Телефон: +7 (912) 699-12-84; +7 (912) 618-99-85
Как подать уведомление в Роскомнадзор о обработке персональных данных
Как подать уведомление в Роскомнадзор о обработке персональных данных
Способы отправки уведомления в роскомнадзор:
Прежде чем перейти к заполнению формы регистрации оператора персональных данных в Роскомнадзор, выберем удобный способ её отправки (ссылка):
В самом начале нужно выбрать тип уведомления – первичное или корректирующее. Если мы нажмем кнопку «Заполнить уведомление данными из ранее составленного письма», то откроется окошко, где нужно ввести номер и ключ предыдущего уведомления. В этом случае все ранее заполненные данные автоматические подтянутся.
Нужно учитывать, что время на заполнение уведомления на портале ограничено, а сохранить черновик нет технической возможности. Поэтому, прежде чем заносить данные в уведомление непосредственно на портале РКН, необходимо подготовиться и собрать все сведения – прервать работу и потом к ней вернуться не получится.
Прежде чем перейти к заполнению формы регистрации оператора персональных данных в Роскомнадзор, выберем удобный способ её отправки (ссылка):
- В бумажном виде. Заполненную форму потребуется распечатать и направить в территориальный орган по месту регистрации оператора.
- В электронном виде с использованием усиленной квалифицированной электронной подписи. Заполненную форму потребуется подписать электронной подписью перед отправкой на сайте.
- В электронном виде с использованием средств аутентификации ЕСИА. Если у нас есть подтвержденная учетная запись на портале «Госуслуги», мы можем зайти в свой аккаунт на портале, заполнить форму и направить её в электронном виде.
В самом начале нужно выбрать тип уведомления – первичное или корректирующее. Если мы нажмем кнопку «Заполнить уведомление данными из ранее составленного письма», то откроется окошко, где нужно ввести номер и ключ предыдущего уведомления. В этом случае все ранее заполненные данные автоматические подтянутся.
Нужно учитывать, что время на заполнение уведомления на портале ограничено, а сохранить черновик нет технической возможности. Поэтому, прежде чем заносить данные в уведомление непосредственно на портале РКН, необходимо подготовиться и собрать все сведения – прервать работу и потом к ней вернуться не получится.
Способы отправки уведомления в роскомнадзор:
Прежде чем перейти к заполнению формы регистрации оператора персональных данных в Роскомнадзор, выберите удобный способ её отправки (ссылка):
В самом начале нужно выбрать тип уведомления – первичное или корректирующее. Если вы нажмете кнопку «Заполнить уведомление данными из ранее составленного письма», то откроется окошко, где нужно ввести номер и ключ предыдущего уведомления. В этом случае все ранее заполненные данные автоматические подтянутся.
Заполнение уведомления в Роскомнадзор:
После того как мы выбрали удобный для нас способ отправки уведомления в Роскомнадзор, откроется форма уведомления, которой необходимо заполнить поля.
Регион. Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, укажите регион фактического местонахождения.
Адрес электронной почты. Красными звездочками отмечены поля, обязательные к заполнению. Адрес электронной почты как раз относится к таким обязательным полям. Он нужен для оперативного взаимодействия с вами по вопросам подачи уведомлений и обработки персональных данных.
Регионы обработки. Регионы обработки – это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Например, у вас есть филиалы, в которых обрабатывается личная информация сотрудников. Это может быть и несколько территорий, и вся Российская Федерация. На сегодня нет судебной практики, когда Роскомнадзор привлек бы к ответственности за то, что в Регионах обработки была указана Российская Федерация, а не конкретный субъект. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.
Прежде чем перейти к заполнению формы регистрации оператора персональных данных в Роскомнадзор, выберите удобный способ её отправки (ссылка):
- В бумажном виде. Заполненную форму потребуется распечатать и направить в территориальный орган по месту регистрации оператора.
- В электронном виде с использованием усиленной квалифицированной электронной подписи. Заполненную форму потребуется подписать электронной подписью перед отправкой на сайте.
