За какие нарушения накажут бизнес
Работа с персональными данными — сложный процесс, в котором может произойти много нарушений. Разберем основные.
За незаконный сбор и обработку персональных данных
Такое нарушение — это сбор и хранение персональных данных без цели, использование их не по назначению, передача данных без согласия человека.
Пример
ООО «Василек» собирает данные пользователей через кнопку заказа или форму обратной связи на сайте. При этом нигде на сайте у посетителя нет возможности согласиться (или не согласиться) со сбором персональных данных — никаких специальных кнопок или галочек нет. В такой ситуации «Василек» могут оштрафовать за сбор и передачу персональных данных без согласия их обладателей.
Как штрафуют за незаконный сбор и обработку персданных — ст. 13.11 КоАП РФ
За нарушения при обработке персональных данных Роскомнадзор сейчас штрафует максимум на 100 тыс. руб. за первое нарушение и на 300 тыс. руб. — за повторное. Но 30 мая 2025 года вступят в силу поправки к КоАП и штрафы вырастут:
Кого накажут
Как накажут
Директор ООО или ИП, первично
Повторно
50 000-100 000 руб.
100 000-200 000 руб.
Компания, первично
Повторно
150 000-300 000 руб.
300 000-500 000 руб.
Кроме того, с 11 декабря 2024 года виновные сотрудники компаний, сайты которых незаконно получали, использовали и/или распространяли персональные данные, будут нести уголовную ответственность. Максимальное наказание — лишение свободы на 5 лет.
«Уголовная ответственность будет только за сбор и распространение личной информации — например, о состоянии здоровья, интимной сфере, образе жизни
За неправильные уведомления Роскомнадзора, их отсутствие или просрочку
Каждый работодатель для своих сотрудников и бизнес для своих клиентов — это оператор персональных данных. О начале сбора и обработки персональных данных и о многих других подобных моментах нужно предупреждать Роскомнадзор. Многие предприниматели игнорируют такую обязанность или отправляют просроченные уведомления — за это могут быть штрафы. Как правило, причины две.
Делают как раньше, до изменения 152-ФЗ. Уведомление можно было не подавать, если обработка персональных данных связана только с исполнением договора. Например, если клиент купил на сайте товар, продавец доставил и больше с клиентом не связывается, не отправляет ему письма о скидках и пр.
Предприниматель считает, что если уведомления нет, то РКН о нем не узнает, а значит, не придет с проверкой. Да и наказания за неуведомление в виде штрафа в 5 000 руб. большинство предпринимателей не боятся и готовы заплатить.
«Независимо от причины, по которой не отправили уведомление, вы получите штраф, потому что РКН проводит бесконтактные проверки, а значит, может зайти на ваш сайт, страницу в соцсети, бота в «Телеграм» и проверить вас. В результате вы получите штраф, а недостатки надо будет устранить».
Еще один вариант нарушения — это неуведомления об утечках. Здесь речь тоже идет про Роскомнадзор, но про уведомления его в особых ситуациях — при утечках данных.
Например, мошенники взломали сайт или программу и скачали базу данных клиентов, или сотрудник скопировал базу на личную флешку и уволился. После обнаружения такой утечки бизнес должен в течение 24 часов уведомить об этом РКН, а в течение 72 часов — провести расследование и его результаты также передать в РКН.
Сейчас за нарушение сроков информирования Роскомнадзор наказывает компании штрафом до 5 000 руб., но с 30 мая 2025 года ответственность за неуведомление РКН вырастет в несколько десятков раз.
Собрали все цифры по штрафам за неуведомления в таблицу:
За что накажут
Кого накажут
Как накажут
Оператор не уведомил Роскомнадзор о планах обрабатывать персональные данные
Директор, ИП
Компания
30 000-50 000 руб.
150 000-300 000 руб.
Компания или ИП выявили у себя утечку персональных данных, но не сообщили об этом в Роскомнадзор в течение 24 часов
Директор, ИП
Компания
400 000-800 000 руб.
1 000 000-3 000 000 руб.
За утечку данных
Об уведомлениях РКН мы уже сказали, теперь о том, как закон наказывает за саму утечку персональных данных.
«Если проблема случилась из-за мошенничества сотрудника (например, он скачал на личный компьютер базу данных партнеров компании), то нужно помнить, что работодатель несет ответственность за такую ситуацию. Особенно, если не позаботился:
- о соглашении о неразглашении персональных данных;
- не дал сотруднику подписать инструкцию, где написано, что можно делать с персональными данными, а что нет».
Сейчас за утечку персональных данных, если в ней нет уголовной составляющей, Роскомнадзор штрафует бизнес на сумму до 100 тыс. руб. вне зависимости от объема утекшей информации.
С 30 июня 2025 года административные штрафы за утечку персональных данных возрастут и будут зависеть от категории данных и количества пострадавших людей или сведений, которые позволяют точно определить человека.
