В мае 2025 года компании и ИП стремятся побыстрее подготовить и подать в Роскомнадзор уведомления об обработке персональных данных работников, клиентов, контрагентов и других физлиц. Спешка связана с введением с 30 мая повышенных штрафов за непредставление таких уведомлений. Но это не единственные санкции, налагаемыми на тех, кто неправильно работает с персональными данными граждан. Существует еще несколько штрафов за несоблюдение законодательства в области защиты персональных сведений.
Рассказываем, какие еще действуют штрафы за нарушения правил обработки персональных данных, и какие компании рискуют их получить в 2025 году.
Нецелевая обработка персональных данных
Организации и ИП могут запрашивать у физлиц их персональные данные исключительно в ограниченных законом целях (например, для заключения трудового договора, для оформления и исполнения гражданско-правового договора, для представления в контролирующие органы обязательной отчетности и т.д.).
Нецелевые сбор и обработка персональных данных запрещены (ч.2 ст.5 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»). Например, при трудоустройстве запрещается требовать у работника раскрытия информации о вероисповедании, беременности, национальности. При этом получаемая для трудоустройства информация может использоваться только в целях оформления трудовых отношений и ведения кадрового учета. Использовать полученные от соискателя сведения в других целях (например, рекламных) работодатели не могут.
Несоблюдение данных ограничений в части нецелевого сбора и использования персональных данных влечет наложение административного штрафа по ч.1 ст.13.11 КоАП РФ. С 30 мая 2025 года штрафы по данному составу правонарушения будут повышены и составят:
- от 10 000 до 15 000 рублей – для граждан (сейчас от 2 000 до 6 000 рублей);
- от 50 000 до 100 000 рублей – для индивидуальных предпринимателей (сейчас от 10 000 до 20 000 рублей);
- от 50 000 до 100 000 рублей – для должностных лиц организаций (сейчас от 10 000 до 20 000 рублей);
- от 150 000 до 300 000 рублей – для организаций (сейчас от 60 000 до 100 000 рублей).
Обработка персональных данных физлица без его согласия
Прежде, чем приступить к сбору и обработке персональных данных, компания обязана запросить у физлица письменное разрешение (ч. 4 ст. 9 Федерального закона от 27.07.2006 №152-ФЗ).
Получать и обрабатывать персональные данные без такого разрешения можно только в случаях, прямо указанных в ч.2 ст.9 Федерального закона от 27.07.2006 №152-ФЗ. В частности, без согласия можно обрабатывать персональные данные, обработка которых необходима для исполнения договора, стороной которого выступает сам субъект персональных данных.
Во всех других случаях обработка персональных данных без согласия влечет ответственность по ч.2 ст.13.11 КоАП РФ. Данная норма предусматривает следующие штрафы (с 30 мая эти штрафы не поменяются):
- от 10 000 до 15 000 рублей – для граждан;
- от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
- от 100 000 до 300 000 рублей – для должностных лиц организаций;
- от 300 000 до 700 000 рублей – для организаций.
- Как компании разработать политику обработки персональных данных в 2025 году
- Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН
- Какие компании могут получить штрафы за нарушения правил обработки персональных данных в 2025 году
- Как работать с персональными данными в 2025 году, чтобы не получить штраф Роскомнадзора
Отсутствие политики обработки персональных данных
Все компании должны утверждать, размещать в открытом доступе и знакомить любых желающих физлиц со своей политикой обработки персональных данных (ч.2 ст.18.1 Федерального закона от 27.07.2006 №152-ФЗ). Неутверждение такой политики и неразмещение ее в открытом доступе, в том числе, в интернете, влечет наложение административного штрафа по ч.3 ст.13.11 КоАП РФ в размере (с 30 мая штрафы не поменяются):
- от 1 500 до 3 000 рублей – для граждан;
- от 10 000 до 20 000 рублей – для индивидуальных предпринимателей;
- от 6 000 до 12 000 рублей – для должностных лиц организаций;
- от 30 000 до 60 000 рублей – для организаций.
Игнорирование запросов физлиц по вопросам обработки их персональных данных
Компании по первому запросу физлиц обязаны раскрывать все сведения, касающиеся обработки их персональных данных. В частности, должны разъяснять, на каком основании получили доступ к персональным данным лица, в каких целях используют эти данные, и в течение какого срока будет происходить обработка персданных. Также физлица вправе требовать предоставления ФИО и адреса лица, непосредственного осуществляющего обработку их персональных данных (ч.7 ст.14 Федерального закона от 27.07.2006 №152-ФЗ).
