С 30 мая 2025 года в силу вступают поправки в Кодекс об административных правонарушениях (КоАП), которые вносят ясность и значительно усиливают ответственность за нарушения в сфере обработки персональных данных. В средствах массовой информации эти изменения называют масштабными.
Основные же изменения в КоАП РФ и Федеральном законе № 152-ФЗ «О персональных данных» вступят в силу 30 мая 2025 года, а некоторые положения — в июне и сентябре. Давайте разберёмся, что изменилось и насколько это важно, а также в конце статьи вас ждёт бонус — ответ на вопрос читателей о необходимости уведомлять Роскомнадзор при аренде или найме имущества.
Обращу внимание, что предприниматели уже не смогут спрятаться за бумаги, когда «всё красиво». Контроль за соблюдением законодательства будет производиться при помощи искусственного интеллекта и автоматизированных алгоритмов.
Как работают алгоритмы Роскомнадзора?
Это инновационная система мониторинга соблюдения законов о персональных данных, разработанная Роскомнадзором. Она работает автоматически с помощью искусственного интеллекта и специальных алгоритмов. Теперь контроль осуществляется в отношении сайтов в интернете, и он стал более массовым и не требует участия сотрудников государственных органов, как это было раньше. В работе сайтов может быть множество проблем, которые вы не замечаете и не отслеживаете, но которые могут быть выявлены новыми алгоритмами Роскомнадзора. Но об этом позже. Давайте начнём по порядку.
Кого касаются изменения?
Всех операторов персональных данных. Оператор персональных данных это государственный или муниципальный орган, юридическое или физическое лицо, которые осуществляют обработку персональных данных, определяют цели и состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий.
В роли оператора персональных данных может выступать компания, индивидуальный предприниматель или физлицо в статусе самозанятого.
То есть не надо впадать в крайности и прежде, чем взять номер телефона у понравившейся девушки подсовывать ей на подпись согласие об обработке персональных данных и уведомлять Роскомнадзор :)
Вы оператор, если получаете и обрабатываете данные:
- сотрудников и кандидатов на работу;
- контрагентов;
- членов общественных объединений и религиозных организаций;
- посетителей для однократного пропуска на территорию;
- ФИО любого лица, полученное организацией.
Изменение первое:
Штрафы за неуведомление Роскомнадзора о начале обработки персональных данных возросли.
Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):
от 5 000 до 10 000 рублей – для физлиц
от 30 000 до 50 000 рублей – для должностных лиц организаций
от 100 000 до 300 000 рублей – для ИП
от 100 000 до 300 000 рублей – для организаций
Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.
Если вы обратили внимание на изменения законодательства в области ПД ранее (я писала о них в 2023 году), то давно уже подали соотвествующие уведомления и вам не о чем беспокоится. Ваши действия по сбору данных фактическ легализованы.
Если нет, то не спешите заполнять форму. Подаче уведомления предшествует подготовка документов и реализация технических средств хранения данных.
Убедитесь, что у вас есть документ, регулирующий обработку персональных данных. Это необходимо для всех, кроме индивидуальных предпринимателей и самозанятых.
Разработайте план действий на случай утечки данных — документ, который будет содержать чёткий алгоритм действий при компрометации информации.
Если вы обрабатываете более миллиона записей в год, необходимо пройти сертификацию в аккредитованном центре.
Если вы ранее предоставляли информацию в Роскомнадзор до конца 2022 года, обновите уведомление.
Назначьте сотрудника, который будет отвечать за работу с персональными данными.
Создайте отдельный документ, в котором будет прописано согласие на обработку персональных данных. Этот документ не должен быть частью договора.
Ни в коем случае не передавайте персональные данные сторонним организациям без согласия клиента. Это касается и рассылок.
Внимательно проверьте формулировки во всех документах, связанных с согласием. Теперь нельзя использовать размытые формулировки целей.
На сайте должна быть политика конфиденциальности и согласие пользователя в формах.
Необходимо предоставить возможность гибкой настройки файлов cookie, чтобы пользователь мог выбирать, какие данные собирать.
Следует отказаться от использования иностранных сервисов аналитики и хранения данных, таких как Google Analytics и Google Таблицы и иные (они могут нарушать требования закона из-за отправки пользовательских данных за границу и отсутствия гарантий хранения на российских серверах).
Изменение второе:
Новая форма согласия
Если вы работаете с веб-сайтом, то важно включить возможность получения согласия на сбор cookie отдельно от основных согласий.
Ранее интернет-магазин мог отслеживать действия пользователей на сайте без получения их согласия. Теперь же для сбора информации о кликах и времени просмотра товаров требуется отдельное разрешение.
Третье изменение:
Штрафы за утечку персональных данных
С 30 мая 2025 года компании, которые неправомерно передают третьим лицам персональные данные граждан или компании, допустившие утечку данных, будут нести более серьёзную ответственность.
Сейчас операторы персональных данных несут ответственность за утечку личных сведений граждан по ч.2 ст.13.11 КоАП РФ, а максимальный размер штрафов за указанное нарушение достигает 700 000 рублей.
