Штрафы за неуведомление Роскомнадзора о начале обработки персональных данных
Представлять уведомления о начале обработки персональных данных в Роскомнадзор должны организации, ИП и самозанятые, собирающие и обрабатывающие персональные данные (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):
- сотрудников и кандидатов на работу;
- контрагентов;
- членов общественных объединений и религиозных организаций;
- посетителей для однократного пропуска на территорию компании;
- ФИО любого лица, полученное организацией.
Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):
- от 5 000 до 10 000 рублей – для физлиц
- от 30 000 до 50 000 рублей – для должностных лиц организаций
- от 100 000 до 300 000 рублей – для ИП
- от 100 000 до 300 000 рублей – для организаций
Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.
Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
- Какие уведомления подавать в Роскомнадзор: виды, сроки и новые штрафы
- Уведомление в Роскомнадзор: кто и зачем обязан подавать, как правильно оформить и какие ошибки можно допустить
- Подача уведомлений в Роскомнадзор и работа с персональными данными на сайтах компаний
- «1С:Бухгалтерия 8»: как сформировать уведомление об обработке персональных данных
- Пример заполнения уведомления об обработке персональных данных в Роскомнадзор
- Подача уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи
Штрафы за неуведомление Роскомнадзора об утечке персональных данных
С 30 мая 2025 года будут увеличены штрафы также и за непредставление в Роскомнадзор уведомления о произошедшей утечке персональных данных. Сейчас компании за неподачу таких уведомлений штрафуют по ст.19.7 КоАП РФ, а штраф назначают в пределах от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):
- от 50 000 до 100 000 рублей – для физлиц
- от 400 000 до 800 000 рублей – для должностных лиц организаций
- от 1 до 3 млн рублей – для ИП
- от 1 до 3 млн рублей – для организаций
Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).
Уведомления разрешается направлять в ведомство на бумажном носителе по почте или в электронном виде путем заполнения рекомендованной формы на сайте Роскомнадзора.
-
Отзыв согласия на обработку персональных данных: юридические последствия и санкции
- Навигатор по материалам об ответственности в сфере персональных данных
-
Как компаниям выполнять требования владельцев персональных данных
- Роскомнадзор назвал основные ошибки в уведомлениях об обработке персональных данных
- Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН
- Какие компании могут получить штрафы за нарушения правил обработки персональных данных в 2025 году
- Как работать с персональными данными в 2025 году, чтобы не получить штраф Роскомнадзора
Штрафы за утечку персональных данных
Одновременно для компаний будут значительно повышены и штрафы за саму утечку персональных данных – их неправомерную передачу третьим лицам. Сейчас операторы персональных данных несут ответственность за утечку личных сведений граждан по ч.2 ст.13.11 КоАП РФ, а максимальный размер штрафов за указанное нарушение достигает 700 000 рублей.
С 30 мая 2025 года неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек повлечет наложение штрафа в размере (ч.12 ст.13.11 КоАП РФ):
- от 100 000 до 200 000 рублей – для физлиц;
- от 200 000 до 400 000 рублей – для должностных лиц организаций;
- от 3 до 5 млн рублей – для ИП;
- от 3 до 5 млн рублей – для организаций.
Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек повлечет наложение штрафов в размере (ч.13 ст.13.11 КоАП РФ):
- от 200 000 до 300 000 рублей – для физлиц;
- от 300 000 до 500 000 рублей – для должностных лиц организаций;
- от 5 до 10 млн рублей – для ИП;
- от 5 до 10 млн рублей – для организаций.
За незаконную передачу третьим лицам персональных данных более 100 000 человек накажут штрафами в размере (ч.14 ст.13.11 КоАП РФ):
- от 300 000 до 400 000 рублей – для физлиц;
- от 400 000 до 600 000 рублей – для должностных лиц организаций;
- от 10 до 15 млн рублей – для ИП;
- от 10 до 15 млн рублей – для организаций.
Повторная передача третьим лицам персональных данных без законных оснований станет грозить следующими штрафами (новая ч.15 ст.13.11 КоАП РФ):
- от 400 000 до 600 000 рублей – для физлиц;
- от 800 000 до 1,2 млн рублей – для должностных лиц организаций;
- от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.
Штрафы за утечку биометрических персональных данных
Отдельные штрафы будут введены за незаконную передачу третьим лицам биометрических персональных данных, под которыми понимаются в том числе изображения лиц, записи голосов, и отпечатки пальцев.
С 30 мая 2025 года незаконная передача биометрических сведений повлечет наложение штрафов в размере (ч.17 ст.13.11 КоАП РФ):
- от 400 000 до 500 000 рублей – для физлиц;
- от 1,3 до 1,5 млн рублей – для должностных лиц организаций;
- от 15 до 20 млн рублей – для ИП;
- от 15 до 20 млн рублей – для организаций.
