Новые штрафы за персональные данные: что меняется с 30 мая 2025
С 30 мая 2025 года для бизнеса ужесточается ответственность за нарушения правил обработки персональных данных. Федеральным законом от 30.11.2024 N 420-ФЗ внесены изменения в статью 13.11 КоАП, которая предусматривает ответственность за нарушения законодательства РФ в области персональных данных. В статье рассказываю, как меняются штрафы и что нужно сделать компаниям и индивидуальным предпринимателям, чтобы избежать наказания.
Какие новые штрафы грозят за персональные данные с 30 мая 2025 года
С 30 мая происходит сразу два важных изменения, которые касаются штрафов за персональные данные в 2025 году. Во-первых, увеличиваются штрафы, которые уже установлены в законе.
| За что оштрафуют |
Размер штрафа до 30.05.2025 |
Размер штрафа с 30.05.2025 |
| Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора данных, за исключением случаев из ч. 2 ст. 13.11 и ст. 17.13 КоАП, если эти действия не содержат уголовно наказуемого деяния (ч. 1 ст. 13.11 КоАП)
|
для граждан — от 2 000 до 6 000; для должностных лиц — от 10 000 до 20 000; для юридических лиц — от 60 000 до 100 000
|
для граждан — от 10 000 до 15 000; для должностных лиц — от 50 000 до 100 000; для юридических лиц — от 150 000 до 300 000
|
| Повторное совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП (ч. 1.1 ст. 13.11 КоАП) |
для граждан — от 4 000 до 12 000; для должностных лиц — от 20 000 до 50 000; для ИП — от 50 000 до 100 000; для юридических лиц — от 100 000 до 300 000
|
для граждан — от 15 000 до 30 000; для должностных лиц — от 100 000 до 200 000; для юридических лиц — от 300 000 до 500 000
|
Во-вторых, появляются новые штрафы. Например, теперь помимо сбора согласий руководителю компании важно сообщить в Роскомнадзор о том, что компания осуществляет обработку персональных данных своих сотрудников. Если не отправить уведомление, то компанию оштрафуют на сумму от 100 000 до 300 000 рублей (ч. 10 ст. 13.11 КоАП). Какие еще штрафы появились, смотрите в таблице ниже.
| За что грозит штраф с 30.05.2025 |
Размер штрафа |
| Невыполнение или несвоевременное выполнение оператором персональных данных обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных (ч. 10 ст. 13.11 КоАП) |
для граждан — от 5 000 до 10 000; для должностных лиц — от 30 000 до 50 000; для юридических лиц — от 100 000 до 300 000 |
| Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч. 11 ст. 13.11 КоАП) |
для граждан — от 50 000 до 100 000; для должностных лиц — от 400 000 до 800 000; для юридических лиц — от 1 000 000 до 3 000 000 |
| Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (ч. 12 ст. 13.11 КоАП) |
для граждан — от 100 000 до 200 000; для должностных лиц — от 200 000 до 400 000; для юридических лиц — от 3 000 000 до 5 000 000 |
| Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (ч. 13 ст. 13.11 КоАП) |
для граждан — от 200 000 до 300 000; для должностных лиц — от 300 000 до 500 000; для юридических лиц — от 5 000 000 до 10 000 000 |
| Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (ч. 14 ст. 13.11 КоАП) |
для граждан — от 300 000 до 400 000; для должностных лиц — от 400 000 до 600 000; для юридических лиц — от 10 000 000 до 15 000 000 |
| Совершение административного правонарушения, предусмотренного частями 12 — 14 ст. 13.11 КоАП, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 — 18 ст. 13.11 КоАП (ч. 15 ст. 13.11 КоАП)
|
для граждан — от 400 000 до 600 000; для должностных лиц — от 800 000 до 1 200 000; для юридических лиц — от 1 до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее 20 000 000 и не более 500 000 000 |
| Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных (ч. 16 ст. 13.11 КоАП)
|
для граждан — от 300 000 до 400 000; для должностных лиц — от 1 000 000 до 1 300 000; для юридических лиц — от 10 000 000 до 15 000 000 |
| Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 КоАП (ч. 17 ст. 13.11 КоАП) |
для граждан — от 400 000 до 500 000; для должностных лиц — от 1 300 000 до 1 500 000; для юридических лиц — от 15 000 000 до 20 000 000 |
| Совершение административного правонарушения, предусмотренного частью 16 или 17 ст. 13.11 КоАП, лицом, подвергнутым административному наказанию за административные правонарушения, предусмотренные частями 12 — 18 ст. 13.11 КоАП (ч. 18 ст. 13.11 КоАП)
|
для граждан — от 500 000 до 800 000; для должностных лиц — от 1 500 000 до 2 000 000; для юридических лиц — от 1 до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее 25 000 000 и не более 500 000 000 |
Как сообщить об обработке персональных данных сотрудников в Роскомнадзор и избежать штрафа
В первую очередь под удар попадают предприниматели, у которых есть сотрудники.
