Текущий 2025 год богат на изменения в сфере регулирования персональных данных. Часть изменений уже вступила в силу 30 мая и 1 июля. Часть нас ждет 1 сентября. Публикаций на тему «что надо успеть сделать до…» сейчас масса, но что на самом деле для бизнеса несут эти изменения.
Главное: цена ошибки резко выросла.
Те изменения, что уже вступили в силу, не меняют само предметное законодательство. Это изменения КоАПа и коснулись они штрафов. Т.е., правила игры не менялись, но цена ошибки стала выше. Самый яркий пример тут – уведомление Роскомнадзора о начале обработки персональных данных. Сделать это каждая компания обязана до начала реальной обработки, причем эта обязанность существует с 2006 года – как был принят Федеральный закон от 27.07.2006 № 512-ФЗ «О персональных данных» (далее – Закон №152-ФЗ).
Просто штраф за отсутствие такого уведомления был неприлично маленький – до 5000 рублей на юридическое лицо, никто и не спешил его подавать. Теперь штраф стал до 300 000 рублей на компанию, что резко повышает привлекательность соблюдения требования.
Миф о регистрации: почему не стоит бояться Роскомнадзора.
Что для компании означает факт регистрации как оператора персональных данных? Многие считают, что раз зарегистрировался, то сразу получишь повышенное внимание от регулятора. Это не так. Для компании факт регистрации означает просто выполнение обязательства. РКН отлавливает нарушителей не через реестр операторов, а иначе.
Первый шаг: аудит вместо поспешной регистрации
Правда, прежде чем подать уведомление, необходимо принять ряд документов внутри компании, проверить сайт, разместить на нем Политику обработки персональных данных, разобраться с тем, какие именно процессы по обработке персональных данных существуют и т.д. Сложности с заполнением уведомления появляются тогда, когда в компании с процессами не разобрались. Это такой своеобразный маркер. Если вы не понимаете, что в уведомлении указать, то его надо пока отложить в сторону.
Практически всем, кто прорвался через «лежащий» сайт РКН до 30 мая и подал спешно уведомление, теперь надо выдохнуть, привести в порядок реальные документы и процессы и подать уже уведомление об изменениях. Потому что практика нашей компании показывает, что 98% уведомлений в реестре РКН поданы неправильно, а это может привести к штрафам на те же 300 000 рублей, но уже по другой статье.
Как находит нарушения Роскомнадзор: контроль без визитов
С 30 мая также увеличился до 300 000 рублей штраф по ч. 1 ст. 13.11 КоАП. По этой части проходят все самые распространенные нарушения обработки персональных данных: избыточные данные, «кривые» формы согласий, лишние согласия, нарушения в документах и процессах и т.д.
Что делает Роскомнадзор. Он ходит по сайтам компаний, а теперь, с увеличением штрафов, он будет это делать активнее. Это называется «проведение контрольных мероприятий без контакта с проверяемым лицом».
Последствия: от предписания до внеплановой проверки
Есть чек-лист, по которому сотрудники регулятора проверяют определенные ключевые моменты на сайте, в том числе наличие Политики и ее соответствие закону. А также проверяют, насколько поданное в реестр уведомление совпадает с Политикой и предполагаемыми процессами в компании. Мы в нашей компании проводим такие экспресс-аудиты для клиентов и статистика удручающая: 97% сайтов не проходит проверку. Например, в Политике отражены только процессы, связанные с сайтом, а это нарушение. При этом в уведомлении одна цель обработки – соблюдение трудового законодательства. А по ОКВЭДам у компании явно есть клиенты физические лица.
При наличии таких несовпадений проверяемая компания получает от РКН предписание привести все в соответствие. Если этого не сделать, то можно получить внеплановую проверку и уже по ее результатам – штрафы.
Новые штрафы приводят к тому, что выгоднее становится соблюдать требования, чем попадать на эти штрафы – и все равно потом соблюдать требования, потому что за повторное нарушение ценник существенно выше.
Новая реальность: ответственный — это больше не формальность
Должность ответственного за организацию обработки персональных данных перестает быть формальной. Любой компании, и правда, нужен человек, который разбирается в вопросе.
Это раньше можно было формально назначить кого-то, в уведомлении указать и забыть. Сейчас надо реально разбираться с процессами, понимать суть требований регулятора, отслеживать изменения, факты утечек.
