С мая Роскомнадзор начнет брать миллионные штрафы. В мае подайте уведомление в Роскомнадзор.
За какие нарушения в работе с персональными данными грозят штрафы или тюремный срок
С 30 мая вводят новые штрафы за неаккуратную работу с персональными данными, максимум — 500 млн руб., если штраф считают в процентах от выручки прошлого года. Кроме того, появилась уголовная ответственность (федеральные законы от 30.11.2024 № 420-ФЗ, № 421-ФЗ). Оштрафовать могут компанию, сотрудника или сразу обоих. К уголовной ответственности привлекают только виновных в нарушении физиков. Есть угроза и для бухгалтера, если он работает с персональными данными. Приведем основные нарушения.
Не подали уведомление в Роскомнадзор.
Компания должна заранее сообщить в Роскомнадзор о том, что намерена обрабатывать персональные данные (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Это касается и тех случаев, когда компания работает только с данными сотрудников. Многие компании уведомления не подавали, в том числе потому, что штрафы за нарушение требования были несущественными — максимум 5000 руб. Но с 30 мая они будут достигать 300000 руб. Штраф за неуведомление можно оспорить. В основном это удается благодаря короткому сроку давности — три месяца. Он сохранится.
Как будет с 30 мая 2025 года.
Компанию могут попытаться оштрафовать на сумму до 300000 руб. Это не значит, что станут наказывать всех поголовно. Роскомнадзор не оштрафует, если вы подадите уведомление после начала обработки, главное его подать. Срок давности по-прежнему будет три месяца. Если они прошли, штраф не грозит.
Собирали информацию «на всякий случай».
Нельзя собирать и хранить данные, если в них нет необходимости прямо сейчас. Иногда документы нужны на короткий срок. Например, без копии паспорта не оформить сотруднику УКЭП. Тогда можно взять копию паспорта, но уничтожьте ее сразу после выпуска подписи.
Роскомнадзор может выписать компании штраф за сбор лишних документов с персональными данными. Штрафы с 30 мая поднимаются в среднем в два раза (Закон № 420-ФЗ). Это касается и нарушений, которые допустил бухгалтер. Взыскание удастся отменить, если доказать, что данные были необходимы и получены законно.
Допустили утечку данных.
Компания обязана защищать персональные данные (ст. 19 Закона № 152-ФЗ). Убедитесь, что они недоступны посторонним. За утечку оштрафуют. Пока что максимальный штраф составляет до 300000 руб. (ч. 1, 1.1 ст. 13.11 КоАП). С 30 мая он будет зависеть от того, какой объем данных упустила компания и какие это данные. Штраф будет выше, если в чужие руки попали биометрические данные – это физиологические и биологические данные человека (ст. 11 Закона № 152-ФЗ). Например, отпечатки пальцев, радужная оболочка глаза либо данные специальных категорий. К ним относятся, например, сведения о состоянии здоровья. Для компаний, которые допустят неоднократные утечки данных, ввели оборотные штрафы. Их будут считать из выручки за год, предшествующий нарушению, или части выручки за текущий год. В такой ситуации с компании могут взыскать до 500 млн руб. (ч. 10—18 ст. 13.11 КоАП). Если произошла утечка, Роскомнадзор ищет, кто в ней виноват.
Использовали данные, добытые незаконным путем.
Сотрудники не имеют права использовать базы компаний для личной наживы. За незаконный сбор и передачу данных, создание ресурсов для их распространения грозит уголовное наказание (ст. 272.1 УК). Из пояснительной записки к поправкам в УК понятно, на кого нацелена новая статья. Разработчики переживали из-за того, что люди массово пользуются интернет-услугами. При этом оставляют данные в личных кабинетах на сайтах и в приложениях. Недобросовестные сотрудники компаний сливают клиентские базы. Злоумышленники их скупают или получают бесплатно, а затем организуют в интернете торговлю данными. Для борьбы с такой деятельностью и ввели новую статью. Эксперт считает, что наказание по ней для бухгалтера или директора исключено, если только они не распространяли данные умышленно.
Уголовное наказание по новой статье — для тех, кто намеренно распространил персональные данные. По новой уголовной статье 272.1 УК привлекут тех, у кого был умысел украсть персональные данные. Если директор, главбух или другой сотрудник намеренно распространил данные, например из клиентской базы, тогда может последовать наказание вплоть до реального срока. Новая статья предназначена для борьбы с инсайдерами-нарушителями или хакерами. Для компании будет многомиллионный штраф за утечку данных.
Как подготовиться, прежде чем Роскомнадзор придет с проверкой.
