Марина Климова — профессиональный бухгалтер и независимый налоговый консультант, автор более 70 книг и многочисленных статей по проблемам бухгалтерского учёта и налогообложения, к. э. н.
На нас нахлынула новая волна изменений в сфере работы с персональными данными (ПДн). С 23 мая 2025 года многократно выросли штрафы за нарушение правил защиты информации (в т.ч. персональных данных), с 30 мая 2025 года стали просто непосильными санкции на нарушения законодательства в области персональных данных, с 1 сентября 2025 года изменится одно из ключевых требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к компаниям и ИП, выступающим операторами по обработке персданных (далее – оператор).
При этом каждое нововведение в этой области традиционно вызывает бурную, но не всегда адекватную реакцию операторов, которые своими действиями иной раз добиваются эффекта, обратного ожидаемому, а истинно необходимые усилия по настройке верной работы с персональными данными, исключающей риски привлечения к ответственности, мало кто предпринимает.
Давайте это исправим.
В мае текущего года Роскомнадзор (РКН) зафиксировал паломничество подателей уведомлений о намерении осуществлять обработку персональных данных. Очевидно, что такой всплеск активности был вызван желанием избежать возрастающего штрафа за неуведомление.
Действительно, штрафы стали весьма впечатляющими. Ранее за непредставление или несвоевременное представление этих сведений в РКН был установлен штраф в размере от 300 до 500 руб. для должностных лиц и ИП; в размере 3000–5000 руб. для организаций (ст. 19.7 КоАП РФ). С 30.05.2025 в ст. 13.11 КоАП РФ была введена новая санкция за невыполнение или несвоевременное выполнение оператором предусмотренной законодательством РФ в области персданных обязанности по уведомлению РКН о намерении осуществлять обработку персональных данных. Теперь за эти нарушения с должностных лиц НКО могут взыскать 30000–50000 руб.; с юридического лица (за исключением НКО), а также с ИП – от 100 000 до 300 000 руб. (ч. 10, прим. 1–3 к ст. 13.11 КоАП РФ).
Новые нормы сделали непредставление или несвоевременное представление уведомления более «дорогостоящими», а значит, они не имеют обратной силы: согласно с ч. 1 ст. 1.7 КоАП РФ нарушитель в таких обстоятельствах подлежит ответственности на основании закона, действовавшего во время совершения административного правонарушения. Проще говоря, если обработку персданных вы начали до 30 мая 2025 года, но не предуведомили РКН, то к вам за это нарушение должна применяться санкция, предусмотренная ст. 19.7 КоАП РФ, а не ч. 10 ст. 13.11 КоАП РФ. Но не надо забывать, что по каждому виду правонарушений установлены сроки давности привлечения к административной ответственности. Какой же штраф грозит вам, если уведомление вы не представили до сих пор, хотя должны были это сделать задолго до 30 мая 2025 года? Возможно, вы удивитесь, но никакой. Пункт 1 ст. 22 Закона № 152-ФЗ оговаривает: оператор обязан уведомить Роскомнадзор о своём намерении осуществлять обработку персданных до начала их обработки (это удобно сделать через сайт ведомства). Срок давности привлечения к административной ответственности по ст. 19.7 КоАП РФ – 90 календарных дней (ст. 4.5 КоАП РФ). Данное нарушение не является длящимся, т.к. закон чётко определяет, до какого момента от оператора ждут уведомление, – до даты начала обработки персданных. Срок давности отсчитывается со дня совершения правонарушения (ч. 1.1 ст. 4.5 КоАП РФ). В нашем случае – с даты начала обработки без представления уведомления. 90 дней с тех пор, наверное, давно истекли и наказание уже неприменимо за давностью нарушения. Если же вы представили уведомление в мае этого года на волне всеобщего энтузиазма, то таким образом компания (ИП, должностное лицо) совершила новое правонарушение – допустила несвоевременную подачу уведомления и теперь – в течение 90 календарных дней, считая со дня представления уведомления, – находится под угрозой наказания по ст. 19.7 КоАП РФ. Обидно. С другой стороны, если представить уведомление тоже с опозданием, но уже после вступления в силу новых норм, отвечать придётся уже по новой мерке. К слову, по ст. 13.11 КоАП РФ и срок давности значительно больше – 1 год со дня совершения административного правонарушения (ст. 4.5 КоАП РФ).