Утечки данных: новый состав правонарушения
Штрафы за утечки персональных данных – это еще одно нововведение с 30 мая. Часто компании спрашивают, а как мы узнаем об утечке? Так процессы у вас должны быть таким образом настроены, что «уход данных налево» сразу становится очевиден. Конечно, в первую очередь, это вопрос к ИТ и ИБ компании, т.к. именно они отвечают за техническую сторону безопасности данных. Но организационные меры безопасности тоже никто не отменял.
Например, один из самых распространенных каналов влезть в базу компании – это не взлом системы, а заход через аккаунт сотрудника, действующего или бывшего. И становится это возможным, потому что все правила остаются только на бумаге: менять пароль, делать его сложным, нигде не записывать, не входить в аккаунт из общественных хот-спотов и т.д. Да и учетки уволившихся сотрудников зачастую никто не удаляет.
Так что, основное изменение для бизнеса – это перестать относиться формально к вопросам безопасности персональных данных и начать реальную работу. Не просто заказать разработку пакета документов, а разобраться в процессах именно в данной компании. Зачастую пересмотреть их.
«Закон о приземлении»: серьезные штрафы с 1 июля
Разобраться в процессах придется, если не хотите получить штрафы уже до 6 млн рублей. Именно столько компания может заплатить за нарушение «закона о приземлении». Так в народе называют п. 5 ст. 18 Закона 152-ФЗ. У этого пункта довольно сложная формулировка, а с 1 июля она стала еще сложнее.
Если переводить с юридического на русский, то в момент сбора персональных данных граждан РФ все манипуляции с этими данными должны происходить на сервере, физически находящемся на территории РФ. Нельзя забивать данные о клиентах в CRM, сервер которой находится в Германии. Нельзя выложить на сайте сбор данных через Google форму. Она будет на сервере компании Google, а там может быть и США, и Европа, и Южная Америка. Нельзя собирать данные клиентов через WhatsApp или Телеграм. Это зарубежные мессенджеры.
Ужесточение формулировки «закона о приземлении», то самое изменение, которое работает с 1 июля, пока выглядит серьезной опасностью. В новой версии пункт статьи будет выглядеть так, что и не в момент сбора передача за рубеж данных российских граждан будет под вопросом. Роскомнадзор, правда, всех успокаивает, что никто трансграничную передачу не запрещает, но рисковать не стоит. Штраф большой.
Практический совет: начинать с аудита и чистить сайт
Есть смысл минимизировать использование всех зарубежных ресурсов. Как правило, все они используют зарубежные сервера. Но зачастую компания даже не подозревают, что что-то подобное применяется. Между тем, проверить на сайте наличие или отсутствие продуктов Google это очень простое дело. Школьник-гуманитарий справится.
Часто компании-клиенты говорят нам, что на сайте у них только Яндекс.Метрика, но при экспресс-аудите я нахожу сразу несколько продуктов Google, далеко не только аналитику. Там и карты, и формы и еще масса других программ, которые когда-то поставили, да и забыли.
Так что, да, начинать надо с аудита процессов, программ, документов. Бизнесу любого уровня. Нет исключений. Более того, по ст. 13.11 КоАП, основной статье, по которой штрафуют за нарушения по персональным данным, зачастую нет отдельных штрафов для ИП. В таких случаях им придется отвечать, как юридическому лицу, а вовсе не как гражданам.
Что ждет в будущем: обезличивание данных и возможные запреты
Впереди у нас еще пакет изменений с 1 сентября. Там будут новации в части обезличивания данных. Это отдельная большая тема, и пока непонятно, как будет функционировать предложенная в документах система.
Какие еще изменения для нас приготовил регулятор пока неизвестно. Много разговоров об отмене согласий как основания для обработки, о запрете на обработку для широкого круга компаний – ее будут делать только специальные центры. Все эти жесткие меры, как и уже введенные штрафы, — это результат серьезных нарушений в сфере персональных данных, которые есть сейчас. РКН не скрывает, что только «закручиванием гаек» может заставить соблюдать требования закона.
Чем больше компаний сейчас начнут соблюдать правила игры, тем меньше шансов, что ужесточения продолжатся. И тем проще, как ни странно, будет бизнесу.