- В электронном виде с использованием средств аутентификации ЕСИА. Если у вас есть подтвержденная учетная запись на портале «Госуслуги», вы можете зайти в свой аккаунт на портале, заполнить форму и направить её в электронном виде.
В самом начале нужно выбрать тип уведомления – первичное или корректирующее. Если вы нажмете кнопку «Заполнить уведомление данными из ранее составленного письма», то откроется окошко, где нужно ввести номер и ключ предыдущего уведомления. В этом случае все ранее заполненные данные автоматические подтянутся.
Заполнение уведомления в Роскомнадзор:
После того как мы выбрали удобный для нас способ отправки уведомления в Роскомнадзор, откроется форма уведомления, которой необходимо заполнить поля.
Регион. Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, укажите регион фактического местонахождения.
Адрес электронной почты. Красными звездочками отмечены поля, обязательные к заполнению. Адрес электронной почты как раз относится к таким обязательным полям. Он нужен для оперативного взаимодействия с вами по вопросам подачи уведомлений и обработки персональных данных.
Регионы обработки. Регионы обработки – это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Например, у вас есть филиалы, в которых обрабатывается личная информация сотрудников. Это может быть и несколько территорий, и вся Российская Федерация. На сегодня нет судебной практики, когда Роскомнадзор привлек бы к ответственности за то, что в Регионах обработки была указана Российская Федерация, а не конкретный субъект. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.
Цели обработки данных:
Необходимо указать каждую цель, с которой компания планирует обрабатывать персональные данные. В зависимости от объемов обработки данных у организации может быть различное количество целей. Указать в одном поле несколько целей через запятую нельзя.
Например, ведение кадрово-бухгалтерского учета, заключение договоров с клиентами и организация пропускного режима на территорию оператора – это три разные цели.
В справочнике на портале Роскомнадзора предложены более 30 целей. Мы можем выбрать из имеющихся или добавить вручную свой вариант.
Есть близкие по смыслу процессы, которые можно объединить в одну цель.
Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты.
То же самое при подборе персонала, который складывается из различных процессов: поиск соискателей с помощью различных сервисов, взаимодействие с соискателями, прием от них документов, формирование кадрового резерва. Для каждой цели определяем установленную ч.3.1 ст.22 Федерального закона №152-ФЗ информацию.
Выбираем из предложенного Справочника или добавляем вручную через выбор кнопки «Иные». При выборе «Иные» в любом из разделов в форме уведомления появятся дополнительные поля, где нужно дописать вручную недостающие сведения (категории ПДн, субъектов, правовые основания и т.д.). Заполнять эти сведения нужно обязательно.
Далее под каждую цель обработки нужно указать категории персональных данных и категории субъектов.
Например, при подборе персонала категории сведений, которые обрабатываются, это ФИО, сведения об образовании и предыдущих местах работы, паспортные данные и т.д.
Необходимо указать каждую цель, с которой компания планирует обрабатывать персональные данные. В зависимости от объемов обработки данных у организации может быть различное количество целей. Указать в одном поле несколько целей через запятую нельзя.
Например, ведение кадрово-бухгалтерского учета, заключение договоров с клиентами и организация пропускного режима на территорию оператора – это три разные цели.
В справочнике на портале Роскомнадзора предложены более 30 целей. Мы можем выбрать из имеющихся или добавить вручную свой вариант.
Есть близкие по смыслу процессы, которые можно объединить в одну цель.
Например, в рамках трудовых отношений это оформление трудоустройства, внесение персональных данных сотрудников в информационные системы, например СРМ, и направление персональных данных в банки для выплаты зарплаты.
То же самое при подборе персонала, который складывается из различных процессов: поиск соискателей с помощью различных сервисов, взаимодействие с соискателями, прием от них документов, формирование кадрового резерва. Для каждой цели определяем установленную ч.3.1 ст.22 Федерального закона №152-ФЗ информацию.
Выбираем из предложенного Справочника или добавляем вручную через выбор кнопки «Иные». При выборе «Иные» в любом из разделов в форме уведомления появятся дополнительные поля, где нужно дописать вручную недостающие сведения (категории ПДн, субъектов, правовые основания и т.д.). Заполнять эти сведения нужно обязательно.
