С 30 мая 2025 года вступает в силу закон №420-ФЗ, который существенно ужесточает ответственность за упущения и нарушения в области обработки персональных данных (ПДн). Штрафы за отдельные нарушения достигнут астрономических величин. Впервые предусматриваются оборотные штрафы для компаний, а за умышленные неправомерные действия вводится уголовная ответственность. Новые штрафы указаны в КоАП, где в статью 13.11 добавлены новые части 12–18.
Что изменится с мая 2025?
«Бездействие – золото»
Штраф за неуведомление Роскомнадзора об обработке ПДн, для должностного лица:
было 30 000 — 50 000 ₽, стало 400 000 — 800 000 ₽
Штраф за неуведомление Роскомнадзора об утечке ПДн, для компании:
было 100 000 — 300 000 ₽, стало 1 000 000 — 3 000 000 ₽.
«Утечка данных может утопить»
Величина штрафа зависит от масштаба утечки данных.
Утеря ПДн, от 1000 до 10000 человек: штраф 200 000 — 400 000 ₽ и 3 000 000 — 5 000 000 ₽ *
Утеря ПДн, от 10000 до 100000 человек: штраф 300 000 — 500 000 ₽ и 5 млн — 10 000 000 ₽
Утеря ПДн, более 100 000 человек: штраф 400 000 — 600 000 ₽ и 10 000 000 — 15 000 000 ₽
* для должностных лиц и компаний, соответственно
Повторное нарушение будет стоить оборотного штрафа, исчисляемого с дохода компании за предшествующий год.
Штраф за повторную утерю ПДн составит от 800 000 до 1 200 000 ₽ с должностного лица и от 20 000 000 до 500 000 000 ₽ с компании.
«Преступление и наказание»
За неправомерный оборот ПДн — незаконный сбор и передачу данных, создание ресурсов для их распространения — теперь предусмотрено уголовное наказание (ст. 272.1 УК).
Уголовная ответственность предусмотрена за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, а равно — за создание информационных ресурсов, предназначенных для совершения указанных действий. Например, сотруднику гостиницы, «сливающему» за вознаграждение сканы паспортов постояльцев, равно как и распространителям базы с данными из этих паспортов теперь грозит реальный срок.
Как снизить риск нарушения?
Штраф за обработку ПДн без задокументированного согласия не изменился, но он и так достаточно велик, до 700 тыс. руб. Внимательно проверьте рутинные операции на местах:
- Не собирают ли ваши сотрудники ПДн у лиц внутри или вовне компании по основаниям, не включенным в Положение об обработке ПДн?
- Убедитесь, что доступ к базам данных и персональным документам имеют только ответственные сотрудники.
- Не хранятся ли ПДн в документах, по которым истекло основание для обработки, например, по уволившимся сотрудникам?
Поддерживая и консультируя наших клиентов, команда Accetera:
- внимательно следит за соблюдением правил обработки ПДн при работе с данными клиентов;
- помогает нашим клиентам привести всю необходимую внутреннюю документацию в соответствие с законодательством о защите персональных данных;
- помогает разработать необходимую базу для дальнейшего правильного построения документооборота по обработке персональных данных;
- проводит проверку договоров клиента на предмет защиты персональных данных и соответствия законодательству о ПДн.
Мы будем рады помочь вам и проконсультировать по любому вопросу, связанному с обработкой и хранением персональных данных. Юристы и ИТ-специалисты Accetera помогут вам привести свои процессы и документы в соответствие с требованиями закона.
Напишите нам, чтобы получить консультацию: info@accetera.ru или позвоните по номеру +7 (495) 220-46-00.
