Как защитить персональные данные сотрудников, чтобы не платить новые миллионные штрафы

Новые штрафы за нарушения

Новый закон ужесточает ответственность за незаконную обработку данных.

1. Увеличили штрафы за обработку данных без законных оснований.
2. Установили штрафы, если работодатель не уведомил Роскомнадзор об обработке персональных данных или об их утечке.
3. Поставили размер штрафов за утечку сведений в зависимость от объема утечки.
4. Ввели оборотные штрафы за утечку персональных данных.
5. Выделили штрафы за утечку специальных и биометрических данных.

Пример наказания за нарушения

Теперь за нарушение правил обработки персональных данных общей категории можно получить штраф до 500 млн рублей. За нарушение правил обработки специальной категории персональных данных для физических лиц предусмотрели наказание в форме лишения свободы на срок до пяти лет.

Уголовная ответственность с 11 декабря 2024 года грозит руководителям и за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, доступ к которой получили незаконным путем, Закон от 30.11.2024 № 421-ФЗ, ст. 272.1 УК. Наказание — штраф от 300 000 до 400 000 рублей или принудительные работы на срок до четырех лет, либо лишение свободы на срок до четырех лет.

Если компьютерная информация содержала специальные или биометрические персональные данные, наказание строже — штраф до 700 000 рублей или принудительные работы на срок до пяти лет, либо лишение свободы на срок до пяти лет. Если нарушение повлекло тяжкие последствия либо его совершила организованная группа, нарушителей могут лишить свободы на срок до 10 лет со штрафом до 3 млн рублей.

Чтобы обезопасить свой бизнес от штрафов за нарушение требований законодательства по защите персональных данных, передайте этот участок на аутсорсинг в Главбух Ассистент. Наши эксперты определят и возьмут под контроль все бизнес-процессы, в которых используются персональные данные, разработают регламенты в сфере обработки и защиты персональных данных. Кроме того, посоветуют, как разграничить права доступа к персональным данным и как организовать защиту корпоративных сетей от внешних воздействий. Посмотрите, какие у нас есть тарифы обслуживания и сразу оставьте заявку, чтобы получить индивидуальное коммерческое предложение для вашего бизнеса.

Ответы на вопрос о новых миллионных штрафах с мая 2025 года 

Как проверяющие органы будут устанавливать факт невыполнения оператором обязанности по уведомлению о намерении осуществлять обработку персональных данных?

Для составов, установленных ст. 13.11 КоАП, вид административного наказания, в том числе и размер штрафа, определяет суд.

Увеличивается штраф по ч. 1 ст. 13.11 КоАП за обработку персональных данных, несовместимую с целями сбора, обработку персональных данных в случаях, не предусмотренных законом. Какие будут штрафы, если произошла утечка данных нескольких лиц?

Чтобы подтвердить событие и состав указанного правонарушения, необходимо установить несколько фактов:
— подтверждение сбора и обработки оператором данных, относящихся к персональным;
— отсутствие зарегистрированного в Роскомнадзоре уведомления о намерении обрабатывать персональные данные.

Подробнее

Факт обработки персональных данных оператором может быть установлен как в ходе контрольного мероприятия, включая визуальный осмотр его сайта, так и на основе поступающих в Роскомнадзор материалов от уполномоченных органов.
Направить уведомление о намерении обрабатывать персональные данные можно в электронном виде с помощью портала персональных данных.

За какие действия (бездействия) будут штрафовать операторов по ч. 11 — 18 ст. 13.11. КоАП?

Правонарушение, предусмотренное частью 11 ст. 13.11 КоАП, предполагает, что оператор, зная о факте раскрытия персональных данных, не уведомил об этом Роскомнадзор.
Уведомление об инциденте можно отправить в электронном виде с помощью портала персональных данных.

Подробнее

Ответственность по частям 12–18 ст. 13.11 КоАП наступает, когда подтвержден факт утечки персональных данных, который был установлен по результатам изучения фактических обстоятельств и содержания информационных ресурсов оператора. Например, в ходе контрольной проверки, проведенной Роскомнадзором.