Далее под каждую цель обработки нужно указать категории персональных данных и категории субъектов.
Например, при подборе персонала категории сведений, которые обрабатываются, это ФИО, сведения об образовании и предыдущих местах работы, паспортные данные и т.д.
Способ обработки данных:
Обработка может быть автоматизированная, неавтоматизированная и смешанная. Способ указывается относительно каждой цели. Редко какие компании используют исключительно автоматизированный способ, поэтому не будет ошибкой указать по всем целям смешанную обработку. Кроме того, нужно конкретизировать: передача данных происходит через интернет, или в рамках внутренней сети, или используются оба варианта.
Меры по защите персональных данных:
Полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ. Те данные, которые мы укажем в уведомлении, могут быть проверены Роскомнадзором. Поэтому нужно указывать исключительно достоверную информацию. То же самое касается и сведений об использовании шифровальных криптографических средств. В электронной форме уведомления помимо наименования нужно указать изготовителей, серийные номера средств шифрования и класс из КЗИ. Если у нас нет полных сведений, то достаточно будет указать их наименование.
Ответственный за организацию обработки персональных данных:
Ответственным за организацию обработки персональных данных в компании может быть только один сотрудник. Внутри организации мы можем распределить обязанности между несколькими работниками, но ответственность перед проверяющими органами будет нести только человек, указанный в приказе.
Если для целей обработки данных мы привлекаем компанию, то указываем наименование юридического лица. Индивидуальный предприниматель может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников. В первом случае можно поле не заполнять.
Необходимо обратить внимание на то, что для ответственных лиц важно указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут открытыми. При этом убедиться, что с человеком можно легко связаться по указанным контактам.
Дата начала и окончания обработки персональных данных:
Укажите в качестве даты начала обработки персональных данных день регистрации компании или ИП в Росреестре. Иначе у сотрудников Роскомнадзора возникнет вопрос о том, почему именно указанная дата была выбрана в качестве начального момента обработки данных. В качестве окончания обработки персональных данных можно выбирать не дату, а событие: ликвидация юрлица или окончание регистрации ИП.
Места нахождения баз данных:
Помимо страны (РФ) здесь указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры. Под ЦОДом в уведомлении в Роскомнадзор понимается любой сервер и любое место хранения бумажных носителей. Если у нас ЦОД не собственный, а, например, арендованный, хостинг сайта или Яндекс.Диск, то нужно указать, кто обеспечивает хранение. То есть заполнить наименование организации, ИНН, ОГРН и адрес.
Номер и ключ уведомления:
После завершения формирования и отправки уведомления мы получаем номер и ключ документа. Его необходимо сохранить, он понадобится нам для последующей подачи корректирующих сведений.
Обработка может быть автоматизированная, неавтоматизированная и смешанная. Способ указывается относительно каждой цели. Редко какие компании используют исключительно автоматизированный способ, поэтому не будет ошибкой указать по всем целям смешанную обработку. Кроме того, нужно конкретизировать: передача данных происходит через интернет, или в рамках внутренней сети, или используются оба варианта.
Меры по защите персональных данных:
Полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ. Те данные, которые мы укажем в уведомлении, могут быть проверены Роскомнадзором. Поэтому нужно указывать исключительно достоверную информацию. То же самое касается и сведений об использовании шифровальных криптографических средств. В электронной форме уведомления помимо наименования нужно указать изготовителей, серийные номера средств шифрования и класс из КЗИ. Если у нас нет полных сведений, то достаточно будет указать их наименование.
Ответственный за организацию обработки персональных данных:
Ответственным за организацию обработки персональных данных в компании может быть только один сотрудник. Внутри организации мы можем распределить обязанности между несколькими работниками, но ответственность перед проверяющими органами будет нести только человек, указанный в приказе.
