#новости_sovrteh

💡 С 30 мая 2025 года вырастут штрафы за нарушения при обработке персональных данных.
📍 С 30 мая 2025 года существенно увеличатся штрафы за нарушения при обработке персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ, далее – Закон № 420-Ф3). Кроме того, Законом № 420-ФЗ введены новые составы нарушений и ответственность за них. В отдельные составы выделены нарушения, касающиеся массовой утечки персональных данных.
В связи с изменениями в законодательстве у операторов персональных данных возникает вопрос о необходимости подачи в Роскомнадзор до 30 мая 2025 года уведомления о намерении обрабатывать персональные данные.
В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) операторами являются организации и физические лица (в т. ч. ИП), которые самостоятельно или совместно с другими лицами обрабатывают персональные данные физических лиц (работников, клиентов и др.). Если организация или ИП обрабатывает персональные данные физлиц, они должны быть включены в реестр операторов персональных данных. Для этого необходимо представить соответствующее уведомление в Роскомнадзор (ч. 1 ст. 22 Закона № 152-ФЗ). Направить уведомление необходимо до начала обработки персональных данных.
📌 Отметим, что в Законе № 152-ФЗ нет точных сроков, в течение которых оператор должен направить в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Единственное требование в законе – уведомление должно быть подано до начала обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Таким образом, обработка персональных данных без уведомления Роскомнадзора – это уже нарушение законодательства о персональных данных.
Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Роскомнадзора от 28.10.2022 № 180. Ранее применялась форма уведомления, приведенная в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94.
При этом операторы персональных данных, которые не являются работодателями, были обязаны направить уведомление в Роскомнадзор еще раньше, то есть до вступления в силу упомянутых выше изменений, внесенных в Закон № 152-ФЗ, то есть до 1 сентября 2022 года. Если операторы обрабатывают персональные данные без уведомления Роскомнадзора, они нарушают законодательство. В такой ситуации есть риск привлечения операторов к ответственности за неуведомление Роскомнадзора по ст. 19.7 КоАП РФ (если нарушение обнаружено до 30 мая 2025 года) или по ч. 10 ст. 13.11 КоАП РФ (если нарушение обнаружено после 30 мая 2025 года).
Если операторы подадут уведомление в Роскомнадзор сейчас, то, полагаем, ведомство также признает это нарушением, а именно несвоевременной подачей уведомления о намерении обрабатывать персональные данные, что повлечет ответственность по ст. 19.7 КоАП РФ.
С 30 мая 2025 года размеры штрафов за нарушения будут повышены. За невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных установлен штраф (ч. 10 ст. 13.11 КоАП РФ):
- для граждан – в размере от 5000 до 10 000 руб.;
- для должностных лиц государственного или муниципального органа либо некоммерческой организации (далее – НКО) – от 30 000 до 50 000 руб.;
- для организаций, которые не являются государственным (муниципальным) органом или НКО и ИП – от 100 000 до 300 000 руб.