Как не получить штраф за незаконную обработку персональных данных

За обработку персональных данных без согласия работника либо с незаконными целями, руководителю компании грозит штраф от 50 000 до 100 000 рублей, компаниям — от 150 000 до 300 000 рублей. За повторное нарушение штрафы в два раза выше. Максимальный штраф — 500 000 рублей. Новые штрафы за неправильную обработку персональных данных смотрите в таблице 1.

Всегда получайте письменное согласие сотрудника, кандидата на работу и уволенных сотрудников на обработку их персональных данных. С кандидатов на работу и сотрудников берите специальные письменные согласия на обработку или распространение сведений. Согласие других граждан оформляйте также письменно, например, в специальных формах на сайте компании.

Закрепите в Положении о работе с персональными данными все сведения, которые получаете у сотрудников. Периодически пересматривайте и обновляйте перечень, чтобы не требовать больше, чем нужно по мнению РКН.

Примеры нарушений

Нельзя собирать и хранить сведения о состоянии здоровья сотрудников, о наличии судимости, о семейном положении. Эти данные можно собирать и хранить, только если в законе есть прямое предписание для этого. Так, если компания по закону не может принять на работу человека с судимостью, справка об ее отсутствии будет обязательным документом при приеме.

Обрабатывать персональные данные работника без его согласия, работодатель может только для того, чтобы выполнить обязанности, которые возложены на него в силу закона.

Примеры

Без согласия сотрудника работодатель:
— направляет отчеты по сотрудникам и зарплате в Соцфонд, службу занятости и другие госорганы;
— сдает налоговую отчетность;
— выполняет обязанности по воинскому учету;
— хранит документы по личному составу в соответствии с законодательством об архивном деле.

Содержание и объем персональных сведений должны всегда соответствовать целям обработки, п. 5 ст. 5 Закона № 152-ФЗ. В отделе кадров цели обработки — это соблюдение трудового и налогового законодательства, обеспечение пропускного режима и учета рабочего времени и т. п. Все цели нужно указать в локальном акте и строго им следовать. Если объем информации, который вы храните в отделе кадров, выйдет за рамки указанных целей, Роскомнадзор посчитает, что вы собираете лишние сведения о сотрудниках.

Следите за тем, чтобы в процессе работы с персональными данными не подменять цели их обработки. Каждый раз для каждой новой цели берите новое письменное согласие сотрудника.

Пример нарушения

Вы не можете получить данные для одной цели, например, диплом о высшем образовании для трудоустройства на квалифицированную работу. И использовать эти же сведения потом для другой цели. Например, нельзя без другого письменного согласия опубликовать сведения об образовании сотрудника на сайте компании.

Согласие на обработку персональных данных работник может дать в любой форме. Главное, чтобы вы могли подтвердить, что получили его. Если возникнет спор, доказать получение согласия должен работодатель. Поэтому согласие нужно оформить письменно. В системе электронного документооборота — в электронной форме, подписанное электронной подписью. Проверьте, как работники в вашей компании дают доступ к персональным данным.

Как не получить новые штрафы за отсутствие уведомлений

Появилась ответственность за неуведомление Роскомнадзора о намерении обрабатывать персданные. Раньше работодатель мог получить штраф только тогда, когда Роскомнадзор фиксировал, что компания обрабатывает данные без уведомления. С 30 мая работодатели, которые не уведомили Роскомнадзор о начале обработки персональных данных, получат штраф от 100 000 до 300 000 рублей.

Если еще не регистрировали компанию как оператора персональных данных, заполните унифицированную форму уведомления о начале обработки персональных данных и направьте его в Роскомнадзор, приказ Роскомнадзора от 28.10.2022 № 180. Сделать это можно на сайте Роскомнадзора. Подать уведомление можно на бумаге или через интернет. Удобный способ выбирайте сами.

Если нет времени разбираться в законодательстве и в оформлении документов на обработку персональных данных, передайте эту работу на аутсорсинг в Главбух Ассистент. Эксперты подготовят для вашей компании политику оператора по обработке персональных данных, другие положения, необходимые приказы, бланки согласий, так чтобы не было претензий от Роскомнадзора. Стоимость обслуживания в Главбух Ассистент — от 27 480 рублей. За эти деньги вы получите не только персональные решения по сбору, обработке и хранению персональных данных, но и полноценное ведение бухгалтерского, кадрового учета и налогов. Оставьте заявку и мы расскажем, что конкретно входит в каждый пакет услуг.

