Персональные данные: что изменилось и за что бизнес теперь реально штрафуют
Сфера обработки персональных данных — больше не "бумажная формальность". С 2025 года Роскомнадзор возвращает внеплановые проверки, а размер штрафов уже вырос в разы. Причем — не теоретически: судебная практика подтверждает, что бизнес реально наказывают за нарушения.
-Плановые проверки до 2030 года по-прежнему под мораторием.
-Но внеплановые — снова возможны с 2025 года.
-Приоритет — публичные утечки, бренды, крупные операторы.
-Мониторинг без участия компании — по открытым данным, мессенджерам, сайтам, чат-ботам.
Уже сейчас идут профилактические визиты и представления от Роскомнадзора.
За что сегодня можно получить штраф:
-Неуведомление Роскомнадзора об обработке ПД — от 100 000 до 300 000 руб.
-Неуведомление об утечке — от 1 до 3 млн руб.
-Утечка от 1 000 до 10 000 записей — штраф от 3 до 5 млн руб.
-Утечка спецкатегорий данных (например, здоровье, политвзгляды) — от 10 до 15 млн руб.
-Утечка биометрии — от 15 до 20 млн руб.
Повторная утечка — до 3% от годовой выручки (не менее 20 млн, не более 500 млн руб.).
А если дело дошло до уголовки? – Обработка ПД без законного основания; – Продажа/передача данных (особенно от бывших сотрудников); – Использование утекших баз — даже если не вы источник.
Примеры из практики: – Одна компания получила 1,2 млн руб. за неуведомление об утечке, хотя объем был небольшой — менее 10 000 записей. – В другом случае Роскомнадзор доказал, что политика обработки на сайте не соответствовала фактической практике, и это послужило основанием для штрафа. – Часто выявляется отсутствие отдельных согласий на обработку биометрии, особенно в приложениях и системах видеонаблюдения.
Что делать бизнесу прямо сейчас:
Проверьте, подано ли уведомление об обработке в Роскомнадзор.
Подготовьте шаблоны уведомлений об утечках — по закону, вы обязаны сообщить в течение 24 часов.
Проанализируйте, обрабатываются ли у вас спецкатегории или биометрия — возможно, вы даже не догадываетесь об этом.
Проверьте, какие облачные сервисы используются — соответствуют ли они 152-ФЗ?
Обновите политику обработки на сайте, добавьте уведомления в чат-ботах, приложениях и мессенджерах.
Организуйте обучение сотрудников, особенно тех, кто имеет доступ к ПД.
Важно: Роскомнадзор теперь предпочитает не массовые репрессии, а точечную, демонстративную реакцию. Но если вы попали в фокус внимания — рассчитывать на "предупреждение" не стоит.
Лучше перестраховаться, чем стать примером в следующем релизе РКН.