С 30 мая 2025 года вступили в силу многочисленные изменения в КоАП РФ, ужесточившие ответственность в сфере персональных данных. В частности, увеличены размеры штрафов, введены новые составы нарушений и установлена ответственность за них, скорректированы правила привлечения к ответственности.
Чтобы бухгалтерам было удобнее ориентироваться в изменениях законодательства, редакция БУХ.1С подготовила навигатор по материалам сайта БУХ.1С на тему ответственности в сфере обработки персональных данных.
Защита персональных данных работников
Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (п.1 Указа Президента РФ от 06.03.1997 №188). Сбор, обработка, передача, хранение и иные действия с данной информацией должны выполняться в строгом соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
Под обработкой персональных данных подразумевается любое действие с ними, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение (п.3 ст.3 Закона №152-ФЗ).
Закон не содержит четкого и исчерпывающего перечня сведений, которые являются персональными данными. Такой перечень в каждом случае определяется индивидуально (например, работодателем в Положении о персональных данных). Как правило, к персональным данным человека относят ФИО, пол, возраст; образование, профессию/квалификацию; семейное положение и место жительства; наличие судимости; размер доходов и прочие сведения, которые характеризуют человека и позволяют достаточно точно идентифицировать его (п.1 ст.3 Закона №152-ФЗ).
Лицо, осуществляющее обработку персональных данных, является оператором персональных данных (п.2 ст.3 Закона №152-ФЗ). Таким образом, любой работодатель выступает в роли оператора персональных данных своих работников. Каждый работодатель обязан осуществлять защиту имеющихся у него персональных данных работников.
Закон позволяет работодателю вести обработку персональных данных как автоматизированным (с использованием вычислительной техники), так и неавтоматизированным способом (обработка персональных данных считается неавтоматизированной, если в процессе использования, уточнения, распространения и уничтожения таких сведений непосредственно участвует человек). Выбирая способ, работодателю следует помнить, что при принятии решения, затрагивающего интересы работника, он не может основываться на данных, полученных исключительно в результате автоматизированной обработки или электронного получения (п.6 ст.86 ТК РФ).
-
Отзыв согласия на обработку персональных данных: юридические последствия и санкции
-
Как компаниям выполнять требования владельцев персональных данных
- Как работать с персональными данными в 2025 году, чтобы не получить штраф Роскомнадзора
-
Как компании разработать политику обработки персональных данных в 2025 году
-
Как оформлять согласие на обработку персональных данных работников
-
Согласие на обработку персональных данных: как и зачем его получать организациям и ИП и др.
- Что нужно делать операторам персональных данных после 30 мая 2025 года
-
Нужно ли брать согласие на обработку персональных данных у работников контрагента
Уведомление в Роскомнадзор об обработке персональных данных
До начала обработки персональных данных оператор персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую обработку (ч.1 ст.22 Федерального закона от 27.07.2006 №152-ФЗ).
-
данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка (п.7 ч.2 ст.22 Закона №152-ФЗ);
-
оператор обрабатывает данные вручную без использования средств автоматизации (п.8 ч.2 ст.22 Закона №152-ФЗ);
-
данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности.
Без предварительного уведомления Роскомнадзора обработка персональных данных возможна в случаях, когда (ч.2 ст.22 Закона №152-ФЗ):
Прежде, чем заполнять уведомление об обработке персданных, на сайте Роскомнадзора нужно проверить, не была ли организация или ИП ранее включены в Реестр операторов, осуществляющих обработку персональных данных. В зависимости от результата поиска следует поступить следующим образом:
-
если организация (ИП) в Реестр не включена и уведомление в Роскомнадзор не направляла, то необходимо подать уведомление;
-
если организация (ИП) включена в Реестр, но содержащиеся там сведения изменились (например, произошла смена наименования организации, изменилась цель обработки персональных данных и т.д.), необходимо до 15-го числа месяца, следующего за месяцем, в котором произошли изменения, подать в Роскомнадзор уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных (ч.7 ст.22 Закона №152-ФЗ, письмо Роскомнадзора от 24.05.2024 №45697-10/77);
-
если организация (ИП) уже направляла уведомление в Роскомнадзор, данные есть в Реестре и они актуальны, то подавать новое уведомление не нужно.
Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Роскомнадзора от 28.10.2022 №180 (Приложение №1). Перечень сведений, которые необходимо указать в уведомлении, закреплен в части 3 статьи 22 Закона №152-ФЗ и включает в себя:
-
наименование (ФИО), адрес оператора (работодателя);
-
цель обработки персональных данных;
-
описание мер, предусмотренных ст.18.1, 19 Закона №152-ФЗ, в т.ч. сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
-
ФИО физлица или наименование юрлица, ответственного за организацию обработки персданных, и номера контактных телефонов, почтовые адреса и адреса электронной почты;
-
дату начала обработки персональных данных и срок или условие прекращения обработки персональных данных;
-
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
-
сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
-
ФИО физлица или наименование юрлица, имеющего доступ и (или) осуществляющего на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;
-
сведения об обеспечении безопасности персданных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.
- заполнить на бумаге или в программе 1С (в «1С:Бухгалтерии 8»: 1С-Отчетность - раздел Отчеты – Уведомления, сообщения, заявления – Создать – папка Прочее – Уведомление об обработке персональных данных) и отправить в Роскомнадзор;
-
подать через личный кабинет на портале Госуслуг;
-
подать через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи;
-
сформировать уведомление через сервис «152DOC для 1С».
Сформировать и подать уведомление в Роскомнадзор можно следующими способами:
В течение 30 дней с даты поступления уведомления Роскомнадзор обязан внести указанные в нем сведения в Реестр (ч.4 ст.22 Закона №152-ФЗ). В случае обнаружения ошибок надзорный орган вправе потребовать уточнения сведений до их внесения в Реестр (ч.6 ст.22 Закона №152-ФЗ).
При прекращении обработки персональных данных оператор также обязан уведомить об этом Роскомнадзор. Подать такое уведомление необходимо в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч.7 ст.22 Закона №152-ФЗ). Основаниями для прекращения обработки персональных данных могут быть:
-
ликвидация организации или прекращение деятельности ИП или прекращение деятельности организации в результате ее реорганизации;
-
аннулирование лицензии на осуществление лицензируемой деятельности оператора персональных данных, если условием лицензии на осуществление такой деятельности является запрет на передачу персданных третьим лицам без согласия в письменной форме субъекта персональных данных;
-
наступление срока или условия прекращения обработки персональных данных (указанных в ранее поданном уведомлении);
-
решение суда о прекращении оператором персональных данных деятельности по обработке персональных данных.
Форма уведомления о прекращении обработки персональных данных приведена в Приложении №3 к приказу Роскомнадзора от 28.10.2022 №180. В течение 30 дней со дня получения уведомления Роскомнадзор исключит информацию об операторе персональных данных из своего Реестра (ч.4.1 ст.22 Закона №152-ФЗ).
- Обязанность по представлению уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи
- Пример заполнения уведомления об обработке персональных данных в Роскомнадзор
- Подача уведомлений в Роскомнадзор и работа с персональными данными на сайтах компаний в вопросах и ответах
- Уведомление в Роскомнадзор: кто и зачем обязан подавать, как правильно оформить и какие ошибки можно допустить
- Образец уведомления Роскомнадзора об обработке персональных данных
- Как заполнить уведомление в Роскомнадзор об обработке персональных данных в «1С:Бухгалтерии 8»
-
Должен ли филиал организации уведомлять Роскомнадзор о намерении обрабатывать персональные данные
Штрафы за нарушения при обработке персональных данных
Федеральным законом от 30.11.2024 №420-ФЗ с 30 мая 2025 года ужесточена ответственность в сфере персональных данных: увеличены размеры штрафов, введены новые составы нарушений и ответственность за них.
|
Нарушение |
Норма КоАП РФ |
Размер штрафов |
|
Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, не совместимая с целями их сбора (за исключением случаев, предусмотренных ч.2, 11–18 ст.13.11 КоАП РФ и ст.17.13 КоАП РФ) |
ч.1 ст.13.11 КоАП РФ |
для граждан – от 10 000 до 15 000 руб. (за повторное нарушение – от 15 000 до 30 000 руб.)
|
|
для должностных лиц и ИП – от 50 000 до 100 000 руб. (за повторное нарушение – от 100 000 до 200 000 руб.)
|
||
|
для организаций – от 150 000 до 300 000 руб. (за повторное нарушение для организаций и ИП – от 300 000 до 500 000 руб.)
|
||
|
Невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных
|
ч.10 ст.13.11 КоАП РФ |
для граждан – от 5000 до 10 000 руб.
|
|
для должностных лиц государственного или муниципального органа либо некоммерческой организации – от 30 000 до 50 000 руб.