Если для целей обработки данных мы привлекаем компанию, то указываем наименование юридического лица. Индивидуальный предприниматель может как сам отвечать за этот процесс, так и назначить ответственного из лица сотрудников. В первом случае можно поле не заполнять.
Необходимо обратить внимание на то, что для ответственных лиц важно указывать исключительно рабочие телефоны и электронные адреса, поскольку эти данные будут открытыми. При этом убедиться, что с человеком можно легко связаться по указанным контактам.
Дата начала и окончания обработки персональных данных:
Укажите в качестве даты начала обработки персональных данных день регистрации компании или ИП в Росреестре. Иначе у сотрудников Роскомнадзора возникнет вопрос о том, почему именно указанная дата была выбрана в качестве начального момента обработки данных. В качестве окончания обработки персональных данных можно выбирать не дату, а событие: ликвидация юрлица или окончание регистрации ИП.
Места нахождения баз данных:
Помимо страны (РФ) здесь указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры. Под ЦОДом в уведомлении в Роскомнадзор понимается любой сервер и любое место хранения бумажных носителей. Если у нас ЦОД не собственный, а, например, арендованный, хостинг сайта или Яндекс.Диск, то нужно указать, кто обеспечивает хранение. То есть заполнить наименование организации, ИНН, ОГРН и адрес.
Номер и ключ уведомления:
После завершения формирования и отправки уведомления мы получаем номер и ключ документа. Его необходимо сохранить, он понадобится нам для последующей подачи корректирующих сведений.
Если номер и ключ были утеряны, можно связаться с территориальным органом Роскомнадзора, в который мы подавали уведомление, и спросить у сотрудников варианты восстановления утерянных сведений. Сделать это самостоятельно на портале уже не получится.
Отражены не все цели обработки
В качестве целей вы указали только ведение кадрового и бухгалтерского учета, но не сообщили, что обрабатываете данные населения при оказании услуг. То есть в уведомлении была отражена только одна цель обработки персональных данных. Узнать об этом достаточно просто. Во-первых, сотрудник Роскомнадзора может заглянуть в ОКВЭДы оператора персональных данных и понять, какую деятельность организация ведет, например, торгует или оказывает услуги. Во-вторых, много информации можно почерпнуть с сайта компании или досок объявлений, рекламы.
Выявляется это, как правило, в ходе профилактических визитов или при рассмотрении жалоб со стороны субъектов персональных данных. В качестве последствий могут быть и требование, и предписание, и привлечение к ответственности в виде штрафа по ч.1 ст.13.11 КоАП РФ:
В уведомлении указаны избыточные сведения
Компания на всякий случай отразила в уведомления сведения, которые фактически не собирает или они не нужны для ее деятельности. Причина может быть любая: ответственный сотрудник перепутал, написал «про запас» – вдруг в будущем пригодится.
Одно дело, когда для ведения бухгалтерского и кадрового учета вы указываете большой набор категорий собираемых персональных данных. Например, СНИЛС, ИНН, сведения о воинском учете, сведения о водительском удостоверении. В этой ситуации вы имеете право все это собирать в рамках законодательства и можете обосновать, для чего вам эта информация. Другое дело, когда для цели оказания услуг населению вы выбираете обширный перечень данных, включая сведения о воинской обязанности, сведения о водительском удостоверении и т.д. В этом случае объяснить Роскомнадзору, зачем вы собираете эти персональные данные, будет достаточно сложно.
Роскомнадзор может усмотреть в этом избыточный сбор персональных данных. За это также предусмотрен штраф по ч.1 ст.13.11 КоАП РФ. Поэтому необходимо указывать только тот сбор персональных данных, который обусловлен необходимостью или законодательством.
Цели указаны обобщенно
Цели обработки данных должны быть четкими и конкретными. Например, нельзя в качестве цели указать договорные отношения. Непонятная формулировка цели является нарушением и может повлечь штрафы по ч.1 ст.13.11 КоАП РФ. Пример четкой цели – оказание туристических услуг в рамках договоров о реализации туристского продукта. Должно быть понятно, с кем работаете и для чего собираете персональные данные.
