С 30 мая 2025 года владельцы сайтов, Telegram-ботов и CRM-систем, осуществляющие сбор и обработку персональных данных пользователей, могут столкнуться с административной ответственностью в виде штрафов. Размер штрафов варьируется от 100 тысяч до 700 тысяч рублей в зависимости от характера и степени нарушения законодательства о персональных данных.
Данная норма распространяется на широкий круг субъектов, включая не только юридические лица, но и индивидуальных предпринимателей (ИП), самозанятых и физических лиц, осуществляющих деятельность, связанную с обработкой персональных данных.
Эксперты подчеркивают, что даже минимальные формы, содержащие поля для ввода имени или номера телефона, могут квалифицироваться как операторы персональных данных, что влечет за собой необходимость соблюдения соответствующих нормативных требований.
Согласно законодательству, обязанность по соблюдению правил обработки персональных данных возникает автоматически при осуществлении соответствующих операций, независимо от масштаба бизнеса или специфики функционирования информационных систем.
В своем Telegram-канале разработчик Telegram-ботов Андрей Бутенко обратил внимание на распространенное заблуждение среди предпринимателей относительно эффективности стандартных шаблонов политики конфиденциальности, заимствованных из открытых источников. Он указал, что такие шаблоны не могут обеспечить надлежащую защиту от претензий контролирующих органов.
При проведении проверок может быть установлено, что политика конфиденциальности не соответствует реальным процессам обработки данных или вовсе отсутствует. В таких случаях могут быть применены штрафные санкции.
За три наиболее распространенных нарушения предусмотрены следующие меры ответственности:
-
Отсутствие уведомления Роскомнадзора о начале обработки персональных данных может повлечь штраф в размере от 100 до 300 тысяч рублей.
-
Размещение форм для сбора данных без предварительного получения согласия пользователей может повлечь штраф от 300 до 700 тысяч рублей.
-
Отсутствие документа, регламентирующего политику обработки персональных данных, может повлечь штраф в размере от 30 до 60 тысяч рублей.
Кроме того, к серьезным нарушениям относятся хранение информации на иностранных серверах без соответствующих разрешений, использование cookie-файлов без согласия пользователей и отсутствие внутреннего регламента по реагированию на инциденты утечки данных. В случае несанкционированного разглашения данных штраф может достигать 15 миллионов рублей.
Разработчики и консультанты отмечают, что наиболее часто встречающимися ошибками являются использование стандартных шаблонов без учета специфики деятельности, сбор избыточных данных, размещение серверов за пределами Российской Федерации, игнорирование требований по уведомлению пользователей о использовании cookie и недостаточное внимание к требованиям Роскомнадзора.
Юристы подчеркивают, что отсутствие официального сайта не освобождает от обязанности соблюдения законодательства о персональных данных. Например, компании, осуществляющие кадровый учет или сбор данных контрагентов, уже рассматриваются как операторы персональных данных и обязаны соблюдать соответствующие нормы.
Для предотвращения штрафов и минимизации рисков рекомендуется предпринять следующие меры:
-
Направить уведомление в Роскомнадзор о начале обработки персональных данных до 30 мая 2025 года.
-
Обновить политику конфиденциальности с учетом текущих процессов и требований законодательства.
-
Обеспечить получение согласия пользователей на сбор и обработку персональных данных.
-
Перенести серверы на территорию Российской Федерации или получить разрешение на передачу данных за границу.
-
Исключить избыточные поля из форм для ввода данных.
-
Разработать и внедрить внутренний регламент по реагированию на инциденты утечки данных.
-
Внедрить технические и организационные меры защиты персональных данных.
Следует отметить, что до вступления новых требований в силу остается менее двух недель, что требует от всех субъектов, работающих с персональными данными, оперативного реагирования и приведения своей деятельности в соответствие с законодательством.
Представители рынка предупреждают, что практически все компании и индивидуальные предприниматели, осуществляющие сбор и обработку личной информации клиентов, находятся в зоне риска. Нарушение требований законодательства может привести не только к значительным финансовым потерям, но и к временной блокировке информационных ресурсов.