|
||
|
для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 100 000 до 300 000 руб.
|
||
|
Неуведомление или несвоевременное уведомление Роскомнадзора об утечке персональных данных, в результате которой были нарушены права субъектов таких данных |
ч.11 ст. 13.11 КоАП РФ |
для граждан – от 50 000 до 100 000 руб. |
|
для должностных лиц государственного или муниципального органа либо НКО – от 400 000 до 800 000 руб.
|
||
|
для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 1 млн до 3 млн руб.
|
||
|
Действия (бездействие) оператора, которые повлекли неправомерную передачу информации, включающей персональные данные от 1 000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов |
ч.12 ст.13.11 КоАП РФ (если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния) |
для граждан – от 100 000 до 200 000 руб.
|
|
для должностных лиц государственного или муниципального органа либо НКО – от 200 000 до 400 000 руб.
|
||
|
для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 3 млн до 5 млн руб.
|
||
|
Действия (бездействие) оператора, которые повлекли неправомерную передачу информации, включающей персональные данные от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 млн идентификаторов |
ч.13 ст.13.11 КоАП РФ (если нет признаков уголовно наказуемого деяния) |
для граждан – от 200 000 до 300 000 руб.
|
|
для должностных лиц государственного или муниципального органа либо НКО – от 300 000 до 500 000 руб.
|
||
|
для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 5 млн до 10 млн руб.
|
||
|
Действия (бездействие) оператора, которые повлекли неправомерную передачу информации, включающей персональные данные более 100 000 субъектов и (или) более 1 млн идентификаторов |
ч.14 ст.13.11 КоАП РФ (если нет признаков уголовно наказуемого деяния) |
для граждан – от 300 000 до 400 000 руб.
|
|
для должностных лиц государственного или муниципального органа либо НКО – от 400 000 до 600 000 руб.
|
||
|
для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 10 млн до 15 млн руб.
|
||
|
Действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей специальную категорию персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости) |
ч. 16 ст.13.11 КоАП РФ |
для граждан – от 300 000 до 400 000 руб.
|
|
для должностных лиц государственного или муниципального органа либо НКО – от 1 млн до 1 300 000 руб.
|
||
|
для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 10 млн до 15 млн руб.
|
||
|
Действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей биометрические персональные данные (за исключением случаев, указанных в ст.13.11.3 КоАП РФ) |
ч.17 ст.13.11 КоАП РФ |
для граждан – от 400 000 до 500 000 руб.
|
|
для должностных лиц государственного или муниципального органа либо НКО – от 1 300 000 до 1 500 000 руб.
|
||
|
для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 15 млн до 20 млн руб. |
По новым правилам за нарушения, предусмотренные частями 1.1, 8–18 статьи 13.11 КоАП РФ, для индивидуальных предпринимателей предусмотрены штрафы в том же размере, как и для организаций (до 30.05.2025 ИП несли ответственность как организации только за нарушения, указанные в ч.8 и 9 ст.13.11 КоАП РФ).
Отягчающие обстоятельства при нарушениях в обработке персональных данных (повлечет привлечение нарушителя к более строгой ответственности):
-
продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его (п.1 ч.1 ст.4.3 КоАП РФ);
-
лицо, которое совершило правонарушение, на момент его совершения (на момент вынесения постановления по делу о правонарушении) считалось или считается подвергнутым наказанию за совершение правонарушений, предусмотренных ч.1–11 ст.13.11 КоАП РФ и (или) ст.13.6, 13.12 КоАП РФ, то есть в отношении лица ранее было вынесено постановление о привлечении к административной ответственности за указанные нарушения.
- Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН
- Какие компании могут получить штрафы за нарушения правил обработки персданных в 2025 году
- Ответственность за нарушение порядка обработки и хранения персональных данных
-
Какие меры безопасности применяются при обработке персональных данных в информационных системах
В соответствии с ч.1 ст.4.1.1 КоАП РФ штрафы за впервые совершенное административное правонарушение, в том числе в сфере персональных данных, подлежат обязательной замене на предупреждение. Если, получив предупреждение, компания все равно не направит в Роскомнадзор уведомление о начале обработки персональных данных, то ее оштрафуют по ч.10 ст.13.11 КоАП РФ на сумму от 100 000 до 300 000 рублей.
Видеозаписи онлайн-лекций о работе с персональными данными:
В материале использованы фото: Jirsak, BritCats Studio / Shutterstock / Fotodom.