До конца мая у компаний еще есть время перепроверить работу с персональными данными, чтобы потом не платить миллионы.
Направьте уведомление в Роскомнадзор.
Если вы никогда не отправляли уведомление, сделайте это сейчас, даже если обрабатываете персональные данные уже очень давно. Компания должна уведомить Роскомнадзор, даже если работает только с данными сотрудников (ст. 22 Закона № 152-ФЗ). Есть три вида уведомлений: — о намерении обрабатывать персональные данные; — о внесении изменений в ранее поданное уведомление; — о прекращении обработки персональных данных. Сдать уведомление можно на бумаге или в электронном виде через сайт pd.rkn.gov.ru (приказ Роскомнадзора от 28.10.2022 № 180). Когда в работе с данными что-то поменяется, заполните уведомление о внесении изменений. К примеру, это надо сделать, если предупреждали Роскомнадзор, что обрабатывали данные сотрудников, а потом стали работать с клиентами. Если просто приняли новых сотрудников, уведомление не требуется. С уведомлением о прекращении обработки персональных данных все просто: в нем нужно отразить только причину и дату, когда прекратили обработку.
Не нужно направлять уведомление из-за того, что приняли новых сотрудников Обязанность направить уведомление в Роскомнадзор не привязана к количеству сотрудников в штате. Если появляются новые работники, но описанные в уведомлении бизнес-процессы и цели обработки не меняются, подавать новое уведомление не требуется.
Проверьте согласия.
Обрабатывать информацию физлиц можно только с их задокументированного согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Штраф за нарушение этого требования не поднимали, но он и так достаточно крупный: для компании за первое нарушение он составляет до 700000 руб. (ч. 2 ст. 13.11 КоАП). Передавать персональные данные сотрудников в различные ведомства можно без отдельного согласия, если обязаны это делать по закону (подп. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Например, документ не нужен, чтобы направить сведения в налоговую, СФР или военный комиссариат. Для всех остальных действий необходимо отдельное согласие (ч. 1 ст. 10.1 Закона № 152-ФЗ). Например, если передаете работу с кадрами или бухгалтерией сторонней организации. Согласие на обработку персональных данных можно составить в свободной форме. Некоторые включают согласие в трудовой договор. Так делать сейчас не запрещено. Но скоро все должны будут оформлять согласие отдельно от иных документов, которые подписывает работник (законопроект № 679980-8 →sozd.duma.gov.ru).
Избавьтесь от лишнего.
Проверьте, что все данные и документы на сотрудников, которые они представили, сейчас вам необходимы. Если обнаружите лишние документы, уничтожьте их. Зафиксируйте такое уничтожение в акте и храните его в течение трех лет (приказ Роскомнадзора от 28.10.2022 № 179). Уничтожать персональные данные нужно, если истек срок согласия на обработку или его отозвали. Например, при увольнении.
Забывчивого сотрудника может наказать и компания, и Роскомнадзор. Если главбух не удалил данные уволенных работников, то, скорее всего, компания примет к нему дисциплинарные меры, например выговор. Также возможен штраф от Роскомнадзора: с 30 мая он составит до 100000 руб. за первое нарушение и до 200000 руб. за повторное (ч. 1, 1.1 ст. 13.11 КоАП).
Узнайте, какие данные собирают сотрудники.
В положении об обработке персональных данных у вас должны быть перечни таких данных, цели, способы и сроки обработки (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ). Может случиться, что сотрудники собирают какие-то данные, а руководство об этом даже не знает. Поэтому проведите опрос среди сотрудников и при необходимости уточните положение.
Собирайте и обрабатывайте сведения только в целях, которые записали в положении. Не включайте в него нормы, которые ограничивают права работников. Например, нельзя установить в положении обязанность работника предоставлять согласие исключительно по той форме, которую вы утвердили (определение Первого кассационного суда общей юрисдикции от 18.06.2024 по делу № 88-19257/2024). Несмотря на все меры по защите данных, от их утечки никто не застрахован. Если она произошла, надо действовать быстро. Уведомьте Роскомнадзор в течение 24 часов с момента выявления (п. 12—14 ст. 19 Закона № 152-ФЗ). И в течение 72 часов отчитайтесь о результатах внутреннего расследования по факту утечки.
К кому может прийти Роскомнадзор в 2025 году.
В этом году на плановые проверки Роскомнадзора действует мораторий. А вот внепланово прийти могут. Как правило, внеплановые проверки бывают либо по факту утечек, либо если на компанию много жалуются. Топ-3 видов деятельности, где больше всего жалоб: ЖКХ, компании по взысканию задолженности и интернет-магазины.
