Страсти по 152-ФЗ немного улеглись и сегодня можно поговорить о штрафах. Да, об этом уже написали все, кто мог. Поэтому мы не будем повторятся и прописывать все размеры и т.д. Мы поговорим о соблюдении законов, о том, что размеры штрафов большие и как жить дальше. Если вы думаете, что вас пронесет, вы не Оператор, вы маленький бизнес и любые другие отмазки, то наш вам совет - не рискуйте. Не так страшно все это оформить, а вот поймать и оштрафовать могут. Начнем с того, что ваши же клиенты могут слить информацию, недобросовестные конкуренты могут накапать или просто будет плановая проверка. Например, в нашем регионе уже в начале мая 2025 РКН прошлись с проверкой по муниципальным учреждениям.
Штрафы по 152-ФЗ
30 мая 20258 года вступили изменения в Кодекс об административных правонарушений (КоАП РФ), связанные с нарушением закона о персональных данных. В связи с этим изменятся не только размеры штрафов, но и поводы для них. Да, не новый закон появился, а были внесены изменения, при чем существенные. Самое главное изменение - сильно выросли размеры штрафов.
Особенно ужесточили наказание по следующим позициям:
- неправомерная обработка ПД, например, без уведомления;
- утечка данных — первичная или вторичная;
- утечка специальных и биометрических персональных данных;
- отсутствие уведомления Роскомнадзора о начале обработки или утечке данных.
Остановимся на уведомлении в РКН. До 30 мая 2025 года инспекторы выставляли за отсутствие уведомления, если нашли сами это правонарушение и зачастую было лишь предупреждение. Теперь же в соответствии с ч. 10 ст. 13.11 КоАП неуведомление, а также несвоевременное уведомление Роскомнадзора о том, что планируется начать обрабатывать персональные сведения, будут наказывать штрафами в размере:
- 30-50 тыс. руб. — для должностных лиц компаний;
- 100-300 тыс. руб. — для ИП;
- 100-300 тыс. руб. — для юрлиц.
Поэтому обязательно подайте уведомление в РКН! Это не так сложно, но зато безопасно.
Интересный момент касается утечки персональных данных. Можно понять, что вы крупная компания с большим объемом данных и какой-нибудь обиженный бывший сотрудник взял и слил базу. Утечка? Утечка. В РКН прописан весь механизм как реагировать:
А что делать, если вы косметолог или сантехник? И все персональные данные вы храните в телефоне и он потерялся. Абсурдность в том, что вы по логике должны пройти весь тот же путь, что и большая солидная компания и даже мероприятия организовать. Вдруг данные из вашего, даже запороленного телефона (вы же заботитесь о безопасности данных) данные куда-то слили?
- зафиксировать факт утечки
- направить уведомление в РКН о факте утечки в свободной форме
- начать мероприятия по предотвращению распространения. И тут могут быть использованы технические средства, службы безопасности и т.д.
А что делать, если вы косметолог или сантехник? И все персональные данные вы храните в телефоне и он потерялся. Абсурдность в том, что вы по логике должны пройти весь тот же путь, что и большая солидная компания и даже мероприятия организовать. Вдруг данные из вашего, даже запороленного телефона (вы же заботитесь о безопасности данных) данные куда-то слили?
Но за утечку еще и увеличись штрафы. При чем кратно. При чем они еще зависят от объема утекших данных. И тут тоже нужно видеть нюансы.
Если в вашей организации доступ к данным имеет лицо, которое не прописано в документах, РКН признает этот факт как утечку. Например, у вас два бухгалтера. Один прописан в Приказе на обработку ПД, а второй нет. Первый ушел в отпуск и за него подписывал бумаги и вел всю работу с ПД второй, который в Приказе не значится. Нарушение. Поэтому пишите четко, кто имеет доступ к ПД, делайте в Согласиях пункт на передачу данных третьим лицам (например, рекламным и маркетинговым агентствам).
Неправомерная обработка данных - что это? А это тот момент когда вы на сайте забыли поставить чек-бокс, повесить Политику обработки данных, Согласия и т.д. Сюда же можете отнести моменты излишних персональных данных. И тут мы снова возвращаемся к вопросу подготовки всех документов внутри компании от Приказов до оформления куки на сайте. И поверьте, обнаружить сайт в век ИИ без Политики не составит большого труда и даже много сотрудников не нужно. А штраф за это правонарушение может достигать 60 000 рублей для юридических лиц, ИП чуть меньше - до 20 000 рублей. Об этом сказано в части 3 статьи 13.11 кодекса РФ об административных правонарушениях.
Если вы думаете, что можно найти лазейку и что-то не оформлять, то посмотрите, какие документы собирает Правительство Мурманской области. Да, да два вида Согласий.
Все про размеры штрафов можно почитать в Статье 13.11. Нарушение законодательства Российской Федерации в области персональных данных.
Практика применения наказаний за неисполнение 152-ФЗ
По опыту работы с изменениями, касающимися маркировки рекламы, многие предприниматели думают, что их не настигнут проверки, что все это хиханьки и хаханьки. Мол, пока меня обнаружат, законы сменяться, я слишком маленький для таких проверок и т.д. Возможно, завтра к вам не придут, но риск проверки очень велик! И уж тем более, уже есть судебная практика. Приведем несколько примеров:
1. Самое частое нарушение, за которое штрафуют - отсутствие или ненадлежащее согласие субъекта на обработку ПДн (ч. 1 ст. 6, ст. 9 Закона № 152-ФЗ). Если Согласие не соответствует цели, не указывает, что данные передаются третьим лицам, то за это вы скорее всего понесете ответственность.
Пример: Постановление Девятнадцатого арбитражного апелляционного суда от 27.12.2018 № 19АП-8727/18: подписание договора не считается автоматическим согласием на передачу данных третьим лицам.
Передача данных третьим лицам без явного согласия субъекта является нарушением. Например, в делах, связанных с передачей данных маркетинговым агентствам, суды указывают на необходимость указания конкретных третьих лиц в согласии.
2. Нарушение конфиденциальности персональных данных (ст. 7 Закона № 152-ФЗ). Например, передача данных третьим лицам без соблюдения требований конфиденциальности или перепродажа данных судами рассматривается как прямое нарушение. В принципе, здесь можно и утечку приплести.
Пример из практики: определение ВС РФ от 24.11.2016 № 305-КГ16-16632: передача данных третьим лицам без согласия субъекта признана нарушением конфиденциальности.
3. Непредставление уведомления в Роскомнадзор (ч. 3 ст. 22 Закона № 152-ФЗ). После 30 мая 2025 это обязательная опция. Скорее всего штрафы в ближайшее время появятся.
4. Обработка избыточных данных (ч. 5 ст. 5 Закона № 152-ФЗ). РКН наказывает за лишние данные, которые вы собираете. Суды в этом случае придерживаются четкой позиции - все должно отвечать целям обработки ПД и не более. Например, для оформления заявки в компанию ИНН не нужно - РКН может посчитать, что это избыточная информация.
Вместо заключения. Да, законы у нас вот такие. Что с этим делать - стоически принимать и жить в этих реалиях. Стараться соблюдать законы, не нарушать. Штрафы...если мы говорим про личное субъективное мнение, то они неоправданно большие. Поэтому, друзья, все делаем как надо!