Но если вы уведомили, выдохнули и считаете дело сделанным раз и навсегда, то вы ошибаетесь. П. 7 ст. 22 закона № 152-ФЗ требует представления уточняющего уведомления(ий), если данные в предыдущем устарели (например, появились новые категории или изменились правовые основания, цели обработки ПДн, сменился адрес оператора или его контактные данные, назначено новое ответственное лицо, поменялось место хранения баз, методы защиты информации и т.д.). Новое уведомление Роскомнадзор ожидает от оператора не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
Ещё одно уведомление положено представить в случае прекращения обработки персональных данных – в течение 10 рабочих дней после соответствующей даты (п. 7 ст. 22 закона № 152-ФЗ). Причины могут быть следующие:
Забыв представить эти уведомления, оператор и сейчас может поплатиться штрафом только по ст. 19.7 КоАП РФ, но не по ч. 10 ст. 13.11 – новая санкция касается только первичного уведомления.
Итак, получается, что в настоящее время тех, кто не коммуницирует как положено с Роскомнадзором, могут ожидать следующие последствия (если нарушение совершено не ранее 30 мая 2025 года).
| Административное правонарушение | Санкция | Срок давности (ст. 4.5 КоАП РФ) | Норма КоАП РФ |
|---|---|---|---|
| Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению РКН о намерении осуществлять обработку ПДн | на должностных лиц НКО – 30000–50 000 руб.; на юридических лиц (кроме НКО), ИП – 100000–300000 руб. | 1 год | ч. 10, прим. 1–3 к ст. 13.11 |
| Непредставление или несвоевременное представление в РКН уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн | на должностных лиц, ИП – 300–500 руб.; на юридических лиц – 3000–5000 руб. | 90 календарных дней | 19.7 |
| Непредставление или несвоевременное представление в РКН уведомления о прекращении обработки ПДн | на должностных лиц, ИП – 300–500 руб.; на юридических лиц – 3000– 5000 руб. | 90 календарных дней | 19.7 |
Как видим, уведомление Роскомнадзора – это праздник, который всегда с тобой.
Другая излюбленная тема у операторов – получение согласия субъекта персональных данных на их обработку.
Бытует мнение, что одним из самых страшных прегрешений оператора является обработка ПДн без согласия субъекта. Сами граждане часто противятся обработке своих персональных данных, например, передаче их налоговому органу, судебным приставам, указывая, что не соглашались на это. Таким образом, принято считать, что согласие – это начало начал.
В действительности закон № 152-ФЗ предусматривает множество оснований для обработки персданных без согласия субъекта (пп. 2–11 п. 1 ст. 6, пп. 2–10 п. 2 ст. 10, п. 2 ст. 11). В их числе, например, следующие:
Когда исключения не срабатывают, согласие нужно. Но что оно собой представляет? Тут мы снова оказываемся на развилке: в п. 4 ст. 9 закона № 152-ФЗ указано, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (это может быть бумажный ли электронный документ, подписанный, соответственно, собственноручной или электронной подписью субъекта персональных данных). Здесь же приводится перечень из девяти обязательных реквизитов такого письменного согласия. Такой вариант необходим в целях:
При оформлении письменного согласия заменять полноценную подпись проставлением «галочки» в соответствующем поле недопустимо (п. 1 ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», п. 5 разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Несоблюдение реквизитного состава согласия в письменной форме также имеет фатальные последствия.
За обработку персональных данных без согласия субъекта в письменной форме (в случаях, когда оно обязательно) либо за обработку с нарушением требований к составу сведений, включаемых в такое согласие оператору, – нарушителю грозит штраф, предусмотренный ч. 2 ст. 13.11 КоАП РФ – до 700 000 рублей.
Если сложить все случаи, когда согласие не требуется вообще, и те, когда оно должно быть письменным, они точно не покроют полностью все основания для работы с персональными данными. То есть в широком спектре случаев согласие субъекта нужно, но оно может быть отличным от того, что закон называет «согласие в письменной форме». Вот такое «промежуточное» согласие как раз может выражаться проставлением «галочки» после описания условий обработки персональных данных оператором. Когда вы его не получили, хотя были должны, это тоже нарушение, но оно квалифицируется по ч. 1 ст. 13.11 КоАП РФ – штраф за это может составлять теперь до 300 000 рублей. Сроки давности привлечения к ответственности по всем составам статьи – 1 год.
В законе № 152-ФЗ (п. 3–5 ст. 6) и в ст. 88 ТК РФ есть дополнительные требования относительно согласий, которые даются для различных целей, например, в одобрение передачи ПДн для обработки третьему лицу (скажем, аутсорсеру).
Должно ли согласие быть отдельным документом или может быть интегрировано в договор, локальный акт и т.п.? До 1 сентября 2025 года этот вопрос остаётся неурегулированным законодательно, но, начиная с этой даты, п. 1 ст. 9 закона № 152-ФЗ пополнен новым требованием: согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект. Изменение применимо к правоотношениям по работе с ПДн, начавшимся до его вступления в силу, в части прав и обязанностей, возникших, начиная с 01.09.2025. На практике это означает, что, если в настоящее время согласия у вас оформлены не отдельными документами, то к 1 сентября их нужно переделать.