Вот как вырастут штрафы:
Объем и категория утекших данных
Кого накажут
Как накажут
Данные 1 000-10 000 человек или 10 000-100 000 идентификаторов
Директор, ИП
Компания
200 000-400 000 руб.
3 000 000-5 000 000 руб.
Данные 10 000-100 000 человек или 100 000-1 000 000 идентификаторов
Директор, ИП
Компания
300 000-500 000 рублей
5 000 000-10 000 000 руб.
Данные более 100 000 человек или более 1 000 000 идентификаторов
Директор, ИП
Компания
400 000-600 000 руб.
10 000 000-15 000 000 руб.
Утечка специальных категорий персональных данных
Директор, ИП
Компания
1 100 000-1 300 000 руб.
10 000 000-15 000 000 руб.
Утечка биометрических данных
Директор, ИП
Компания
1 300 000-1 500 000 руб.
15 000 000-20 000 000 руб.
При повторной утечке РКН не будет считать количество пострадавших, но накажет:
- директора или ИП — на 800 000-1 000 000 руб.;
- компанию — на 20 000 000-500 000 000 руб.
Если повторно утекли биометрические или специальные данные, то штраф составит:
- на директора или ИП — 1 500 000-2 000 000 руб.;
- на компанию — 25 000 000-500 000 000 руб.
Если утечка персональных данных привела к ущербу, то это уже уголовное преступление, за которое могут посадить в тюрьму на 4 года, если ущерб окажется крупным. Например, с помощью вредоносной программы можно удалить базу данных, и компании-владельцу нужно будет потратить время и деньги для ее восстановления.
А если произошла утечка тайны, доступ к которой по закону есть только у ограниченного числа людей, свободу ограничат на срок до 7 лет.
Например, под такие правила подпадает коммерческая тайна, если в компании принято Положение о коммерческой тайне, информация маркируется грифом «секретно» и пр. Также ограниченный доступ предусмотрен к налоговой, банковской информации, информации об абонентах сотовой связи.
За невыполнение в срок предписания Роскомнадзора
Пример
Турагентство «Солнечный ветер» для оформления путевки собрало персональные данные туристов, но не получило от них согласие на обработку персональных данных и их передачу туроператору. Один из туристов пожаловался в Роскомнадзор. РКН в рамках проверки направляет запрос турагентству, а последнее этот запрос игнорирует и не направляет объяснения и запрашиваемые документы. В итоге из-за бездействия руководителя «Солнечный ветер» получит штраф.
Также Роскомнадзор штрафует за уклонение или препятствование проведению проверки, а также за невыполнение требований уточнить или уничтожить недостоверные, устаревшие или незаконно полученные данные. Например, прокурор может направить протест против политики в области обработки персональных данных, если она нарушает требования закона. При неисполнении требований в срок будет штраф.
За отказ в удовлетворении требований физлица
Речь об игнорировании запросов на доступ, исправление, удаление персональных данных. Это может обернуться штрафом в 50 000-90 000 руб., а предпринимателю — в 20 000-40 000 руб. За повторное нарушение штрафы возрастут до 300 000-500 000 руб. и 50 000-100 000 руб. соответственно.
Пример
Колл-центр купил базу клиентов сотового оператора и делает обзвоны с сообщениями клиентам, что по соседству с абонентом открылась стоматология. Но на запрос от недовольного абонента, откуда персональные данные получены, кол-центру ответить нечего. То есть он игнорирует запрос и делает отметку в базе, что пока звонить по этому номеру не нужно. За такие действия можно получить штраф — или вовсе оказаться в суде.
Короче
- Государство следит за тем, чтобы те, кто работает с персональными данными, соблюдали правила и требования к работе с ними. Для этого действуют различные штрафы и меры уголовной ответственности, вплоть до тюремного заключения. А собирают и обрабатывают персональные данные все, кто ведет бизнес или занимается частной практикой.
- Административные штрафы — это уже сейчас большие суммы, а с 30 мая 2025 года станут еще больше.
- С 11 декабря 2024 года под уголовную ответственность будет подпадать работа интернет-сайтов, которые используют незаконно полученные данные. Под пристальное внимание могут попасть парсеры — программы или скрипты, которые автоматически собирают и анализируют данные сайтов. Например, конкуренты подключили парсер к сайту по продаже пластиковых окон, который находится в топе, и получают данные посетителей этого сайта. Так формируют базу персональных данных пользователей, которые интересовались пластиковыми окнами. Затем эту базу за деньги сливают продавцам пластиковых окон как горячие лиды.
- Ужесточение ответственности за нарушения при работе с персональными данными касается всех, кто с ними работает. Особенно новые штрафы и уголовная ответственность касаются тех, кто активно ведет бизнес в интернете.
- Если хотите работать с персональными данными без риска штрафов, то собирать согласия на их обработку — must have. Также не забывайте про соблюдение сроков в общении с Роскомнадзором, работающую политику конфиденциальности и меры защиты персональных данных.