Подали неполный перечень категорий субъектов, оснований, адресов
Допустим, вы забыли указать, что работаете не только с сотрудниками, но и с соискателями, с уволенными работниками, с их родственниками – важно прописать всех. Все это также будет являться основанием для назначения штрафа по ч.1 ст.13.11 КоАП РФ. То же самое будет и в случае правовых оснований обработки персданных, когда забывают указать, к примеру, договор или требования закона, а ссылаются только на согласие. Также в уведомлении часто забывают указать полные сведения об адресах баз данных, арендованных серверах и т.д., хотя это сделать необходимо.
Данные между уведомлением и локальными актами расходятся
Еще одна частая ошибка – несоответствие внутренних документов компании той информации, которая указана в уведомлении. Согласно статистике проверки сайтов, примерно в 80% случаев выявляются расхождения между документами, которые опубликованы на сайте и уведомлением. Если Роскомнадзор выявит более трех расхождений, то вам вправе назначить контрольную проверку. И мораторий тут не действует. Сотрудники Роскомнадзора вправе приехать и проверить полностью деятельность, связанную с персональными данными.
В уведомлении содержатся личные контакты сотрудников
Личные контактные данные и домашние адреса ответственных сотрудников указывать в уведомлении не нужно. Дело в том, что эта информация конфиденциальная, и вы как оператор персональных данных вообще не имеете права ее распространять и показывать кому-либо. Обязательно указывайте только рабочие контакты. Также важно, чтобы контакты были актуальными. В противном случае указанная почта или телефон могут быть завалены письмами и предписаниями от Роскомнадзора, а вы об этом не узнаете. За предписаниями обычно следуют штрафы. Чтобы избежать этой ошибки, установите график актуализации контактов и ответственных лиц. Делайте проверку, например, раз в полгода.
В качестве целей вы указали только ведение кадрового и бухгалтерского учета, но не сообщили, что обрабатываете данные населения при оказании услуг. То есть в уведомлении была отражена только одна цель обработки персональных данных. Узнать об этом достаточно просто. Во-первых, сотрудник Роскомнадзора может заглянуть в ОКВЭДы оператора персональных данных и понять, какую деятельность организация ведет, например, торгует или оказывает услуги. Во-вторых, много информации можно почерпнуть с сайта компании или досок объявлений, рекламы.
Выявляется это, как правило, в ходе профилактических визитов или при рассмотрении жалоб со стороны субъектов персональных данных. В качестве последствий могут быть и требование, и предписание, и привлечение к ответственности в виде штрафа по ч.1 ст.13.11 КоАП РФ:
- на граждан – от 2 000 до 6 000 рублей;
- на должностных лиц – от 10 000 до 20 000 рублей;
- на юридических лиц – от 60 000 до 100 000 рублей.
В уведомлении указаны избыточные сведения
Компания на всякий случай отразила в уведомления сведения, которые фактически не собирает или они не нужны для ее деятельности. Причина может быть любая: ответственный сотрудник перепутал, написал «про запас» – вдруг в будущем пригодится.
Одно дело, когда для ведения бухгалтерского и кадрового учета вы указываете большой набор категорий собираемых персональных данных. Например, СНИЛС, ИНН, сведения о воинском учете, сведения о водительском удостоверении. В этой ситуации вы имеете право все это собирать в рамках законодательства и можете обосновать, для чего вам эта информация. Другое дело, когда для цели оказания услуг населению вы выбираете обширный перечень данных, включая сведения о воинской обязанности, сведения о водительском удостоверении и т.д. В этом случае объяснить Роскомнадзору, зачем вы собираете эти персональные данные, будет достаточно сложно.
Роскомнадзор может усмотреть в этом избыточный сбор персональных данных. За это также предусмотрен штраф по ч.1 ст.13.11 КоАП РФ. Поэтому необходимо указывать только тот сбор персональных данных, который обусловлен необходимостью или законодательством.
