Пять распространённых ошибок в работе с персональными данными: штрафы за нарушения и рекомендации юристов

С 2025 года ужесточилась система штрафов за нарушения законодательства в области сбора и обработки персональных данных. За использование такой информации без правового основания санкции достигают десятков миллионов рублей. 

Отношения, а также нарушения в этой сфере регулируются Федеральным законом № 152-ФЗ «О персональных данных» и Кодексом Российской Федерации об административных правонарушениях (КоАП РФ).

В статье рассмотрим распространённые виды нарушений, связанных с обработкой конфиденциальной информации, а также меры ответственности, применяемые к компаниям (в том числе, и к турфирмам) за несоблюдение соответствующих норм. 

К наиболее частым нарушениям в сфере сбора и обработки персональных данных относятся:

1. Передача персональных данных через иностранные сервисы. 

Данное нарушение регулируется ч. 1 ст. 13.11 КоАП РФ — обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных — и влечёт за собой административную ответственность в виде штрафа:

• на должностных лиц: от 50 000 до 100 000 рублей;
• на юридических лиц: от 150 000 до 300 000 рублей.

При повторном нарушении:

• на должностных лиц: от 100 000 до 200 000 рублей;
• на юридических лиц: от 300 000 до 500 000 рублей.

2. Отсутствие отдельного согласия на обработку персональных данных или отсутствие обязательных сведений в согласии. 

Данное нарушение регулируется ч. 2 ст. 13.11 КоАП РФ — обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие — и влечёт за собой административную ответственность в виде штрафа:

• на должностных лиц: от 100 000 до 300 000 рублей;
• на юридических лиц: от 300 000 до 700 000 рублей.

При повторном нарушении:

• на индивидуальных предпринимателей: от 500 000 до 1 000 000 рублей;
• на юридических лиц: от 1 000 000 до 1 500 000 рублей.

3. Хранение персональных данных на серверах и в системах, находящихся за пределами РФ.

Данное нарушение регулируется ч. 8 ст. 13.11 КоАП РФ — невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации — и влечёт за собой административную ответственность в виде штрафа:

• на должностных лиц: от 100 000 до 200 000 рублей;
• на юридических лиц: от 1 000 000 до 6 000 000 рублей.

При повторном нарушении: 

• на должностных лиц: от 500 000 до 800 000 рублей;
• на юридических лиц: от 6 000 000 до 18 000 000 рублей.

4. Непринятие организационных, правовых и технических мер по защите конфиденциальной информации.

Данное нарушение регулируется ч. 6 ст. 13.12 КоАП РФ — нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации — и влечёт за собой административную ответственность в виде штрафа:

• на должностных лиц: от 10 000 до 50 000 рублей;
• на юридических лиц: от 50 000 до 100 000 рублей.

5. Непредоставление в Роскомнадзор уведомлений об утечке данных.

Данное нарушение регулируется ч. 11 ст. 13.11 КоАП РФ — невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных -— и влечёт за собой административную ответственность в виде штрафа:

• на должностных лиц: от 400 000 до 800 000 рублей;
• на юридических лиц: от 1 000 000 до 3 000 000 рублей.

Как избежать штрафов за нарушение в области персональных данных? Рекомендации юристов

• Уведомите Роскомнадзор о начале обработки персональных данных и в случае утечки данных клиентов.
• Не передавайте персональные данные через иностранные сервисы.
• Не собирайте «лишние» данные, а также не осуществляйте сбор в целях, не прописанных в Согласии на обработку персональных данных и в Политике обработки персональных данных.
• Согласие на обработку персональных данных необходимо оформлять отдельным документом, оно должно содержать все необходимые сведения.
• Для хранения персональных данных клиентов используйте российское программное обеспечение или программное обеспечение, сервера которого находятся на территории РФ.
• Используйте лицензированное программное обеспечение для защиты информации. 
• Приведите в порядок внутреннюю документацию, обучите сотрудников и проконтролируйте исполнение внутренних регламентов — это удобно сделать с помощью готового комплекта документов «Защита персональных данных». 

В комплекте — готовые формы согласий на обработку персональных данных, Политика обработки персональных данных, инструкции по хранению и защите информации, правила, приказы, журналы и т.д.

Вы сможете выстроить процесс сбора и обработки персональных данных в соответствие с требованиями закона и будете готовы к любым проверкам со стороны контролирующих органов. 

СПИСОК ВСЕХ УСЛУГ КОМПАНИИ ДОСТУПЕН ПО ССЫЛКЕ: https://ukab.ru/uslugi

Задать любой вопрос или оформить заказ можно по электронной почте info@ukab.ru

Оставьте заявку на услугу, и мы обязательно свяжемся с Вами!