Документ
Федеральный закон от 30.11.2024 № 420-ФЗ
Комментарий
С 30 мая 2025 года существенно увеличатся штрафы за нарушения при обработке персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ, далее – Закон № 420-Ф3). Кроме того, Законом № 420-ФЗ введены новые составы нарушений и ответственность за них. В отдельные составы выделены нарушения, касающиеся массовой утечки персональных данных.
В связи с изменениями в законодательстве у операторов персональных данных возникает вопрос о необходимости подачи в Роскомнадзор до 30 мая 2025 года уведомления о намерении обрабатывать персональные данные.
В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) операторами являются организации и физические лица (в т. ч. ИП), которые самостоятельно или совместно с другими лицами обрабатывают персональные данные физических лиц (работников, клиентов и др.). Если организация или ИП обрабатывает персональные данные физлиц, они должны быть включены в реестр операторов персональных данных. Для этого необходимо представить соответствующее уведомление в Роскомнадзор (ч. 1 ст. 22 Закона № 152-ФЗ). Направить уведомление необходимо до начала обработки персональных данных.
Отметим, что в Законе № 152-ФЗ нет точных сроков, в течение которых оператор должен направить в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Единственное требование в законе – уведомление должно быть подано до начала обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Таким образом, обработка персональных данных без уведомления Роскомнадзора – это уже нарушение законодательства о персональных данных. Срок давности привлечения к ответственности за него исчисляется с даты обнаружения, т. е. с даты, когда Роскомнадзор выяснил, что персональные данные обрабатываются, а уведомление не подавалось.
Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Роскомнадзора от 28.10.2022 № 180. Ранее применялась форма уведомления, приведенная в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94.
При этом ч. 2 ст. 22 Закона № 152-ФЗ предусматривает ряд случаев, когда уведомлять Роскомнадзор необязательно. С 1 сентября 2022 года из ч. 2 ст. 22 Закона № 152-ФЗ исключили нормы, которые позволяли работодателям обрабатывать персональные данные без уведомления Роскомнадзора, если сведения о работнике были получены в рамках трудового законодательства.
Также были исключены случаи обработки персональных данных:
Следовательно, на работодателей (организации и ИП) и других операторов только с 1 сентября 2022 года была возложена обязанность по уведомлению Роскомнадзора о намерении обрабатывать персональные данные работников и других физлиц. Для тех категорий операторов, у которых обязанность обрабатывать персональные данные появилась только с 1 сентября 2022 года, Закон № 152-ФЗ не установил переходных положений. Поэтому считаем целесообразным подать такое уведомление после 1 сентября 2022 года, если оно ранее не подавалось. Поскольку сроки представления уведомления не установлены, его можно подать в Роскомнадзор сейчас.
При этом операторы персональных данных, которые не являются работодателями, были обязаны направить уведомление в Роскомнадзор еще раньше, то есть до вступления в силу упомянутых выше изменений, внесенных в Закон № 152-ФЗ, то есть до 1 сентября 2022 года. Если операторы обрабатывают персональные данные без уведомления Роскомнадзора, они нарушают законодательство. В такой ситуации есть риск привлечения операторов к ответственности за неуведомление Роскомнадзора по ст. 19.7 КоАП РФ (если нарушение обнаружено до 30 мая 2025 года) или по ч. 10 ст. 13.11 КоАП РФ (если нарушение обнаружено после 30 мая 2025 года).
Если операторы подадут уведомление в Роскомнадзор сейчас, то, полагаем, ведомство также признает это нарушением, а именно несвоевременной подачей уведомления о намерении обрабатывать персональные данные, что повлечет ответственность по ст. 19.7 КоАП РФ.
Напомним, что с 30 мая 2025 года размеры штрафов за нарушения будут повышены. За невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных установлен штраф (ч. 10 ст. 13.11 КоАП РФ):
Ранее в КоАП РФ не было отдельного состава нарушения, связанного с неисполнением обязанности по уведомлению Роскомнадзора о намерении обрабатывать персональные данные. Поэтому до 30 мая 2025 года применяются нормы ст. 19.7 КоАП РФ, которая устанавливает ответственность за непредставление или несвоевременное представление сведений (информации) в орган государственного контроля (надзора).
Ответственность по этой статье существенно меньше, а штрафы ниже:
Федеральный закон от 30.11.2024 № 420-ФЗ
Комментарий
С 30 мая 2025 года существенно увеличатся штрафы за нарушения при обработке персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ, далее – Закон № 420-Ф3). Кроме того, Законом № 420-ФЗ введены новые составы нарушений и ответственность за них. В отдельные составы выделены нарушения, касающиеся массовой утечки персональных данных.