Как видите, требования к работе с согласиями достаточно витиеваты, но самое главное, пожалуй, даже не это. Большинство операторов ошибочно полагает, что, заручившись согласием субъекта, они могут обрабатывать любые персданные, типы которых в этом согласии упоминаются. Но это заблуждение. Работа с персданными ВСЕГДА должна ограничиваться достижением конкретных, заранее определённых и законных целей; обработка, несовместимая с целями сбора персданных, не допускается (п. 2 ст. 5 закона № 152-ФЗ). Поэтому, если ваша форма согласия включает избыточный перечень ПДн или целей их сбора – это тоже нарушение. Наказание за него предусмотрено ч. 1 ст. 13.11 КоАП РФ (теперь это штраф до 300 000 руб.).
Оператор–организация обязан издать:
Это – требование пп. 2 п. 1 ст. 18.1 закона № 152-ФЗ.
Политика в отношении обработки ПДн должна быть общедоступна, причём оператор, собирающий персданные в Интернете, публикует документ и сведения о защите персданных на той площадке (сайте, канале, странице в социальной сети и т.п.), где он эти данные собирает (п. 2 ст. 18.1, письма Роскомнадзора от 14.07.2023 № 08ВМ-59834, от 19.10.2021 № 08-71063).
Эти требования не новы, как давно существует и штраф за их несоблюдение – он установлен ч. 3 ст. 13.11 КоАП РФ и может доходить до 60 000 руб.
Закон предусматривает жёсткие требования к безопасности и конфиденциальности ПДн при их обработке и хранении. Есть здесь и нововведения: с 1 июля 2025 года работа с персданными разрешена большинству операторов исключительно с использованием баз данных, находящихся в РФ (п. 5 ст. 18 закона № 152-ФЗ).
Уже заготовлен новый штраф за нарушение этого правила (ч. 8 ст. 13.11 КоАП РФ), который может составлять до 6 000 000 руб.
Когда цели обработки достигнуты, оператор обязан прекратить её и уничтожить ПДн в 30-дневный срок, если иной срок не предусмотрен соглашением между компанией или ИП – оператором и субъектом (п. 4 ст. 21 закона № 152-ФЗ, постановление ВС РФ от 21.03.2017 № 91-АД17-2).
Например, если сотрудник снят с воинского учёта, то его карточка воинского учёта с персональными данными должна быть уничтожена компанией в течение 30 дней по окончании 5-летнего срока хранения, как следует из п. 457 перечня, утв. приказом Росархива от 20.12.2019 № 236 и вышеуказанных норм. Если этого не сделать, оператора–работодателя ожидает штраф (ч. 1 ст. 13.11 КоАП РФ) до 300 000 руб., а если сам работник обратится с требованием об уничтожении этих данных, но оно не будет удовлетворено – ещё и штраф, предусмотренный ч. 5 этой же статьи – до 90 000 руб.
Подчёркиваем: наш пример с карточкой воинского учёта – лишь один частный случай из бесчисленного множества подобных оснований для уничтожения отслуживших персданных.
Cледует позаботиться о надлежащих носителях и программной защите для персданных, защищённых местах хранения съёмных носителей ПДн, в противном случае не избежать санкции, установленной ч. 6 ст. 13.12 КоАП РФ. Штрафной «потолок», начиная с 23.05.2025, здесь составляет 100 000 руб., что почти в 7 раз больше, чем было предусмотрено прежней редакцией КоАП РФ.
С 30 мая 2025 года введены также новые специальные санкции за:
Заслуживают внимания и давно существующие, но от этого не менее грозные наказания за невыполнение оператором предусмотренной законодательством обязанности по предоставлению субъекту информации, касающейся обработки его ПДн (ч. 4 ст. 13.11 КоАП РФ); за невыполнение оператором в установленные сроки требования субъекта или его представителя, либо РКН об уточнении персданных, их блокировании или уничтожении в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки (ч. 5 ст. 13.11 КоАП РФ); за разглашение должностным лицом информации, доступ к которой ограничен (ст. 13.14 КоАП РФ, к слову, должностное лицо за это могут и уволить на основании пп. «в» п. 6 ст. 81 ТК РФ); за ущемление прав потребителя, отказавшегося предоставить избыточные персональные данные продавцу (ч. 7, 8 ст. 14.8 КоАП РФ).
Таким образом, ни уведомлением Роскомнадзора, ни публикацией политики по обработке персональных данных, ни сбором согласий субъектов фронт работ не ограничивается. Каждое требование закона № 152-ФЗ, гл. 14 «Защита персональных данных работника» ТК РФ, должно быть учтено и реализовано оператором. Соблюдение этого законодательства требует не разовых, а постоянных усилий.
и получайте новости первыми!