Как выбрать способ подачи уведомления в РКН

Если решили подать уведомление на бумаге, достаточно зарегистрироваться на сайте РКН, заполнить уведомление, распечатать и с подписью директора предоставить лично или по почте заказным письмом с уведомлением. Направить уведомление о начале обработки данных нужно в территориальный орган Роскомнадзора в двух экземплярах. Один экземпляр представитель Роскомнадзора возьмет себе, на другом поставит отметку о получении. На подачу бумажного уведомления потребуется время.

Через интернет будет быстрее, но понадобится специальная программа или подтвержденная учетная запись на портале Госуслуг. Скачать программу можете на официальном сайте Роскомнадзора. Такой способ подойдет, если у компании или ее представителя есть усиленная квалифицированная электронная подпись.

Подать уведомление о намерении начать обработку персональных данных должно ответственное лицо компании. Таким сотрудником руководитель может назначить специалиста отдела кадров.

Роскомнадзор внесет информацию в Реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Для бумажного уведомления срок начинает течь с момента, когда его получит территориальное отделение РКН. Для электронного — сразу как отправили. Ждать, пока Роскомнадзор внесет сведения в Реестр, не нужно. Обрабатывать персональные данные можно сразу после отправки уведомления.

С 30 мая 2025 года работодатели, которые не уведомили Роскомнадзор об утечке данных работников, заплатят до 3 млн рублей. Уведомляйте РКН о признаках или наступивших утечках персональных данных.

В случае утечки уведомите Роскомнадзор: на бумаге или электронно. Советуем второй вариант. Не придется придумывать форму и тратить время на отправку по почте. В уведомлении нужно описать известную информацию об инциденте: какие и чьи данные утекли, из каких информационных систем. Необходимо указать предполагаемые причины инцидента и вред, меры, которые приняли, чтобы устранить последствия. Понадобятся еще Ф. И. О., e-mail, адрес и номер телефона контактного лица, которое будет в дальнейшем взаимодействовать с РКН по поводу утечки, п. 2 Порядка, утв. приказом Роскомнадзора от 14.11.2022 № 187.

Инициировать внутреннее расследование — второй шаг в первые 24 часа. На само расследование у компании будет трое суток. Обычно создают рабочую группу, в которую включают специалистов безопасности, юриста, кадровика и IT-специалистов. При необходимости можно привлечь сотрудников из иных подразделений, например, тех, кто непосредственно использует утекшие данные в своей работе. Результат их работы нужно зафиксировать в акте.

Разработайте регламент, как действовать при утечке персональных данных, чтобы не потерять время на организацию расследования и вовремя уведомить Роскомнадзор. Документ продемонстрирует контролерам, что компания приняла все необходимые меры после утечки. В регламенте распределите ответственность между подразделениями. Укажите, кто должен следить за этой работой и обнаружить такой инцидент. Кто будет устранять его последствия и собирать информацию для того, чтобы уведомить Роскомнадзор.

Как не получить новый штраф за утечку персональных данных

Работодатели будут платить штрафы в зависимости от объема утекшей информации. Чем больше лиц, чьи персональные данные не сохранили, тем выше сумма штрафа. Кроме того, вводят так называемые оборотные штрафы — до 3% выручки компании, виноватой в утечке. Этот штраф могут назначить за повторные грубые нарушения. Новые штрафы мы выделили в таблице.

Принимайте меры для защиты персональных данных. Меры безопасности зависят от способа обработки. Если компания ведет автоматизированную обработку, на нее распространяются требования, утвержденные постановлением Правительства от 01.11.2012 № 1119, и приказ ФСТЭК от 18.02.2013 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры, ст. 19 Закона № 152-ФЗ и п. 13–15 Положения, утв. постановлением Правительства от 15.09.08 № 687. Одна из них — определить во внутренних документах перечень лиц, которые обрабатывают данные или имеют к ним доступ. Еще одна мера — раздельно хранить носители данных, которые обрабатываются в разных целях. Например, персональные данные работников и клиентов. Организуйте места для хранения данных, утвердите перечень лиц, которые обрабатывают данные или имеют к ним доступ.