В связи с изменениями в законодательстве у операторов персональных данных возникает вопрос о необходимости подачи в Роскомнадзор до 30 мая 2025 года уведомления о намерении обрабатывать персональные данные.
В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) операторами являются организации и физические лица (в т. ч. ИП), которые самостоятельно или совместно с другими лицами обрабатывают персональные данные физических лиц (работников, клиентов и др.). Если организация или ИП обрабатывает персональные данные физлиц, они должны быть включены в реестр операторов персональных данных. Для этого необходимо представить соответствующее уведомление в Роскомнадзор (ч. 1 ст. 22 Закона № 152-ФЗ). Направить уведомление необходимо до начала обработки персональных данных.
Отметим, что в Законе № 152-ФЗ нет точных сроков, в течение которых оператор должен направить в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Единственное требование в законе – уведомление должно быть подано до начала обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Таким образом, обработка персональных данных без уведомления Роскомнадзора – это уже нарушение законодательства о персональных данных. Срок давности привлечения к ответственности за него исчисляется с даты обнаружения, т. е. с даты, когда Роскомнадзор выяснил, что персональные данные обрабатываются, а уведомление не подавалось.
Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Роскомнадзора от 28.10.2022 № 180. Ранее применялась форма уведомления, приведенная в приложении № 1 к Методическим рекомендациям, утв. приказом Роскомнадзора от 30.05.2017 № 94.
При этом ч. 2 ст. 22 Закона № 152-ФЗ предусматривает ряд случаев, когда уведомлять Роскомнадзор необязательно. С 1 сентября 2022 года из ч. 2 ст. 22 Закона № 152-ФЗ исключили нормы, которые позволяли работодателям обрабатывать персональные данные без уведомления Роскомнадзора, если сведения о работнике были получены в рамках трудового законодательства.
Также были исключены случаи обработки персональных данных:
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, в иных аналогичных целях и др.
Следовательно, на работодателей (организации и ИП) и других операторов только с 1 сентября 2022 года была возложена обязанность по уведомлению Роскомнадзора о намерении обрабатывать персональные данные работников и других физлиц. Для тех категорий операторов, у которых обязанность обрабатывать персональные данные появилась только с 1 сентября 2022 года, Закон № 152-ФЗ не установил переходных положений. Поэтому считаем целесообразным подать такое уведомление после 1 сентября 2022 года, если оно ранее не подавалось. Поскольку сроки представления уведомления не установлены, его можно подать в Роскомнадзор сейчас.
При этом операторы персональных данных, которые не являются работодателями, были обязаны направить уведомление в Роскомнадзор еще раньше, то есть до вступления в силу упомянутых выше изменений, внесенных в Закон № 152-ФЗ, то есть до 1 сентября 2022 года. Если операторы обрабатывают персональные данные без уведомления Роскомнадзора, они нарушают законодательство. В такой ситуации есть риск привлечения операторов к ответственности за неуведомление Роскомнадзора по ст. 19.7 КоАП РФ (если нарушение обнаружено до 30 мая 2025 года) или по ч. 10 ст. 13.11 КоАП РФ (если нарушение обнаружено после 30 мая 2025 года).
Если операторы подадут уведомление в Роскомнадзор сейчас, то, полагаем, ведомство также признает это нарушением, а именно несвоевременной подачей уведомления о намерении обрабатывать персональные данные, что повлечет ответственность по ст. 19.7 КоАП РФ.
Напомним, что с 30 мая 2025 года размеры штрафов за нарушения будут повышены. За невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных установлен штраф (ч. 10 ст. 13.11 КоАП РФ):
- для граждан – в размере от 5000 до 10 000 руб.;
- для должностных лиц государственного или муниципального органа либо некоммерческой организации (далее – НКО) – от 30 000 до 50 000 руб.;
- для организаций, которые не являются государственным (муниципальным) органом или НКО и ИП – от 100 000 до 300 000 руб.
Ранее в КоАП РФ не было отдельного состава нарушения, связанного с неисполнением обязанности по уведомлению Роскомнадзора о намерении обрабатывать персональные данные. Поэтому до 30 мая 2025 года применяются нормы ст. 19.7 КоАП РФ, которая устанавливает ответственность за непредставление или несвоевременное представление сведений (информации) в орган государственного контроля (надзора).
Ответственность по этой статье существенно меньше, а штрафы ниже:
- для граждан – предупреждение или штраф в размере от 100 до 300 руб.;
- для должностных лиц – предупреждение или штраф в размере от 300 до 500 руб.;
- для организаций – предупреждение или штраф в размере от 3000 до 5000 руб.
