С 30 мая 2025 года существенно возросли штрафы за несоблюдение правил обработки персональных данных. Неисполнение требования Роскомнадзора о уведомлении о начале сбора персональных сведений теперь влечет за собой наложение штрафа в размере десятков тысяч рублей.
Роскомнадзор не обязан доказывать, что организация собирает персональные данные. Организация обязана уведомить ведомство о сборе данных. Неуведомление Роскомнадзора и обработка данных без его оповещения – это нарушение с угрозой штрафа.
В первый раз возможно отделаться предупреждением. Статья 4.1.1 ч.1 КоАП РФ предусматривает, что штрафы за впервые совершенное административное правонарушение, в том числе в сфере персональных данных, подлежат замене на предупреждение.
Как Роскомнадзор выявляет нарушения
РКН располагает широким спектром инструментов для выявления правонарушений, включая автоматизированные системы контроля и личные проверки.
Автоматизированные системы контроля
Роскомнадзор сможет применять автоматизированные системы, чтобы находить нарушения при работе с персональными данными, совершаемые онлайн-сервисами и компаниями.
Проект постановления Правительства Разработанный проектом с ID 153779 инструмент для автоматизации контроля со стороны РКН появился осенью 2024 года. На данный момент документ ещё не принят. Предполагается его успешное утверждение на всех стадиях.
Специализированное программное обеспечение позволяет сейчас же РКН осуществлять контроль над сайтами и изучать интернет-потоки.
Мониторинг и проверки сайтов
В ходе контроля сайтов Роскомнадзор может обнаруживать регистрационные формы, предназначенные для сбора личной информации. Если вы являетесь владельцем сайта с формой регистрации, это может привести к проверке.
Электронная почта – часть персональных данных
Жалобы пользователей
Популярный и действенный метод выявления случаев нарушения прав при работе с персональными данными.
Каждый не satisfied клиент или уволенный сотрудник может за несколько минут отправить жалобу.
Информацию можно получить на сайте Роскомнадзора, а также подать жалобу по электронной почте, через портал госуслуг, по обычной почте или лично в офисе организации.
В 2024 году в РКН поступило 1387 обращений граждан по защите прав субъектов персональных данных, что на 10% больше, чем в 2023 году. Уведомлений об утечках персональных данных было 200, то есть в два раза меньше, чем годом ранее.
Появления жалоб влечет за собой проведение более тщательного расследования, которое может включать выезды на место.
Сигналы от других ведомств
Информация о нарушении закона при работе с персональными данными может быть направлена в Роскомнадзор из МВД, ФСБ или прокуратуры, обнаруживших эти нарушения во время проведения своих расследований.
Сообщения в СМИ
При распространении в СМИ новостей о разглашении личной информации Роскомнадзор может проверить организацию, выступившую источником этой информации и признанную виновной в нарушении правил.
Также обращают внимание на жалобы частных лиц, передавших в РКН сведения о публикации их персональных данных в СМИ без согласия. В такой ситуации РКН будет проверять деятельность операторов и сторонних организаций, занимающихся обработкой персональных данных.
Плановые и внеплановые проверки РКН
Регулярные проверки осуществляются не чаще чем раз в три года. Непредусмотренные проверки возможны по заявлениям жителей, сообщениям в средствах массовой информации, а также при анализе веб-ресурсов.
План плановых проверок Роскомнадзора на 2025 год размещён на официальном сайте Генеральной прокуратуры РФ. Реестр контрольных мероприятий ».
Проверки могут осуществляться документально, во время выезда или посредством инспекционного визита.
В ходе проверок Роскомнадзор может запросить документы для оценки соответствия деятельности нормам обработки персональных данных.
На территории организаций проводятся выездные проверки. Инспекторы анализируют всю документацию и определяют, насколько соблюдаются нормы обработки персональных данных.
Инспекционный визит — это короткий выездной контроль в компании со стороны инспектора.
Проверка договоров
В ходе любой проверки РКН может изучить все документы, необходимые компании для соблюдения законодательства о персональных данных: согласия на обработку, политику обработки, требования к безопасности данных, а также договоры, определяющие передачу или непередачу персональной информации третьим лицам.
В качестве примера можно привести соглашения с компаниями, осуществляющими доставку или предоставляющими системы управления взаимоотношениями с клиентами. Наличие отсутствия указаний об обеспечении конфиденциальности в таких документах грозит санкциями.
Как произвести трансграничную передачу персональных данных в 2025 году