Какие риски операторов персональных данных еще можно успеть устранить до 30 мая 2025 г.
Вернуться к меню

Какие риски операторов персональных данных еще можно успеть устранить до 30 мая 2025 г.

30 апреля 2025

Как мы рассказывали в нашем информационном письме, с 30 мая 2025 г. начнут действовать множественные новые административные штрафы и составы административных правонарушений, связанные с утечками персональных данных («ПДн»), а также иными нарушениями в сфере обработки ПДн.

В связи с тем, что до 30 мая 2025 г. остался всего 1 месяц, настоящим письмом обращаем Ваше внимание на требования законодательства о ПДн, невыполнение которых в срок до 30 мая 2025 г. будет наиболее очевидным для Роскомнадзора и может наиболее вероятно привести к штрафным санкциям с его стороны.

Выполнение комплекса требований законодательства с целью снижения риска получения штрафа за утечку ПДн

Вопросы митигации и устранения рисков наиболее крупных штрафов за утечки ПДн — это вопросы, требующие времени, разработки и принятия ряда внутренних положений и инструкций, обучения персонала, надлежащей организации процессов, а также постоянного мониторинга соблюдения применимых требований.

Если работа по данным направлениям Вами не велась или велась недостаточно, то завершить ее в течение 1 месяца не представляется возможным.

Таким операторам в настоящий момент рекомендуется начать приводить свои процессы по обратке ПДн в соответствие с требованиями несмотря на то, что данный проект очевидно продлится дольше 30 мая 2025 г.

Выполнение требования об уведомлении Роскомнадзора

С 30 мая 2025 г. в КоАП РФ начнут действовать новые штрафы за:

  • несвоевременное уведомление Роскомнадзора об обработке персональных данных или за отсутствие такого уведомления: для граждан — до 10 тыс. рублей, для госслужащих — до 50 тыс. рублей, а для компаний — до 300 тыс. рублей;

  • неуведомление или несвоевременное уведомление о неправомерной или случайной утечке ПДн, штраф до 100 тыс. рублей для физлиц, до 800 тыс. рублей для должностных лиц и до 3 млн рублей — для компаний.

Согласно существующей судебной практике неуведомление Роскомнадзора может быть признано длящимся административным правонарушением1. Также представители Роскомнадзора в своих заявлениях придерживаются позиции, что операторы могут быть оштрафованы по новым правилам за нарушения, допущенные до 30 мая 2025 г2. В этой связи нельзя исключить риски, что компании, не уведомившие Роскомнадзор об осуществляемой обработке персональных данных, а также о произошедших утечках до 30 мая 2025 г., могут быть оштрафованы за эти нарушения после по новым правилам.

Рекомендации в связи необходимостью подачи уведомления
В отношении утечек ПДн

В случае, если ранее Вами не подавались уведомления в отношении утечек ПДн, о которых Вам известно на текущий момент, мы рекомендуем подать такие уведомления в срок до 29 мая 2025 г. включительно.

В отношении регистрации в реестре операторов ПДн

Мы видим два возможных сценария, в случае если вы еще не подавали уведомление об обработке ПДн в Роскомнадзор с целью регистрации в реестре операторов ПДн:

  • Если у вас уже настроен комплаенс процессов обработки ПДн, был проведен аудит, в компании назначен DPO и приняты необходимые локально-нормативные акты, процессы обработки ПДн на сайте соответствуют требованиям и на нем размешена актуальная политика конфиденциальности, получены все необходимые согласия на обработку ПДн, ****мы рекомендуем заполнить форму и оперативно направить уведомление о включении в реестр операторов Роскомнадзора не позднее 29 мая 2025 г.****

  • В ситуации, если вы не проводили оценку процессов обработки ПДн и у вас отсутствуют разработанные базовые документы, регламентирующие обработку ПДн в компании, мы рекомендуем провести экспресс-анализ действующих процессов, а затем ****разработать (актуализировать, где применимо) и принять базовый минимальный набор организационно-распорядительной документации, а именно Положение об обработке ПДн, Политику конфиденциальности для сайта, документы о назначении DPO (лица, ответственного за организацию обработки ПДн), а также получить согласия субъектов ПДн (при необходимости)****. После принятия данных обязательных мер мы аналогично рекомендуем подать уведомление в Роскомнадзор не позднее 29 мая 2025 г., затем завершить разработку всей обязательной документации, запрашиваемой Роскомнадзором при проверках и профилактических визитах.

При необходимости мы будем рады помочь Вам с оперативным выполнением требований законодательства, как указано выше.

Решение Савеловского районного суда г. Москвы от 23.11.2023 по делу № 12-4119/23 https://tass.ru/obschestvo/23745351

Скачать текст в виде PDF документа

Надеемся, предоставленная информация окажется для Вас полезной.

Если кто-то из Ваших коллег также хотел бы получать наши информационные письма, пожалуйста, направьте ему ссылку на электронную форму подписки.
Узнать больше об услугах практик:
Защита данных и кибербезопасность


Примечание: обращаем Ваше внимание на то, что вся информация была основана на нашем анализе данных из открытых источников, а также на нашем понимании предусмотренных законодательных норм и практики правоприменения. Авторы данного письма, равно как и юридическая фирма АЛРУД, не несут ответственности за последствия, возникшие в результате принятия решений на основе этой информации.

В случае возникновения вопросов, пожалуйста, свяжитесь с нами.

Мария Осташенко
Партнер
Анастасия Петрова
Советник

С уважением,
Юридическая фирма АЛРУД

ул. Лесная, д. 7, этаж 12, Москва, Россия, 125196
Т: +7 495 234 96 92, Т: +7 495 926 16 48, info@alrud.com
www.alrud.ru
Ваше сообщение
успешно отправлено!
Продолжить работу
Вы успешно подписались.
Продолжить работу
Для улучшения работы сайта, а также и в некоторых иных целях, описанных в Политике конфиденциальности, мы используем файлы cookies. Проставляя отметку, Вы соглашаетесь на использование файлов cookies. В противном случае мы будем использовать только технические файлы cookies, которые необходимы для правильного функционирования сайта.
Принять