
С 30.05.2025 в КоАП РФ появились новые специальные составы за нарушения законодательства в области персональных данных (ПД), а также существенно повышен штраф за отсутствие регистрации в реестре персональных данных и введены оборотные штрафы. Ниже – обзор данных нововведений.
Было и стало: сравниваем цифры
ФЗ-152 обязывает всех операторов ПД направлять уведомление в Роскомнадзор за один день до начала обработки ПД. После обработки уведомления РКН вносит заявителя в реестр операторов персональных данных. Ранее (до 30.05.2025) за работу без уведомления был предусмотрен штраф 3-5 тыс. руб. Сегодня эта цифра для организаций увеличена до 150-300 тыс. руб. (п.1 статьи 13.11 КоАП РФ), а повторное нарушение увеличивает санкцию до 300-500 тыс. руб.
Важно: по вышеуказанному составу, а также по новым, введенным с 30.05.2025, ИП несут ответственность как организации (примечание 1 к статье 13.11).
Новые составы
Для тех, кто не знаком с юридической терминологией, разъясним, что под составом понимается совокупность объективных и субъективных признаков, которые характеризуют конкретное деяние как правонарушение и позволяют квалифицировать его по определенной статье КоАП РФ (или иного закона, например, УК РФ).
С 30.05.2025 в уже упомянутую статью 13.11 КоАП РФ добавлены новые составы, т.е. фактически в правовом поле появились новые правонарушения, за которые предусмотрены отдельные штрафы. Собрали эти нормы в таблицу (напомним, что штрафы для организаций и ИП одинаковые):
Как свести к минимуму вероятность штрафа
Своевременная подача уведомления и корректирующих сведений
Оператор ПД – это любая организация или ИП, которые обрабатывают ПД:
-
онлайн-магазины – получают данные клиента для доставки;
-
госучреждения и бизнес – хранят данные сотрудников;
-
медучреждения – вносят ПД пациентов (в том числе специальные) в единую базу;
-
образовательные учреждения (школы, детские сады) – собирают данные родителей, учащихся и воспитанников.
Проще говоря, регистрация в Роскомнадзоре в 2026 году является обязательной практически для всех, а уведомление, как помним, необходимо направить за один день до старта обработки ПД.
Для подачи уведомления на сайте РКН есть отдельная страница. После авторизации через ЕСИА система предложит заполнить уведомление – по завершении его можно будет распечатать для направления почтой (или лично в территориальный орган РКН), но также есть возможность подать его онлайн – для этого нужны электронная подпись и плагин КриптоПро для браузера.
Основная ошибка, которую можно допустить при заполнении (помимо внесения в форму некорректных данных), – это формальный подход. Иными словами, уведомление должно полностью отражать внутренние документы оператора, связанные с ПД, в том числе политику обработки ПД и иные локальные нормативные акты. В связи с этим не рекомендуется заполнять уведомление по образцам из интернета – пример, скорее всего, не будет учитывать специфику вашего бизнеса.
Другая распространенная ошибка, связанная с уведомлением, – это неподача корректирующих данных. Обратите внимание, что это отдельная форма. Подается, если бизнес переехал на другой адрес, назначен новый сотрудник, ответственный за работу с ПД, или изменился состав локальных актов, регулирующих работу с ПД. Срок подачи – 15 число месяца, следующего за месяцем изменений. Форматы подачи аналогичны таковым для первичного уведомления.
Своевременное уведомление РКН об утечках ПД
Если за отсутствие регистрации в РКН предусмотрен штраф до 300 тыс. руб., то за неуведомление об утечке персональных данных в 2026 можно заплатить до 3 млн руб., а это не та сумма, с которой бизнесу хотелось бы попрощаться.
Утечки происходят из-за небрежности сотрудников (иногда – умышленного нанесения вреда репутации работодателя) или внешних факторов – вредоносных программ, фишинга с использованием ИИ, и т.д. В связи с этим задача бизнеса – не только обеспечить надежную защиту ПД – сотрудников и клиентов – но также развивать культуру информационной безопасности внутри компании.
Бизнес, столкнувшийся с утечкой, проводит внутреннее расследование, устанавливает обстоятельства, принимает меры по устранению ущерба и привлечению к ответственности виновных. В разрезе же законодательных требований бизнес обязан сообщить об утечке в РКН, при этом уведомление нужно направлять два раза:
-
В течение суток после инцидента. Необходимо дать информацию об обстоятельствах, возможных причинах, предполагаемом ущербе субъектам персданных, принятых мерах и сотруднике, уполномоченном на взаимодействие с РКН.
-
В течение 3 суток после инцидента. О результатах внутреннего расследования, виновных лицах и примененных к ним мерах.
Формы уведомлений можно найти на сайте ведомства. Чтобы их заполнить, нужна учетная запись ЕСИА. Подача – на бумажном носителе, через сайт РКН (потребуется УКЭП) или портал «Госуслуги».
Резюмируя
С 30 мая 2025 года увеличены штрафы за несвоевременное представление уведомлений в Роскомнадзор, а также введены новые составы правонарушений в статью 13.11 КоАП РФ. О том, что формальный подход к работе с ПД следует оставить позади, лучше всего говорят цифры: за отдельные проступки предусмотрены штрафы вплоть до 15 млн руб. или оборотные штрафы (минимум 20 млн руб.). Избежать негативных финансовых и репутационных последствий для вашего бизнеса поможет своевременное уведомление РКН – о начале работы с ПД и об инцидентах, связанных с утечками – а также в целом: выстраивание комплексной системы обработки и хранения данных ваших сотрудников и клиентов.
Читайте также
Получи демо-доступ прямо сейчас
Оставить заявку