С 30 мая 2025 года вступают в силу серьезные изменения в законодательстве о защите персональных данных (ПДн), значительно повышающие ответственность за нарушения. Это означает существенное увеличение штрафов, введение новых составов правонарушений и отмену льготных условий.
Проведение аудита ПДн сейчас – это единственный способ избежать многомиллионных оборотных штрафов.
Новые штрафы за нарушение в сфере ПДн:
Законодательство ужесточено, и размеры штрафов для юридических лиц за общие нарушения выросли до 150 000 – 300 000 рублей (против прежних 60 000 – 100 000 рублей). Повторные нарушения обойдутся еще дороже, причем индивидуальные предприниматели (ИП) будут нести ответственность наравне с юридическими лицами.
Введены новые составы нарушений, включающие:
- Нарушение обязанности уведомить о начале обработки персональных данных;
- Нарушение обязанности уведомить об утечке персональных данных;
- Действия (бездействие), повлекшие утечку ПДн;
- Действия (бездействие), повлекшие утечку специальной категории ПДн;
- Действия (бездействие), повлекшие утечку биометрических персональных данных;
- Нарушение порядка обработки биометрических данных;
- Непринятие мер по обеспечению безопасности биометрических данных;
- Обработка биометрических данных без аккредитации;
- Отказ обслуживать потребителя, отказавшегося от биометрической идентификации.
Особенности новых составов нарушений:
- ИП несут ответственность как юридические лица.
- Для государственных органов, муниципальных учреждений и НКО штрафы применяются к должностным лицам, а не к организации в целом.
- Многократные утечки ПДн могут повлечь за собой оборотные штрафы.
- Отменена 50-процентная скидка на штрафы.
- Дела о нарушениях рассматриваются в арбитражном суде.
Для кого особенно актуален аудит персональных данных:
Проведение аудита особенно важно для компаний, которые:
- Имеют свой сайт/мобильное приложение;
- Имеют сотрудников (включая тех, кто работает по договорам ГПХ);
- Осуществляют рекламно-информационные рассылки;
- Заключают договоры с контрагентами;
- Передают данные третьим лицам;
- Передают данные за рубеж;
- Обрабатывают биометрические и специальные категории персональных данных.
Что включает в себя аудит персональных данных:
Профессиональный аудит включает в себя:
- Аудит сайтов и приложений: Оценка собираемых персональных данных, наличия согласий на обработку, актуальности Политики конфиденциальности и политики обработки файлов cookie.
- Аудит внутренних процессов и документов: Анализ всех категорий ПДн (пользователей, сотрудников, контрагентов), в том числе специальных категорий. Это включает:
- Интервью с сотрудниками: Создание карты движения ПДн для выявления скрытых рисков и неэффективных процессов.
- Анализ внутренних документов: Сверка фактических процессов с документацией для выявления несоответствий и нарушений.
- Анализ уведомления в Роскомнадзор: Проверка наличия и актуальности уведомления о начале обработки ПДн.
- Описание выявленных рисков и рекомендаций по исправлению.
Проведение аудита персональных данных – это не просто профилактика, а необходимость. Он поможет выявить риски, минимизировать их и избежать серьезных штрафов. Не откладывайте этот важный шаг, обратитесь к специалистам уже сейчас.