Штрафы за неуведомление Роскомнадзора о начале обработки персональных данных
Представлять уведомления о начале обработки персональных данных в Роскомнадзор должны организации, ИП и самозанятые, собирающие и обрабатывающие персональные данные (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):
- сотрудников и кандидатов на работу;
- контрагентов;
- членов общественных объединений и религиозных организаций;
- посетителей для однократного пропуска на территорию компании;
- ФИО любого лица, полученное организацией.
Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):
- от 5 000 до 10 000 рублей – для физлиц
- от 30 000 до 50 000 рублей – для должностных лиц организаций
- от 100 000 до 300 000 рублей – для ИП
- от 100 000 до 300 000 рублей – для организаций
Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.
Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
Штрафы за неуведомление Роскомнадзора об утечке персональных данных
С 30 мая 2025 года будут увеличены штрафы также и за непредставление в Роскомнадзор уведомления о произошедшей утечке персональных данных. Сейчас компании за неподачу таких уведомлений штрафуют по ст.19.7 КоАП РФ, а штраф назначают в пределах от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):
- от 50 000 до 100 000 рублей – для физлиц
- от 400 000 до 800 000 рублей – для должностных лиц организаций
- от 1 до 3 млн рублей – для ИП
- от 1 до 3 млн рублей – для организаций
Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).
Уведомления разрешается направлять в ведомство на бумажном носителе по почте или в электронном виде путем заполнения рекомендованной формы на сайте Роскомнадзора.
Штрафы за утечку персональных данных
Одновременно для компаний будут значительно повышены и штрафы за саму утечку персональных данных – их неправомерную передачу третьим лицам. Сейчас операторы персональных данных несут ответственность за утечку личных сведений граждан по ч.2 ст.13.11 КоАП РФ, а максимальный размер штрафов за указанное нарушение достигает 700 000 рублей.
С 30 мая 2025 года неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек повлечет наложение штрафа в размере (ч.12 ст.13.11 КоАП РФ):
- от 100 000 до 200 000 рублей – для физлиц
- от 200 000 до 400 000 рублей - для должностных лиц организаций
- от 3 до 5 млн рублей – для ИП
- от 3 до 5 млн рублей – для организаций
Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек повлечет наложение штрафов в размере (ч.13 ст.13.11 КоАП РФ):
- от 200 000 до 300 000 рублей – для физлиц
- от 300 000 до 500 000 рублей – для должностных лиц организаций
- от 5 до 10 млн рублей – для ИП
- от 5 до 10 млн рублей - для организаций
За незаконную передачу третьим лицам персональных данных более 100 000 человек накажут штрафами в размере (ч.14 ст.13.11 КоАП РФ):
- от 300 000 до 400 000 рублей – для физлиц
- от 400 000 до 600 000 рублей – для должностных лиц организаций
- от 10 до 15 млн рублей – для ИП
- от 10 до 15 млн рублей – для организаций
Повторная передача третьим лицам персональных данных без законных оснований станет грозить следующими штрафами (новая ч.15 ст.13.11 КоАП РФ):
- от 400 000 до 600 000 рублей – для физлиц
- от 800 000 до 1,2 млн рублей – для должностных лиц организаций
- от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.
Штрафы за утечку биометрических персональных данных
Отдельные штрафы будут введены за незаконную передачу третьим лицам биометрических персональных данных, под которыми понимаются в том числе изображения лиц, записи голосов, и отпечатки пальцев.
С 30 мая 2025 года незаконная передача биометрических сведений повлечет наложение штрафов в размере (ч.17 ст.13.11 КоАП РФ):
- от 400 000 до 500 000 рублей – для физлиц
- от 1,3 до 1,5 млн рублей – для должностных лиц организаций
- от 15 до 20 млн рублей – для ИП
- от 15 до 20 млн рублей – для организаций
Повторная передача биометрических данных без законных оснований станет наказываться штрафами в следующих размерах (ч.18 ст.13.11 КоАП РФ):
- от 500 000 до 800 000 рублей – для физлиц
- от 1,5 до 2 млн рублей – для должностных лиц организаций
- от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций
Минимальный штраф, назначаемый организациям и ИП за повторную утечку биометрических данных, будет равен 25 млн рублей, а максимальный – 500 млн рублей.
