Изменения в законодательстве о ПДн: новые крупные штрафы с мая 2025 года

ПДн
Изменения в законодательстве о ПДн: новые крупные штрафы с мая 2025 года
С 30 мая 2025 года в России начнут действовать серьёзные изменения в законодательстве о персональных данных:

  • организации, не зарегистрированные в Роскомнадзоре, рискуют получить штраф до 300 000 рублей;
  • в КоАП РФ добавлены новые составы нарушений, связанные с ответственностью за нарушения при обработке персональных данных.

О новых штрафных санкциях и о том, как их избежать, разобрали в статье.

Новые нарушения в КоАП в части ПДн

В Кодексе об Административных правонарушениях был расширен перечень составов нарушений в отношении персональных данных:

  1. Невыполнение обязанности по подаче в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных или нарушение сроков такого уведомления – максимальная сумма штрафа 300 000 рублей.
  2. Невыполнение обязанности по уведомлению Роскомнадзора об утечке персональных данных или нарушение сроков такого уведомления – максимальная сумма штрафа 3 000 000 рублей.
  3. Утечка персональных данных субъектов в количестве от 1 000 до 10 000 штук и (или) от 10 000 до 100 000 их идентификаторов (под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу) – максимальная сумма штрафа 5 000 000 рублей.
  4. Утечка персональных данных от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов – максимальная сумма штрафа 10 000 000 рублей.
  5. Утечка персональных данных более 100 000 субъектов и (или) более 1 000 000 идентификаторов — максимальная сумма штрафа 15 000 000 рублей.
  6. Утечка персональных данных, которые относятся к специальной категории – максимальная сумма штрафа 15 000 000 рублей.
  7. Утечка биометрических персональных данных – максимальный штраф 20 000 000 рублей.
  8. Повторная утечка персональных данных — максимальная сумма штрафа до 3% совокупного размера суммы выручки за предыдущий календарный год либо размера собственных средств кредитной организации, но не менее 20 000 000 рублей и не более 500 000 000 рублей.
  9. Повторная утечка биометрических персональных данных и (или) персональных данных, которые относятся к специальной категории — максимальная сумма штрафа до 3% совокупного размера суммы выручки за предыдущий календарный год либо размера собственных средств кредитной организации, но не менее
    25 000 000 рублей и не более 500 000 000 рублей.
Что сделать, чтобы соответствовать новым требованиям по защите ПДн?

Ошибочно полагать, что всё начинается с подачи уведомления в Роскомнадзор. На деле перед этим необходимо подготовить полный комплект внутренней документации, отражающий, как организация работает с персональными данными. В зависимости от специфики бизнеса, перечень таких документов может достигать 60 позиций. Только после их утверждения можно направлять уведомление в Роскомнадзор.

Алгоритм действий:
  1. Подготовить и утвердить Политику обработки персональных данных.
  2. Разработать локальные нормативные акты (приказы, инструкции, регламенты и т.п.).
  3. Подать уведомление в Роскомнадзор.
  4. Получить регистрацию.
  5. Наладить системный контроль за актуальностью документов и их соответствием законодательству.
  6. Обеспечить соблюдение требований всеми подразделениями, работающими с персональными данными (от бухгалтерии до IT).

Если у организации нет экспертизы по созданию этих документов или контролю за их применением, рекомендуется обратиться за консультацией.

Распространённые ошибки:

  • Неполные или недостоверные цели обработки данных;
  • Ошибки в указании мер защиты;
  • Игнорирование темы трансграничной передачи данных, особенно если используются зарубежные сервисы (Google, Telegram, WhatsApp и др.).

Как подготовить сайт, чтобы соответствовать требованиям по защите Пдн?

Если у организации есть сайт, необходимо:


  • Разместить Политику обработки ПД и Политику конфиденциальности;
  • Обеспечить сбор согласия на обработку ПДн, при заполнении Пользователями форм на сайте
    и обработку cookies-файлов;
  • Проверить соответствие тематики сайта ОКВЭД Организации;
  • Провести аудит сайта на предмет скрытых нарушений (и уязвимостей), в том числе в его исходном коде;
  • Исключить использование иностранных сервисов, связанных с передачей данных за границу.

Почему действовать нужно срочно?

На устранение нарушений после предписания Роскомнадзора даётся всего 10 дней. Даже если всё исправить, избежать штрафа вряд ли удастся — его лишь могут снизить. Сайты, связанные с физлицами, находятся в зоне особого внимания: проверок стало свыше 1 000 в день.

С 30 мая штрафы составляют от 300 тыс. до 18 млн рублей. Необходим и правовой, и технический аудит, чтобы избежать автоматических санкций.

ПДн
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь
article-title

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.