Объясните, что необходимо оборудовать помещение, где храните документы, несгораемыми шкафами с замками, если в компании нет таких мер предосторожности. Доступ в помещения необходимо ограничить, желательно установить камеры видеонаблюдения. Обязательный момент — информационная защита. Компания должна исключить возможность утечки персональных данных, которые хранятся под ее контролем в электронном виде.

Доступ к персональным данным сотрудников должны иметь только уполномоченные на это лица. При этом доступ они должны получить только к тем персональным данным, которые необходимы им для выполнения конкретных функций.

До 30 мая 2025 года размер ответственности за утечку общих, специальных и биометрических данных не отличался. С этой даты начнут действовать отдельные штрафы за утечку данных этих категорий.

При работе с биометрическими и специальными персональными данными нужно соблюдать особый режим.

Пример использования биометрических персональных данных

Предоставлять биометрические данные сотрудник обязан только в исключительных случаях, предусмотренных законами, например, о противодействии терроризму, о гражданстве, ч. 2 ст. 11 Закона № 152-ФЗ. В иных ситуациях вы можете запросить у сотрудника такие данные, но, если получите отказ, вы не вправе обрабатывать их и не должны из-за этого ограничивать права сотрудника, ч. 3 ст. 11 Закона № 152-ФЗ.

Закон запрещает обработку специальных категорий персональных данных, ст. 86 ТК. Но из этого правила есть исключения.

Пример использования специальных категорий персональных данных

Компания вправе обрабатывать без согласия сотрудника персональные данные, если получила их по результатам обязательного медосмотра, ст. 69 ТК.

Собирать информацию о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни без письменного согласия работника в общем случае нельзя.

Абонентский номер и e-mail могут быть персональными данными в том случае, когда такая информация к прямо или косвенно относится к гражданину и по ней можно точно его идентифицировать. Например, абонентский номер, принадлежащий компании, не может быть персональными данными, письмо Минкомсвязи от 07.07.2017 № П11-15054-ОГ. Верховный суд считает, что e-mail сам по себе не относится к персональным данным, определение от 21.07.2023 по делу № А40-139096/2022. Примеры по категориям персональных данных смотрите в таблице 3.

Форму согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных утвердило Правительство, распоряжение от 30.06.2018 № 1322-р. Сотрудник может подписать такое согласие усиленной неквалифицированной электронной подписью.

Учтите, что из-за отказа дать согласие на получение и обработку персональных данных вы не можете отказать в заключении трудового договора или применить какие-либо санкции к сотруднику, ч. 1 ст. 9 Закона № 152-ФЗ. Но вы должны разъяснить ему последствия такого отказа, ч. 2 ст. 18 Закона № 152-ФЗ.

Чтобы избежать утечки данных нужна помощь IT-специалистов. Отел IT должен составить список средств защиты информации, проверить наличие у них сертификации и лицензий. Собрать пакет документов, которые докажут, что компания принимает все разумные меры для обеспечения информационной безопасности в части защиты персональных данных.

Как снизить размер штрафа за утечку персональных данных

В случае первой утечки персональных данных работодатель вправе попросить: освободить от ответственности при малозначительности, заменить штраф на предупреждение, если нет ущерба, снизить размер штрафа не более чем до половины изначального размера с учетом характера нарушения, смягчающих обстоятельств, отсутствия отягчающих, а также в исключительных случаях имущественного положения компании.

При повторной утечке КоАП предусматривает специальные условия, при одновременном выполнении которых работодатель вправе рассчитывать на снижение штрафа до 1/10 первоначального размера. Для этого компании понадобится:— доказать, что инвестировала не менее 0,1 процента годовой выручки в информационную безопасность в течение трех лет до утечки — такие мероприятия можно проводить с привлечением обладателя лицензии ФСТЭК на ТЗКИ или ФСБ на СКЗИ либо самостоятельно при наличии у оператора лицензии;
— документально подтвердить соблюдение требований к защите данных в системах, проведенное не ранее чем за год до утечки;
— показать, что нет отягчающих обстоятельств — продолжения нарушения обязанностей работодателя при повторной утечке, несмотря на требование устранить его и отсутствие в прошлом наказаний за нарушение законодательства о персональных данных.