Как я уже говорила, теперь мало при приеме на работу заручиться письменным согласием работника на обработку персональных данных при трудоустройстве. Помимо сбора согласий становится важно сообщить в Роскомнадзор о том, что компания обрабатывает персданные персонала.
Есть три способа, как сообщить об обработке персональных данных, о которых говорит Роскомнадзор в письме от 24 мая 2024 г. № 45697-10/77.
Первый способ. Сформировать уведомление и направить в бумажном виде. После заполнения электронной формы, распечатать, заверить подписью уполномоченного должностного лица и направить в Управление по адресу: Старокаширское шоссе, д. 2, корп. 10, ГСП-7, Москва, 117997.
Второй способ. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи на Портал персональных данных Роскомнадзора www.pd.rkn.gov.ru. В этом случае подача в бумажном виде не потребуется.
У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним. В случае если вы подаете уведомление за организацию, то ИНН электронной подписи должно соответствовать ИНН организации.
Третий способ. Сформировать уведомление об обработке персональных данных и направить его в электронном виде с использованием средств аутентификации ЕСИА. Для этого надо пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде. У Вас должна быть подтвержденная учетная запись. Отправка копии в бумажном виде в данном случае не потребуется.
В случае, если подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг.
Как избежать штраф за обработку персональных данных клиентов на сайте компании
Также нужно обратить внимание на правильность обработки персональных данных, если у компании есть свой сайт. Если через него вы принимаете заявки от клиентов , то в обязательном порядке на сайте нужно разместить:
- Согласие на обработку персональных данных;
- Согласие на рассылку рекламных материалов;
- Пользовательское соглашение;
- Политику конфиденциальности.
Вполне допустимо, если на сайте вы разместили, например, бесплатный чек-лист, указать обязательное согласие на получение рекламных рассылок. Такие действия не нарушают законодательство, но позволяют бизнесу законно обрабатывать персональные данные о потенциальных клиентах и направлять им рекламные рассылки. Законодательство о рекламе содержит норму, согласно которой распространение рекламы по сетям электросвязи допускается только при условии предварительного согласия абонента или адресата на получение рекламы (ч. 1 ст. 18 Закона № 38-ФЗ).
От рекламной рассылки пользователь может отказаться в любой момент, но бизнес не вправе осуществлять рассылку без предварительно полученного согласия.
Таким образом, если у компании есть сайт, она обязана сообщить в Роскомнадзор об обработке персональных данных с помощью него. Очень важно проверить свой портал на соответствие, учитывая, что Роскомнадзор может самостоятельно обнаружить нарушение путем осмотра ресурса.
Учитывая вышеизложенное, собственникам бизнеса важно своевременно отреагировать на предстоящие изменения в законодательство и сообщать в Роскомнадзор об обработке персональных данных, чтобы не получить штрафы.