Цели указаны обобщенно
Цели обработки данных должны быть четкими и конкретными. Например, нельзя в качестве цели указать договорные отношения. Непонятная формулировка цели является нарушением и может повлечь штрафы по ч.1 ст.13.11 КоАП РФ. Пример четкой цели – оказание туристических услуг в рамках договоров о реализации туристского продукта. Должно быть понятно, с кем работаете и для чего собираете персональные данные.
Подали неполный перечень категорий субъектов, оснований, адресов
Допустим, вы забыли указать, что работаете не только с сотрудниками, но и с соискателями, с уволенными работниками, с их родственниками – важно прописать всех. Все это также будет являться основанием для назначения штрафа по ч.1 ст.13.11 КоАП РФ. То же самое будет и в случае правовых оснований обработки персданных, когда забывают указать, к примеру, договор или требования закона, а ссылаются только на согласие. Также в уведомлении часто забывают указать полные сведения об адресах баз данных, арендованных серверах и т.д., хотя это сделать необходимо.
Данные между уведомлением и локальными актами расходятся
Еще одна частая ошибка – несоответствие внутренних документов компании той информации, которая указана в уведомлении. Согласно статистике проверки сайтов, примерно в 80% случаев выявляются расхождения между документами, которые опубликованы на сайте и уведомлением. Если Роскомнадзор выявит более трех расхождений, то вам вправе назначить контрольную проверку. И мораторий тут не действует. Сотрудники Роскомнадзора вправе приехать и проверить полностью деятельность, связанную с персональными данными.
В уведомлении содержатся личные контакты сотрудников
Личные контактные данные и домашние адреса ответственных сотрудников указывать в уведомлении не нужно. Дело в том, что эта информация конфиденциальная, и вы как оператор персональных данных вообще не имеете права ее распространять и показывать кому-либо. Обязательно указывайте только рабочие контакты. Также важно, чтобы контакты были актуальными. В противном случае указанная почта или телефон могут быть завалены письмами и предписаниями от Роскомнадзора, а вы об этом не узнаете. За предписаниями обычно следуют штрафы. Чтобы избежать этой ошибки, установите график актуализации контактов и ответственных лиц. Делайте проверку, например, раз в полгода.
Представлять уведомления о начале обработки персональных данных в Роскомнадзор должны организации, ИП и самозанятые, собирающие и обрабатывающие персональные данные (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):
Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):
Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.
Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
- сотрудников и кандидатов на работу;
- контрагентов;
- членов общественных объединений и религиозных организаций;
- посетителей для однократного пропуска на территорию компании;
- ФИО любого лица, полученное организацией.
Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):
- от 5 000 до 10 000 рублей – для физлиц
- от 30 000 до 50 000 рублей – для должностных лиц организаций
- от 100 000 до 300 000 рублей – для ИП
- от 100 000 до 300 000 рублей – для организаций
Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.
Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
С 30 мая 2025 года увеличены штрафы также и за непредставление в Роскомнадзор уведомления о произошедшей утечке персональных данных.
С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составляют (ч.11 ст.13.11 КоАП РФ):
Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).
Уведомления разрешается направлять в ведомство на бумажном носителе по почте или в электронном виде путем заполнения рекомендованной формы на сайте Роскомнадзора.
С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составляют (ч.11 ст.13.11 КоАП РФ):
- от 50 000 до 100 000 рублей – для физлиц
- от 400 000 до 800 000 рублей – для должностных лиц организаций
- от 1 до 3 млн рублей – для ИП
- от 1 до 3 млн рублей – для организаций
Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).
Уведомления разрешается направлять в ведомство на бумажном носителе по почте или в электронном виде путем заполнения рекомендованной формы на сайте Роскомнадзора.
За саму утечку персональных данных – их неправомерную передачу третьим лицам.