Повторная передача биометрических данных без законных оснований станет наказываться штрафами в следующих размерах (ч.18 ст.13.11 КоАП РФ):
- от 500 000 до 800 000 рублей – для физлиц;
- от 1,5 до 2 млн рублей – для должностных лиц организаций;
- от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.
Минимальный штраф, назначаемый организациям и ИП за повторную утечку биометрических данных, будет равен 25 млн рублей, а максимальный – 500 млн рублей.
Уголовная ответственность за нарушения в работе с персональными данными
Кроме штрафов, с 11 декабря 2024 года действует статья 272.1 УК РФ, устанавливающая уголовную ответственность за незаконное использование, сбор и хранение компьютерной информации, содержащей персональные данные граждан. Данные действия сейчас могут грозить:
- штрафом в размере до 300 000 рублей;
- принудительными работами на срок до 4 лет;
- лишением свободы на срок до 4 лет.
Те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, грозят:
- штрафом в размере до 700 000 рублей;
- принудительными работами на срок до 5 лет;
- лишением свободы на срок до 5 лет.
Те же деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба или группой лиц по предварительному сговору наказываются:
- штрафом в размере до 1 млн рублей;
- принудительными работами на срок до 5 лет со штрафом в размере до 1 млн рублей;
- лишением свободы на срок до 6 лет со штрафом в размере до 1 млн рублей.
- Как обрабатывать персональные данные: новые рекомендации Роскомнадзора
- Работа с персональными данными в «1С:Зарплате и управлении персоналом 8» ред. 3
- Сбор персональных данных: новые требования для компаний
- Как компаниям уничтожать персональные данные
- Как разработать политику обработки персональных данных в 2025 году
- Кто и когда должен подавать в Роскомнадзор уведомление о прекращении обработки персональных данных
В материале использованы фото: ImageFlow / Shutterstock / Fotodom.
Наивные "главбухи" (((
Добрый день у нас компания по продаже мебели в розницу. Персональных данных до 1000 есть ли смысл ремонтировать в РКН
Рыжая из бухгалтерии, Смысл подачи уведомлений в Роскомнадзор есть всегда. Если раньше компания не подавала таких уведомлений и ее не штрафовали, то это не значит, что и в будущем к ней со стороны РКН не возникнет никаких претензий. Поэтому уведомление все же лучше подать, пусть и с пропуском законного срока.
Тем более, что сейчас штрафы за непредставление таких уведомлений незначительные. Компания вполне может отделаться штрафом в размере 3000 рублей. А вот с 30 мая штрафы за неподачу уведомлений вырастут многократно. И придется платить уже не 3000 рублей, 300 000 рублей. Санкции вырастут в 100 раз.
Добродушный кассир, Нужно подавать уведомление если ООО не ведет деятельность и в штате только Директор он же учредитель?
Бухгалтер на все руки, Да, вы также должны подать в Роскомнадзор уведомление об обработке персональных данных. Отсутствие предпринимательской деятельности и временное прекращение данной деятельности вовсе не означает, что организация не осуществляет обработку персональных данных.
Даже если в организации нет наемных работников, то она как минимум обрабатывает персональные данные своего директора. Директор - это такой же наемный персонал, как и все прочие работники. Поэтому организации в любом случае обязаны быть зарегистрированными в реестре операторов персональных данных.
Если ИП подавал уведомление об обработке персданных но потом прекратил деятельность на 5 лет то при возобновлении деятельности нужно повторное уведомление?
Бухгалтер-виртуоз, Если при повторной регистрации ИП планирует начать осуществление обработки и сбора персональных данных физлиц, то подача в Роскомнадзор соответствующего уведомления обязательна. То обстоятельство, что ИП ранее уже подавал такое уведомление, но потом снялся с учета в качестве ИП, прекратив предпринимательскую деятельность, не освобождает от подачи данного уведомления при повторной регистрации в качестве ИП.
На основании данного уведомления ИП регистрируют в реестре операторов персональных данных. Этот реестр постоянно обновляют. И снятые с учета ИП исключаются из указанного реестра. Поэтому нужно повторное уведомление.
Для МСП штрафы заменяют на предупреждения?
Забалансовый счет, Штрафы за административные правонарушения, в том числе и в сфере защиты персональных данных, на предупреждения заменяют не только субъектам малого и среднего предпринимательства. Рассчитывать на замену штрафа предупреждением могут все без исключения организации и ИП, независимо от наличия у них статуса субъекта МСП.
Но предупреждение возможно только за правонарушение, совершенное впервые. Если компания со статусом субъекта МСП ранее привлекалась к ответственности за нарушение правил использования персональных данных, штраф на предупреждение ей не заменят.
Ясно, спасибо Вам.