо сделать, если предупреждали Роскомнадзор, что обрабатывали данные сотрудников, а потом стали работать с клиентами. Если просто приняли новых сотрудников, уведомление не требуется. С уведомлением о прекращении обработки персональных данных все просто: в нем нужно отразить только причину и дату, когда прекратили обработку.

Проверьте согласия. Обрабатывать информацию физлиц можно только с их задокументированного согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Штраф за нарушение этого требования не поднимали, но он и так достаточно крупный: для компании за первое нарушение он составляет до 700 000 руб. (ч. 2 ст. 13.11 КоАП).

Передавать персональные данные сотрудников в различные ведомства можно без отдельного согласия, если обязаны это делать по закону (подп. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Например, документ не нужен, чтобы направить сведения в налоговую, СФР или военный комиссариат. Для всех остальных действий необходимо отдельное согласие (ч. 1 ст. 10.1 Закона № 152-ФЗ). Например, если передаете работу с кадрами или бухгалтерией сторонней организации.

Срочная новость от 15 апреля

Компании больше не могут обзванивать клиентов без их согласия

Компаниям придется маркировать все звонки своим клиентам (Федеральный закон от 01.04.2025 № 41-ФЗ). С 1 сентября 2025 года все звонки от компаний и предпринимателей будут маркировать — операторы связи будут обязаны указывать на экране телефона, кто звонит. Так клиенты будут уверены, что общаются с официальным представителем компании, а не мошенником.

Чтобы проводить массовые и автоматические обзвоны, компания должна подтвердить оператору связи, что получила согласие конкретного клиента на подобные звонки. Даже если согласие получено, клиент сможет обратиться к оператору связи и отказаться от рекламных звонков. В этом случае оператор самостоятельно отключит обзвоны.

А вот через WhatsApp и другие иностранные мессенджеры сможет позвонить только «служба безопасности». С 1 июня 2025 года сотрудникам банков, маркетплейсов, сотовых операторов и госучреждений запретили использовать иностранные мессенджеры для общения с клиентами.

Согласие на обработку персданных можно составить в свободной форме. Некоторые включают согласие в трудовой договор. Так делать сейчас не запрещено. Но скоро все должны будут оформлять согласие отдельно от иных документов, которые подписывает работник (законопроект № 679980-8 →sozd.duma.gov.ru). Эксперт разъяснил, что учесть поправки надо будет всем компаниям.

Избавьтесь от лишнего. Проверьте, что все данные и документы на сотрудников, которые они представили, сейчас вам необходимы. Если обнаружите лишние документы, уничтожьте их. Зафиксируйте такое уничтожение в акте и храните его в течение трех лет (приказ Роскомнадзора от 28.10.2022 № 179). Скачайте образец.

Уничтожать персданные нужно, если истек срок согласия на обработку или его отозвали. Например, при увольнении.

Как изменятся штрафы Роскомнадзора за нарушения в работе с персональными данными с 30 мая 2025 года

Узнайте, какие данные собирают сотрудники. В положении об обработке персональных данных у вас должны быть перечни таких данных, цели, способы и сроки обработки (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Может случиться, что сотрудники собирают какие-то данные, а руководство об этом даже не знает. Поэтому проведите опрос среди сотрудников и при необходимости уточните положение.

Как изменилась уголовная ответственность за нарушения в работе с персональными данными с 11 декабря 2024 года

Собирайте и обрабатывайте сведения только в целях, которые записали в положении. Не включайте в него нормы, которые ограничивают права работников. Например, нельзя установить в положении обязанность работника предоставлять согласие исключительно по той форме, которую вы утвердили (определение Первого кассационного суда общей юрисдикции от 18.06.2024 по делу № 88-19257/2024).

Несмотря на все меры по защите данных, от их утечки никто не застрахован. Если она произошла, надо действовать быстро. Уведомьте Роскомнадзор в течение 24 часов с момента выявления (п. 12–14 ст. 19 Закона № 152-ФЗ). И в течение 72 часов отчитайтесь о результатах внутреннего расследования по факту утечки.