Непредоставление такой информации грозит штрафами по ч.4 ст.13.11 КоАП РФ. Штрафы по указанной норме назначают в размерах (с 30 мая штрафы не поменяются):
- от 2 000 до 4 000 рублей – для граждан;
- от 20 000 до 30 000 рублей – для индивидуальных предпринимателей;
- от 8 000 до 12 000 рублей – для должностных лиц организаций;
- от 40 000 до 80 000 рублей – для организаций.
Непрекращение обработки персональных данных по требованию физлица
Компании должны блокировать и прекращать действия с персональными данными, обработка которых осуществляется неправомерно, по первому требованию субъекта таких персональных данных (ч.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ). Непрекращение неправомерной обработки персональных данных влечет наложение штрафов по ч.5 ст.13.11 КоАП РФ в размере (с 30 мая штрафы не изменятся):
- от 2 000 до 4 000 рублей – для граждан;
- от 8 000 до 20 000 – для должностных лиц организаций;
- от 20 000 до 40 000 рублей – для индивидуальных предпринимателей;
- от 50 000 до 90 000 рублей – для организаций.
Неподача уведомления об обработке персональных данных
Перед началом обработки персональных данных любая компания/ИП должны направить в Роскомнадзор уведомление о такой обработке на основании ст.22 Федерального закона от 27.07.2006 №152-ФЗ. Неисполнение данной обязанности с 30 мая 2025 года может повлечь наложение штрафов по ч.10 ст.13.11 КоАП РФ в размере (до 30 мая штрафы назначают в размере от 3 000 до 5 000 по ст.19.7 КоАП РФ):
- от 5 000 до 10 000 рублей – для физлиц;
- от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
- от 30 000 до 50 000 рублей – для должностных лиц организаций;
- от 100 000 до 300 000 рублей – для организаций.
Неподача уведомления об утечке персональных данных
В течение 24 часов компании должны уведомлять Роскомнадзор об утечке персональных данных (ч. 3.1 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ). Неисполнение данной обязанности, равно как и нарушение сроков ее исполнения с 30 мая 2025 года повлечет наложение штрафов в следующих размерах (до указанного момента штрафы назначают по ст.19.7 КоАП РФ в размере от 3 000 до 5 000 рублей):
- от 50 000 до 100 000 рублей – для физлиц;
- от 1 до 3 млн рублей – для индивидуальных предпринимателей;
- от 400 000 до 800 000 рублей – для должностных лиц организаций;
- от 1 до 3 млн рублей – для организаций.
- Пример заполнения уведомления об обработке персональных данных в Роскомнадзор
- Подача уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи
- Подача уведомлений в Роскомнадзор и работа с персональными данными на сайтах компаний
- Уведомление в Роскомнадзор: кто и зачем обязан подавать, как правильно оформить и какие ошибки можно допустить
- Основные ошибки в уведомлениях об обработке персональных данных
- Как исправить уведомление об обработке персональных данных в Роскомнадзор
- Кто и когда должен подавать в Роскомнадзор уведомление о прекращении обработки персональных данных
В материале использованы фото: FAMILY STOCK / Shutterstock / Fotodom.
Непрекращение обработки персональных данных по требованию физлица
А как же
статья 9 часть 2: В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
пункт 5 статьи 6: Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Если физ лицо отзывает согласие и требует прекратить обработку, но договор еще не исполнен?
Математик, Это всего лишь общее правило, установленное в законе. По нему любой оператор обязан незамедлительно прекратить обработку персональных данных, получив от субъекта ПД соответствующее заявление (требование). Но из этого правила есть ряд исключений, указанных вами. При наличии таких исключений оператор вправе продолжить обработку персональных данных несмотря на отзыв согласия на такую обработку. Одним из таких случаев как раз и является исполнение ранее заключенного договора. Если с физлицом был оформлен договор, то обработка его данных может осуществляться до момента исполнения обязательств по договору.
Математик, Если физ лицо отзывает согласие и требует прекратить обработку, но договор еще не исполнен, то обработка персональных данных может быть продолжена. Это не считается нарушением прав субъекта персональных данных и не может являться основанием для привлечения организации к штрафной ответственности.
Отсутствие согласия на обработку персональных данных само по себе не означает невозможность такой обработки. Обработка допускается без согласия в указанных законом случаях. Одним из них как раз и является обработка данных в рамках заключенного с физлицом договора.
Оштрафуют самозанятого если не подать уведомление об обработке и работать без него?