С 30 мая 2025 года вступает в силу Федеральный закон от 30.11.2024 N 420-ФЗ, которым расширяется ответственность за нарушения законодательства Российской Федерации в области персональных данных.
Основное изменение, которое сразу же может почувствовать на себе не только крупный, но также и малый, и средний бизнес – это введение ответственности за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных. Штраф за данное нарушение для индивидуальных предпринимателей и юридических лиц может составить до 300 000 руб.
Напоминаем, что подача уведомления и включение в реестр Роскомнадзора являются обязательными для всех лиц, которые обрабатывают персональные данные хотя бы одного субъекта. В действующей редакции 152-ФЗ содержится всего несколько исключений из данного правила (обработка персональных данных только своих работников исключением не является):
(1) обработка данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
(2) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
NB! В настоящее время мы до сих пор наблюдаем отсутствие последовательной позиции Роскомнадзора и судов по вопросу того, что именно следует квалифицировать как средства автоматизации.
Ранее при обращении в РКН по Санкт-Петербургу нам была озвучена следующая позиция: компьютеры, сайты и 1С являются средствами автоматизации, несмотря на то, что ввод данных осуществляется оператором вручную (просто в этом случае обработка признается смешанной). Озвученная позиция подтверждается и наличием судебной практики об оспаривании актов РКН о необходимости включения организаций в реестр операторов.
Однако одно из самых свежих судебных решений, транслирующих более законную позицию, чем озвученная выше — Постановление Девятого арбитражного апелляционного суда от 19.11.2024 N 09АП-55619/2024 по делу N А40-12676/2024: «Если информация вносится, изменяется, передается и уничтожается персонально по каждому субъекту персональных данных вручную, обработка считается неавтоматизированной, в то время как если используемые оператором программы могут самостоятельно переформатировать данные, выбирать их по установленным параметрам, передавать внешним пользователям без необходимости просмотра и проверки персональных данных по каждому субъекту в отдельности, то такая обработка является автоматизированной».
Таким образом, если в организации отсутствуют программы, которые без непосредственного участия человека производят обработку персональных данных, можно занять позицию, что подача уведомления не является обязательной. При этом нужно быть готовыми к тому, что такую позицию придется защищать не только в суде первой инстанции, но и в судах вышестоящих инстанций (в приведенном выше деле суд первой инстанции занял сторону Роскомнадзора и признал обработку автоматизированной).
(3) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
В приложении приводим сравнительную таблицу, иллюстрирующую увеличение ответственности в конкретных цифрах и составах правонарушений.
Рекомендуем убедиться, что ваша организация включена в реестр операторов – сделать это можно с использованием сайта https://pd.rkn.gov.ru/operators-registry/operators-list/. Проверьте наличие и актуальность данных о вашей компании. Также рекомендуем проверить актуальность принимаемых в организации мер для предотвращения утечек данных.
