Все юридические лица и ИП, у которых есть сотрудники, а также те организации и ИП, которые работают с внешними персональными данными (например пациентов, клиентов, гостей, туристов, учащихся и др.), обязаны зарегистрироваться в Роскомнадзоре в качестве операторов персональных данных.
Перечень персональных данных открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо - субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных.
С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):
- от 5 000 до 10 000 рублей – для физических лиц;
- от 30 000 до 50 000 рублей – для должностных лиц организаций;
- от 100 000 до 300 000 рублей – для ИП;
- от 100 000 до 300 000 рублей – для организаций.
Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утвержденной приказом Роскомнадзора от 28.10.2022 №180.
С 30 мая 2025 года будут увеличены штрафы также и за непредставление в Роскомнадзор уведомления о произошедшей утечке персональных данных. Сейчас компании за неподачу таких уведомлений штрафуют по ст.19.7 КоАП РФ, а штраф назначают в пределах от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):
- от 50 000 до 100 000 рублей – для физических лиц;
- от 400 000 до 800 000 рублей – для должностных лиц организаций;
- от 1 до 3 млн. рублей – для ИП;
- от 1 до 3 млн рублей – для организаций.
Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).
Всем зарегистрированным в Роскомнадзоре в качестве операторов персональных данных рекомендуем проверить перечень указанных обрабатываемых данных и при необходимости внести в него корректировки.