Риски бизнеса и закон о персональных данных

В конце 2024 года произошли изменения в федеральном законе №152 «О персональных данных», которые прямо или косвенно могут вызвать риски бизнеса в связи с использованием информации о физических лицах (субъекте персональных данных).

К таким понятиям персональных данных можно отнести: электронную почту, ФИО, ИНН, номер телефона с ФИО и другие их сочетания. Собирать, обрабатывать и хранить персональные данные необходимо строго в соответствии с федеральным законом №152-фз. Лицо, обрабатывающее персональные данные, становится оператором персональных данных (далее оператор ПДн). Оператором может быть как физическое лицо, так и индивидуальный предприниматель и самозанятый, физическое лицо в случае, если персональные данные используются не для личных нужд.

Обязательно при обработке персональных данных составляют Уведомление в Роскомнадзор для включения в Реестр. На сегодняшний момент нет практически организаций, которые не работают с персональными данными. На конец ноября 2024 года в реестре операторов Роскомнадзора зарегистрировано до 1 млн организаций и физлиц, при общем количестве юридических и физических лиц, зарегистрированных в России - 7,5 млн, не считая самозанятых.

30 ноября 2024 года введен федеральный закон, ужесточающий ответственность за отсутствие уведомлений. До мая 2025 года предупреждение составит 5 тыс. руб. (чаще Роскомнадзор выписывает предписание в форме предупреждения). После мая 2025 года штрафы значительно увеличиваются: на физическое лицо составят от 5 до 10 тыс. руб., должностное лицо - от 30 до 50 тыс. руб., на юридическое лицо и ИП - от 100 до 300 тыс. руб.

Проверить, входит ли организация в реестр оператора Роскомнадзора, можно напрямую на сайте, введя наименование организации или ИНН. Рекомендуется ИНН, что сокращает ошибки.

Роскомнадзор осуществляет постоянный мониторинг наличия организаций и физических лиц в реестре операторов, так как уведомления необходимо подавать при любых изменениях в уставной деятельности, местонахождении организации, смене лиц, ответственных за контроль персональных данных, изменение цели обработки персональных данных и иных внутренних локальных документах регламентирующих исполнение федерального закона №152 «О персональных данных».

Как отмечает эксперт Среднерусского института управления - филиал РАНХиГС Ирина Кружкова, штрафы могут быть суммированы и за неподачу уведомление, и за саму утечку персональных данных, зависят от объема информации, которая «вышла» за пределы организации, то есть суммы могут быть увеличены. Эксперт подчеркивает, что должны быть приняты шаги со стороны юридического и физического лица для минимизации последствий ситуаций с потерей персональных данных: вложения в информационную безопасность (приобретение антивирусов, применение экранов для предотвращения угроз и др.), постоянное документальное подтверждение соблюдения требований к защите персональных данных (локальные акты, уведомления, обучение сотрудников, аудиты), соблюдение правил хранения персональных данных.

Отметим, что прибыль от применения персональных данных сомнительная, а риски бизнеса - существенно высоки.

21 марта 2025 г. 16:38