Статья - Обязательный план действий в связи с введением новых санкций за нарушения в области персональных данных с 30.05.2025

Обязательный план действий в связи с введением новых санкций за нарушения в области персональных данных с 30.05.2025

Валентина Митрофанова

С 30 мая 2025 года, согласно Федеральному закону от 30.11.2024 №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», вступают в силу следующие изменения:

Увеличены размеры действующих взысканий за нарушение законодательства о персональных данных;
Введены отдельные специальные составы правонарушений в области защиты персональных данных.

Итак, план, что надо сделать и почему:

Увеличен размер штрафа за обработку ПД с нарушением целей их обработки - часть 1 ст.13.11 КоАП (от 150 до 300 тыс.)
ЧТО СДЕЛАТЬ?
- Проанализировать, какие персональные данные, каких субъектов персональных данных обрабатываете, с какими целями, на каком основании, какие действия с персональными данными совершаете;
- Установить, имеются ли случаи излишней обработки персональных данных;
- Устранить возможность совершения аналогичных нарушений.
Новый состав - Неуведомление или нарушение сроков уведомления Роскомнадзора об обработке ПД (будет распространяться на уведомление о намерении обработки ПД и о трансграничной передаче ПД) - часть 10 ст. 13.11 КоАП (от 100 до 300 тыс.)
ЧТО СДЕЛАТЬ?
- Необходимо оперативно проанализировать, какие персональные данные, каких субъектов персональные данные обрабатываете, с какими целями, на каком основании, какие действия с персональными совершаете;
- После этого нужно как можно скорее подать соответствующее уведомление, составленное с соблюдением ч.3 ст.22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в Роскомнадзор;
- Если ранее уведомление подавалось — проверить его актуальность и подать корректировочное уведомление (при необходимости);
- Аналогично проверить, передавала ли организация уведомления о трансграничной передаче и подать срочно, если сами факты такой передачи были.
Новый состав - Несообщение в Роскомнадзор об инциденте (неправомерной передаче, доступу к ПД - часть 11 ст.1 3.11 КоАП (от 1 до 3 млн руб.)
ЧТО СДЕЛАТЬ?
- Провести аудит с целью выявления, не было ли ранее фактов утечки, распространения, передачи персональных данных без согласия субъекта, рассмотреть возможность подачи уведомления в Роскомнадзор;
- Провести аудит бизнес-процессов, включающих обработку персональных данных на предмет соответствия законодательству о персональных данных;
- Скорректировать процессы, которые не соответствуют законодательству;
- Проверить и при необходимости обновить документы компании, подтверждающие соблюдение законодательства о персональных данных;
- Рассмотреть порядок подачи необходимых уведомлений в Роскомнадзор, назначить ответственных лиц и разработать регламент по выявлению инцидентов, уведомлению Роскомнадзора, проведению расследования и устранению рисков.
Новый состав – Неправомерная передача ПД (субъектов или идентификаторов) - части 12-18 ст. 13.11 КоАП (от 3 млн до 15 млн руб. – при первом инциденте). По специальной категории ПД – штраф 10-15 млн, по биометрическим данным – 15-20 млн.
ЧТО СДЕЛАТЬ?
- Провести аудит, проверить, выполняются ли требования ст. 18.1, 19, 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"; Зафиксировать результаты аудита;
- При необходимости скорректировать процесс обработки персональных данных, внести изменения в локальные нормативные акты, провести обучение должностных лиц, принять иные меры — организационные, правовые, технические — по защите ПД.

АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ

Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов

Обратите внимание, аудит – теперь обязательная часть защиты ПД. Каждая компания должна будет его проводить, чтобы доказать, что обеспечивает информационную безопасность (это будет влиять на размеры штрафов).

Особенно важно для компаний, которые передают персональные данные за рубеж, обрабатывают биометрические и специальные категории персональных данных, а также передают персональные данные третьим лицам

Мы более 20 лет проводим аудиты для бизнеса, в том числе аудиты персональных данных.
Всего за 3 дня мы дистанционно проведем аудит персональных данных в вашей компании, представим отчет по нарушениям и расскажем, как исправить ошибки и избежать штрафов.

Аудит проводит Валентина Митрофанова, эксперт по трудовому праву, практик с большим опытом бизнес-аудитов.

🎁 ПОДАРОК! Закажите аудит прямо сейчас и получите в подарок экспертизу согласия на обработку персданных

ОСТАВИТЬ ЗАЯВКУ НА АУДИТ

Обучение

Бизнес проекты

Услуги

Как нас найти

г. Москва, ул. Арбат 12, стр. 1, подъезд 1, оф. 215

Подписаться на новостные рассылки