Что должен успеть сделать каждый российский предприниматель до 30 мая 2025 года
В начале было слово. Оно не означало ничего хорошего, но хотя бы не несло финансовых угроз бизнесу. Время шло. Процесс, который означает это слово, начал стоить денег. Предприниматели стали ответственными финансово.
Время течет дальше. Нести ответственность все дороже, а с 30 мая 2025 делать это станет максимально дорого за всю историю моих наблюдений.
Уже поняли про что речь? Верно, про утечку. Если быть точнее, про утечку персональных данных из компании. Лет 10 назад это понятие не вызывало откровенно негативных чувств. С недавних пор оно неразрывно с тревогой и печалью, а буквально через полтора месяца уже будет навевать гнев и нести опустошение: не только эмоциональное, но и финансовое, ибо новые штрафы за утечку персональных данных вырастут до астрономических значений.
Большие штрафы придется платить не только за утечки, но и за неуведомление Роскомнадзора об обработке ПД. Тучи сгущаются и бизнес должен играть по новым правилам, чтобы оставаться на плаву.
Эта статья для предпринимателей: рассказываю, что успеть до 30 мая 2025, чтобы не получить требование выплатить штраф суммой в несколько сотен тысяч или миллионов рублей.
Первое и самое главное: до 30 мая 2025 вы должны направить в Роскомнадзор уведомление о намерении выполнять обработку персональных данных, если по какой-либо причине вы не сделали этого раньше. Если же вы подавали уведомление, не спешите закрывать статью. Это вовсе не значит, что у бизнеса появился бессрочный иммунитет от штрафов РКН.
Кого коснутся новые штрафы по персональным данным
Штрафы коснуться всех, кто ведет бизнес и собирает данные клиентов.
Вы ИП без сотрудников, применяющий средство автоматизации (компьютер) для записи ФИО и номеров клиентов? Тогда вы — оператор персональных данных и к вам могут применить штрафы.
У вас компания с несколькими точками? Вы оператор ПД, так как у вас есть сотрудники, клиенты, поставщики, и вы фиксируете сведения о них. Вы должны исполнять закон «О персональных данных» и обучать персонал работать с ними.
Как подавать уведомление в Роскомнадзор
До направления уведомления надо проверить процесс обработки данных и убедиться, что все юридические документы на сайте компании актуальны и выверены. Об этом я писала здесь.
Ответственность за неуведомление Роскомнадзора
Если предприниматель не направит уведомление, то штраф составит 100 000 до 300 000 руб.
Новые штрафы за утечку персональных данных
С 30 мая 2025 начнут действовать новые штрафы за нарушения при обработке персональных данных, в том числе оборотные штрафы за утечку данных. Поэтому важно проверить, как в компании обрабатываются данные сейчас, есть ли риск попасть под штраф. После привести документацию и процесс обработки персональных данных в порядок, устранить слабые места. Больше об этом я рассказываю здесь.
Вот минимум из того, что нужно сделать:
- Проверить, утверждена ли политика обработки персональных данных.
- Проверить, размещены ли на сайте все необходимые документы: политика обработки персональных данных, пользовательское соглашение, согласие на обработку персональных данных.
- Проверить, используются ли на сайте сервис Google Forms (для сбора данных) или иностранные метрические программы, например Google Analytics. Если они применяются, их необходимо срочно поменять на российские аналоги или убедиться, что ранее направлено уведомление в Роскомнадзор об осуществлении трансграничной передачи данных.
- Проверить, хранятся ли данные пользователей сайта на территории России (где находится сервер).
- Назначить ответственного за обработку данных (убедиться, что соответствующий приказ есть или издать его) .
- Ознакомить работников с порядком обработки данных, объяснить ценность персональных данных, рассказать, какими могут быть последствия некорректной обработки ПД.
- Проверить, подано ли уведомление в Роскомнадзор. Для этого нужно ввести ИНН на сайте Роскомнадзора. Если выяснится, что уведомление не было подано, необходимо подать его до 30 мая 2025 года. Не рекомендую откладывать это на последний момент.
Размеры штрафов с 30 мая 2025:
- до 300 000 для ИП и юридических лиц, если в Роскомнадзор не подано уведомление о начале обработки ПД;
- до 100 000 для ИП, до 300 000 для юридических лиц штраф за обработку персональных данных без согласия (иного законного основания) или за обработку избыточных персональных данных;
- до 15 000 000 за утечку данных (для ИП и юридических лиц).
Цифры внушительные, внимание Роскомнадзора огромное, ответственность серьезная. До штрафов осталось полтора месяца, за которые вы можете многое изменить, поэтому действуйте. Задать вопросы можно мне и моей команде – опытным юристам по защите персональных данных.