Уголовная ответственность за нарушения в работе с персональными данными
Кроме штрафов, с 11 декабря 2024 года действует статья 272.1 УК РФ, устанавливающая уголовную ответственность за незаконное использование, сбор и хранение компьютерной информации, содержащей персональные данные граждан. Данные действия сейчас могут грозить:
- штрафом в размере до 300 000 рублей
- принудительными работами на срок до 4 лет
- лишением свободы на срок до 4 лет
Те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, грозят:
- штрафом в размере до 700 000 рублей
- принудительными работами на срок до 5 лет
- лишением свободы на срок до 5 лет
Те же деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба или группой лиц по предварительному сговору наказываются:
- штрафом в размере до 1 млн рублей
- принудительными работами на срок до 5 лет со штрафом в размере до 1 млн рублей
- лишением свободы на срок до 6 лет со штрафом в размере до 1 млн рублей
В материале использованы фото: ImageFlow / Shutterstock / Fotodom.
А тем, чьи персональные данные утекли, от штрафов, полученных государством, какая польза? Государство поделится с нами?
Главбух-душнила, На полученные средства государство должно бороться с нарушителями, а не раздавать их.
Главбух-душнила, Разумеется, поделится. За счет административных штрафов, собираемых с нарушителей, в том числе из числа организаций и ИП, государство решает свои задачи и реализует многие социальные проекты. В частности, за счет поступлений в виде штрафов строятся школьные и дошкольные образовательные объекты, ремонтируются дороги, возводится новая инфраструктура, выплачиваются зарплаты и пенсии бюджетникам.
На что именно идут штрафы в законе не конкретизируются. Но совершенно точно, что они поступают в бюджеты, а не в карманы чиновников.
Главбух-душнила, Штрафы - это доход государственного бюджета. Лица, чьи данные были переданы третьим лицам без их разрешения, не вправе претендовать на данные штрафы. Но они вправе защищать свои права самостоятельно в рамках отдельных судебных разбирательств. Это можно делать как лично, так и при помощи Роспотребнадзора.
В этом случае компанию оштрафуют еще и за нарушение прав потребителя, а самому гражданину может быть присуждена компенсация морального вреда. Сумма такой компенсации - на усмотрение самого лица, чьи данные распространены.
Налоговое бремя, Справедливости ради: лицо, конечно, может и 5 млн потребовать компенсации. Только присудят ему тысяч 10. Не помню прецедентов, чтоб были присуждены высокие компенсации за моральный ущерб.
Наивные "главбухи" (((
Добрый день у нас компания по продаже мебели в розницу. Персональных данных до 1000 есть ли смысл ремонтировать в РКН
Рыжая из бухгалтерии, Смысл подачи уведомлений в Роскомнадзор есть всегда. Если раньше компания не подавала таких уведомлений и ее не штрафовали, то это не значит, что и в будущем к ней со стороны РКН не возникнет никаких претензий. Поэтому уведомление все же лучше подать, пусть и с пропуском законного срока.
Тем более, что сейчас штрафы за непредставление таких уведомлений незначительные. Компания вполне может отделаться штрафом в размере 3000 рублей. А вот с 30 мая штрафы за неподачу уведомлений вырастут многократно. И придется платить уже не 3000 рублей, 300 000 рублей. Санкции вырастут в 100 раз.
Будет ИП штраф если не подавали уведомление но при этом нет работников и заключаем только контракты с покупателями?
Бухгалтер на пенсии, Штраф возможен, но не обязателен. Вполне вероятно, что штраф заменят просто предупреждением и в адрес ИП поступит уведомление о необходимости подачи уведомления. То есть, уведомление о начале обработки персональных данных предпринимателю в Роскомнадзор все равно придется предоставить.
Такое уведомление необходимо не только в случаях, когда ИП планирует трудоустроить к себе наемного работника. Уведомление нужно во всех случаях, когда ИП собирает, обрабатывает и хранит у себя персональные данные третьих лиц. Заключая договоры, персональные данные ИП все равно поступают.