С 30 мая 2025 года неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек влечет наложение штрафа в размере (ч.12 ст.13.11 КоАП РФ):
Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек повлечет наложение штрафов в размере (ч.13 ст.13.11 КоАП РФ):
За незаконную передачу третьим лицам персональных данных более 100 000 человек накажут штрафами в размере (ч.14 ст.13.11 КоАП РФ):
Повторная передача третьим лицам персональных данных без законных оснований грозит следующими штрафами (новая ч.15 ст.13.11 КоАП РФ):
С 30 мая 2025 года неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек влечет наложение штрафа в размере (ч.12 ст.13.11 КоАП РФ):
- от 100 000 до 200 000 рублей – для физлиц;
- от 200 000 до 400 000 рублей – для должностных лиц организаций;
- от 3 до 5 млн рублей – для ИП;
- от 3 до 5 млн рублей – для организаций.
Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек повлечет наложение штрафов в размере (ч.13 ст.13.11 КоАП РФ):
- от 200 000 до 300 000 рублей – для физлиц;
- от 300 000 до 500 000 рублей – для должностных лиц организаций;
- от 5 до 10 млн рублей – для ИП;
- от 5 до 10 млн рублей – для организаций.
За незаконную передачу третьим лицам персональных данных более 100 000 человек накажут штрафами в размере (ч.14 ст.13.11 КоАП РФ):
- от 300 000 до 400 000 рублей – для физлиц;
- от 400 000 до 600 000 рублей – для должностных лиц организаций;
- от 10 до 15 млн рублей – для ИП;
- от 10 до 15 млн рублей – для организаций.
Повторная передача третьим лицам персональных данных без законных оснований грозит следующими штрафами (новая ч.15 ст.13.11 КоАП РФ):
- от 400 000 до 600 000 рублей – для физлиц;
- от 800 000 до 1,2 млн рублей – для должностных лиц организаций;
- от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.
Отдельные штрафы введены за незаконную передачу третьим лицам биометрических персональных данных, под которыми понимаются в том числе изображения лиц, записи голосов, и отпечатки пальцев.
С 30 мая 2025 года незаконная передача биометрических сведений влечет наложение штрафов в размере (ч.17 ст.13.11 КоАП РФ):
Повторная передача биометрических данных без законных оснований наказываться штрафами в следующих размерах (ч.18 ст.13.11 КоАП РФ):
Минимальный штраф, назначаемый организациям и ИП за повторную утечку биометрических данных, равен 25 млн рублей, а максимальный – 500 млн рублей.
С 30 мая 2025 года незаконная передача биометрических сведений влечет наложение штрафов в размере (ч.17 ст.13.11 КоАП РФ):
- от 400 000 до 500 000 рублей – для физлиц;
- от 1,3 до 1,5 млн рублей – для должностных лиц организаций;
- от 15 до 20 млн рублей – для ИП;
- от 15 до 20 млн рублей – для организаций.
Повторная передача биометрических данных без законных оснований наказываться штрафами в следующих размерах (ч.18 ст.13.11 КоАП РФ):
- от 500 000 до 800 000 рублей – для физлиц;
- от 1,5 до 2 млн рублей – для должностных лиц организаций;
- от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.
Минимальный штраф, назначаемый организациям и ИП за повторную утечку биометрических данных, равен 25 млн рублей, а максимальный – 500 млн рублей.
С 11 декабря 2024 года действует статья 272.1 УК РФ, устанавливающая уголовную ответственность за незаконное использование, сбор и хранение компьютерной информации, содержащей персональные данные граждан. Данные действия сейчас могут грозить:
Те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, грозят:
Те же деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба или группой лиц по предварительному сговору наказываются:
Обратите внимание! Уголовная ответственность не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных или семейных нужд.
- штрафом в размере до 300 000 рублей;
- принудительными работами на срок до 4 лет;
- лишением свободы на срок до 4 лет.
Те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, грозят:
- штрафом в размере до 700 000 рублей;
- принудительными работами на срок до 5 лет;
- лишением свободы на срок до 5 лет.
Те же деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба или группой лиц по предварительному сговору наказываются:
- штрафом в размере до 1 млн рублей;
- принудительными работами на срок до 5 лет со штрафом в размере до 1 млн рублей;
- лишением свободы на срок до 6 лет со штрафом в размере до 1 млн рублей.
Обратите внимание! Уголовная ответственность не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных или семейных нужд.
