Информационное письмо
Какие риски операторов персональных данных еще можно успеть устранить до 30 мая 2025 г.
Как мы рассказывали в нашем информационном письме, с 30 мая 2025 г. начнут действовать множественные новые административные штрафы и составы административных правонарушений, связанные с утечками персональных данных («ПДн»), а также иными нарушениями в сфере обработки ПДн.
В связи с тем, что до 30 мая 2025 г. остался всего 1 месяц, настоящим письмом обращаем Ваше внимание на требования законодательства о ПДн, невыполнение которых в срок до 30 мая 2025 г. будет наиболее очевидным для Роскомнадзора и может наиболее вероятно привести к штрафным санкциям с его стороны.
Выполнение комплекса требований законодательства с целью снижения риска получения штрафа за утечку ПДн
Вопросы митигации и устранения рисков наиболее крупных штрафов за утечки ПДн — это вопросы, требующие времени, разработки и принятия ряда внутренних положений и инструкций, обучения персонала, надлежащей организации процессов, а также постоянного мониторинга соблюдения применимых требований.
Если работа по данным направлениям Вами не велась или велась недостаточно, то завершить ее в течение 1 месяца не представляется возможным.
Таким операторам в настоящий момент рекомендуется начать приводить свои процессы по обратке ПДн в соответствие с требованиями несмотря на то, что данный проект очевидно продлится дольше 30 мая 2025 г.
Выполнение требования об уведомлении Роскомнадзора
С 30 мая 2025 г. в КоАП РФ начнут действовать новые штрафы за:
несвоевременное уведомление Роскомнадзора об обработке персональных данных или за отсутствие такого уведомления: для граждан — до 10 тыс. рублей, для госслужащих — до 50 тыс. рублей, а для компаний — до 300 тыс. рублей;
неуведомление или несвоевременное уведомление о неправомерной или случайной утечке ПДн, штраф до 100 тыс. рублей для физлиц, до 800 тыс. рублей для должностных лиц и до 3 млн рублей — для компаний.
Согласно существующей судебной практике неуведомление Роскомнадзора может быть признано длящимся административным правонарушением
Рекомендации в связи необходимостью подачи уведомления
В отношении утечек ПДн
В случае, если ранее Вами не подавались уведомления в отношении утечек ПДн, о которых Вам известно на текущий момент, мы рекомендуем подать такие уведомления в срок до 29 мая 2025 г. включительно.
В отношении регистрации в реестре операторов ПДн
Мы видим два возможных сценария, в случае если вы еще не подавали уведомление об обработке ПДн в Роскомнадзор с целью регистрации в реестре операторов ПДн:
Если у вас уже настроен комплаенс процессов обработки ПДн, был проведен аудит, в компании назначен DPO и приняты необходимые локально-нормативные акты, процессы обработки ПДн на сайте соответствуют требованиям и на нем размешена актуальная политика конфиденциальности, получены все необходимые согласия на обработку ПДн, ****мы рекомендуем заполнить форму и оперативно направить уведомление о включении в реестр операторов Роскомнадзора не позднее 29 мая 2025 г.****
В ситуации, если вы не проводили оценку процессов обработки ПДн и у вас отсутствуют разработанные базовые документы, регламентирующие обработку ПДн в компании, мы рекомендуем провести экспресс-анализ действующих процессов, а затем ****разработать (актуализировать, где применимо) и принять базовый минимальный набор организационно-распорядительной документации, а именно Положение об обработке ПДн, Политику конфиденциальности для сайта, документы о назначении DPO (лица, ответственного за организацию обработки ПДн), а также получить согласия субъектов ПДн (при необходимости)****. После принятия данных обязательных мер мы аналогично рекомендуем подать уведомление в Роскомнадзор не позднее 29 мая 2025 г., затем завершить разработку всей обязательной документации, запрашиваемой Роскомнадзором при проверках и профилактических визитах.
При необходимости мы будем рады помочь Вам с оперативным выполнением требований законодательства, как указано выше.
Надеемся, предоставленная информация окажется для Вас полезной.
