Защита персональных данных: как бизнесу избежать штрафов и организовать безопасную обработку ПД
Сегодня каждая компания, которая собирает и обрабатывает данные клиентов, сотрудников или партнёров, обязана соблюдать строгие правила в сфере защиты персональных данных (ПД). За несоблюдение законодательства предусмотрены штрафы, блокировки сайтов, административные расследования и даже приостановка деятельности.
Содержание
Какие штрафы грозят за нарушение закона о персональных данных?
В 2024 году штрафы за нарушения в сфере обработки персональных данных значительно ужесточены. Ниже приведены основные положения статьи 13.11 КоАП РФ в редакции от 30.11.2024 года:
| Нарушение | Статья | Для юрлиц | Для ИП | Для должностных лиц |
| Обработка ПД без законных оснований | ч. 1 | от 150 000 до 300 000 ₽ | — | от 50 000 до 100 000 ₽ |
| Повторное такое же нарушение | ч. 1.1 | от 300 000 до 500 000 ₽ | — | от 100 000 до 200 000 ₽ |
| Обработка без письменного согласия при его обязательности | ч. 2 | от 300 000 до 700 000 ₽ | — | от 100 000 до 300 000 ₽ |
| Повторное нарушение из ч. 2 | ч. 2.1 | от 1 000 000 до 1 500 000 ₽ | от 500 000 до 1 000 000 ₽ | от 300 000 до 500 000 ₽ |
| Нет политики ПД на сайте | ч. 3 | от 30 000 до 60 000 ₽ | от 10 000 до 20 000 ₽ | от 6 000 до 12 000 ₽ |
| Нет информации для субъекта ПД | ч. 4 | от 40 000 до 80 000 ₽ | от 20 000 до 30 000 ₽ | от 8 000 до 12 000 ₽ |
| Нарушение требований по удалению/уточнению ПД по запросу субъекта | ч. 5 | от 50 000 до 90 000 ₽ | от 20 000 до 40 000 ₽ | от 8 000 до 20 000 ₽ |
| Повторное нарушение из ч. 5 | ч. 5.1 | от 300 000 до 500 000 ₽ | от 50 000 до 100 000 ₽ | от 30 000 до 50 000 ₽ |
| Нарушение требований по локализации ПД (сервер за пределами РФ) | ч. 8 | от 1 000 000 до 6 000 000 ₽ | — | от 100 000 до 200 000 ₽ |
| Повторное из ч. 8 | ч. 9 | от 6 000 000 до 18 000 000 ₽ | — | от 500 000 до 800 000 ₽ |
| Неподача уведомления об обработке ПД | ч. 10 | от 100 000 до 300 000 ₽ | — | от 30 000 до 50 000 ₽ |
| Неуведомление Роскомнадзора о нарушении ПД | ч. 11 | от 1 000 000 до 3 000 000 ₽ | — | от 400 000 до 800 000 ₽ |
| Массовая утечка ПД (1 000 – 10 000 субъектов) | ч. 12 | от 3 000 000 до 5 000 000 ₽ | — | от 200 000 до 400 000 ₽ |
| Утечка от 10 000 до 100 000 субъектов | ч. 13 | от 5 000 000 до 10 000 000 ₽ | — | от 300 000 до 500 000 ₽ |
| Утечка более 100 000 субъектов | ч. 14 | от 10 000 000 до 15 000 000 ₽ | — | от 400 000 до 600 000 ₽ |
| Повторные тяжкие нарушения (ч. 12–14) | ч. 15 | до 3% выручки, но не менее 20 млн ₽ | — | до 1.2 млн ₽ |
| Утечка спецкатегорий ПД | ч. 16 | от 10 000 000 до 15 000 000 ₽ | — | от 1 000 000 до 1 300 000 ₽ |
| Утечка биометрии | ч. 17 | от 15 000 000 до 20 000 000 ₽ | — | от 1 300 000 до 1 500 000 ₽ |
| Повтор по ч. 16–17 | ч. 18 | до 3% выручки, но не менее 25 млн ₽ | — | до 2 млн ₽ |
С каждым годом требования усиливаются, а практика проверок становится строже — особенно в онлайн-бизнесе, e-commerce и сервисах, работающих с клиентскими данными.
Нормативная база: какие законы и акты регулируют защиту персональных данных?
Основным законом является:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — определяет порядок сбора, хранения, использования и передачи персональных данных.
Также применяются:
- Конституция РФ (ст. 23) — право на неприкосновенность частной жизни;
- Трудовой кодекс РФ (ст. 86–90) — в отношении персональных данных работников;
- Федеральный закон № 149-ФЗ «Об информации» — в части регулирования информационных систем;
- Постановления Правительства РФ, включая № 687 и № 1119 — о мерах по обеспечению безопасности ПД;
- Приказы Роскомнадзора и ФСТЭК — устанавливают требования к хранению, уничтожению и защите информации.
Какие меры должен предпринять бизнес для соблюдения закона?
Организация, которая работает с персональными данными, обязана обеспечить их законную, безопасную и прозрачную обработку. Ниже приведён базовый перечень мероприятий, необходимых для минимизации юридических рисков:
Юридические меры:
- Разработка Политики оператора по обработке ПД;
- Получение согласий субъектов ПД в корректной письменной или электронной форме;
- Заключение договоров поручения с подрядчиками (если передаются ПД третьим лицам);
- Обозначение правовых оснований обработки ПД в документации;
- Назначение ответственного за работу с ПД.
Организационные меры:
- Регламентация доступа сотрудников к ПД;
- Ведение журнала учёта обработки и хранения ПД;
- Обучение персонала и проведение инструктажей;
- Введение режима коммерческой и служебной тайны;
- Своевременное уничтожение ПД по окончании срока хранения.
Технические меры:
- Использование средств антивирусной и сетевой защиты;
- Ограничение доступа к ПД на уровне паролей и ролей;
- Резервное копирование и защита от несанкционированного доступа;
- Шифрование и защита каналов передачи данных;
- Ведение логов доступа к ПД.
Что должно быть размещено на сайте?
Если ваш сайт собирает данные через формы (заявки, подписки, регистрации), он автоматически становится каналом обработки ПД. В этом случае на сайте обязательно должны быть:
- Политика конфиденциальности — открытая и доступная, оформленная по требованиям 152-ФЗ и рекомендациям Роскомнадзора;
- Форма согласия на обработку ПД — с возможностью сохранить и предъявить подтверждение получения согласия;
- Указание целей и оснований обработки ПД, а также срока хранения;
- Контакты оператора ПД и лица, ответственного за приём обращений.
Почему это важно и как мы можем помочь?
Правильная организация работы с персональными данными — это не просто «бумажка для галочки». Это:
- защита репутации;
- снижение рисков проверок и блокировок;
- уверенность в юридической чистоте деятельности;
- демонстрация клиентам и партнёрам вашей надёжности.
Наша юридическая команда:
- разработает весь комплект документов по ПД под ваш бизнес;
- поможет организовать безопасную и соответствующую закону практику обработки ПД;
- проведёт аудит текущих процессов и подготовит рекомендации;
- оформит легальные политики для сайта, CRM, офлайн-точек, кол-центров и др.
Руководитель правового департамента
8 лет опыта
более 300 выигранных дел
Комментарии