С 30 мая 2025 года неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек повлечет наложение штрафа в размере (ч.12 ст.13.11 КоАП РФ):
от 100 000 до 200 000 рублей – для физлиц
от 200 000 до 400 000 рублей - для должностных лиц организаций
от 3 до 5 млн рублей – для ИП
от 3 до 5 млн рублей – для организаций
Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек повлечет наложение штрафов в размере (ч.13 ст.13.11 КоАП РФ):
от 200 000 до 300 000 рублей – для физлиц
от 300 000 до 500 000 рублей – для должностных лиц организаций
от 5 до 10 млн рублей – для ИП
от 5 до 10 млн рублей - для организаций
За незаконную передачу третьим лицам персональных данных более 100 000 человек накажут штрафами в размере (ч.14 ст.13.11 КоАП РФ):
от 300 000 до 400 000 рублей – для физлиц
от 400 000 до 600 000 рублей – для должностных лиц организаций
от 10 до 15 млн рублей – для ИП
от 10 до 15 млн рублей – для организаций
Повторная передача третьим лицам персональных данных без законных оснований станет грозить следующими штрафами (новая ч.15 ст.13.11 КоАП РФ):
от 400 000 до 600 000 рублей – для физлиц
от 800 000 до 1,2 млн рублей – для должностных лиц организаций
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.
Возрастут также штрафы за утечку биометрических персональных данных
С 30 мая 2025 года незаконная передача биометрических сведений повлечет наложение штрафов в размере (ч.17 ст.13.11 КоАП РФ):
от 400 000 до 500 000 рублей – для физлиц
от 1,3 до 1,5 млн рублей – для должностных лиц организаций
от 15 до 20 млн рублей – для ИП
от 15 до 20 млн рублей – для организаций
Повторная передача биометрических данных без законных оснований станет наказываться штрафами в следующих размерах (ч.18 ст.13.11 КоАП РФ):
от 500 000 до 800 000 рублей – для физлиц
от 1,5 до 2 млн рублей – для должностных лиц организаций
от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций
Минимальный штраф, назначаемый организациям и ИП за повторную утечку биометрических данных, будет равен 25 млн рублей, а максимальный – 500 млн рублей.
Весомо, не правда ли?
Так что помните, что покупать, например, лиды, не получив «пачку согласий», не следует, даже если: «Да успокойся ты! Я 100 раз так делал!»
Четвёртое:
С 30 мая 2025 г. скрывать утечку ПДн нельзя.
С 30 мая 2025 года будут ужесточены санкции за непредоставление в Роскомнадзор информации об утечке персональных данных. В настоящее время компании, которые не сообщают об утечке, наказываются в соответствии со статьёй 19.7 КоАП РФ. Размер штрафа составляет от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):
от 50 000 до 100 000 рублей – для физлиц
от 400 000 до 800 000 рублей – для должностных лиц организаций
от 1 до 3 млн рублей – для ИП
от 1 до 3 млн рублей – для организаций
Чтобы не получить штраф, компания должна в течение суток с момента обнаружения утечки персональных данных сообщить об этом в Роскомнадзор в произвольной форме. Затем в течение трёх дней необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах расследования (ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).
Мы рассмотрели все изменения. Теперь отвечу на вопрос: нужно ли получать согласие на обработку персональных данных и сообщать в Роскомнадзор о такой обработке, если вы заключаете договор найма жилья с физическим лицом?
Если вы самозанятый, ИП или просто физическое лицо, то начну, пожалуй, с того, что отдельное согласие на обработку персональных данных (ПД) в случае заключения договора найма жилого помещения брать не потребуется, так как этот случай попадает под исключение: обработку персональных данных физического лица для исполнения договора, стороной (выгодоприобретателем или поручителем) которого является этот гражданин, а также для заключения договора по инициативе этого гражданина (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ). Также не обязательно включать такое согласие в текст договора.
Уведомлять Роскомнадзор в вашем случае также не нужно, так как обработка:
- осуществляется для исполнения договора, где вы и арендатор (наниматель) — стороны;
- ограничивается только данными, необходимыми для этого договора;
- не связана с передачей данных третьим лицам или использованием в других целях.
Если вы не уверены, что в вашей деятельности защита персональных данных осуществлена с технической и правовой стороны на должном уровне - рекомендую передать правовой анализ и помощь в разработке документов и подаче уведомлений квалифицированным специалистам в области защиты персональных данных и соблюдения режима законности в компании - юристам сервиса «Доступное право»!
«Доступное право» в первую очередь настроено на достижение ценного результата для клиента. Юристы компании проведут анализ текущего положения дел, укажут все «слабые» стороны и помогут устранить их в кратчайшие сроки, а также будут поддерживать состояние защиты данных в вашей организации в актуальном состоянии!
Будьте в курсе изменений в законодательстве и не стесняйтесь обращаться к специалистам за правовым анализом!
Изображение от DilokaStudio на ru.freepik.com
