Форма связи на сайте: штрафы с 30 мая 2025 года. Уведомление РКН

Форма связи на сайте штрафы с 30 мая 2025 года. Уведомление РКН
Содержание статьи

Владельцам сайтов: изменения в законе о персональных данных

Как избежать штрафов и что нужно знать о новых поправках

Владельцы сайтов, которые размещают на сайте формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные.

С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 «О персональных данных». Появились новые требования к Политике по обработке персональных данных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства.

Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей. А С 30 мая 2025 года размер штрафов станет еще больше.

Форма связи на сайте: штрафы с 30 мая 2025 года. Уведомление РКН

Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН.

Представлять уведомления о начале обработки персональных данных в Роскомнадзор должны организации, ИП и самозанятые, собирающие и обрабатывающие персональные данные (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):

  • сотрудников и кандидатов на работу;
  • контрагентов;
  • членов общественных объединений и религиозных организаций;
  • посетителей для однократного пропуска на территорию компании;
  • ФИО любого лица, полученное организацией.

Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.

С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):

  • от 5 000 до 10 000 рублей – для физлиц
  • от 30 000 до 50 000 рублей – для должностных лиц организаций
  • от 100 000 до 300 000 рублей – для ИП
  • от 100 000 до 300 000 рублей – для организаций

Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.

Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Важные вопросы

Кого будут штрафовать?

Операторов персональных данных. Оператор собирает и обрабатывает персональные данные, например, электронные адреса для рассылки. Оператором могут быть физические и юридические лица.

Определение из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что такое персональные данные?

Любые данные о человеке, по которым его можно опознать. Точного перечисления таких данных в законе нет, но, например, если сведения о музыкальных предпочтениях человека без дополнительной информации нам ни о чём не говорят, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто используемые персональные данные

Персональные данные можно получать через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. В первом случае человек сам передаёт вам свои данные, например, для оформления заказа.

Чаще всего это:

    • email;
    • телефон;
    • имя, фамилия, отчество;
    • адрес;
    • дата рождения;
    • фотография;
    • ссылка на персональный сайт и профиль в соцсетях.

Автоматически персональные данные посетителей сайта собираются при помощи cookie. Cookie — это файл с данными, который сохраняется на компьютере пользователя после посещения сайта. В куки могут храниться:
данные о местоположении человека;

    • IP-адрес;
    • информация о действиях на сайте;
    • добавленные в корзину товары и так далее.

Владельцы сайтов могут использовать файлы куки, например, для показа таргетированной рекламы или отправки напоминаний об оставленных в корзине товарах. Так как перечня персональных данных в законе нет, нельзя точно сказать, входят ли куки в понятие «персональных данных». Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.

Я не обрабатываю персональные данные, а только собираю

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов

  1. Создайте политику обработки персональных данных и разместите её на отдельной странице сайта
  2. Добавьте ссылку на политику обработки персональных данных в футер сайта
  3. Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных
  4. Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie
  5. Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора
  6. Создайте регламент ответов на запросы посетителей сайта
  7. Подайте уведомление в РКН о трансграничной передаче персональных данных
  8. Проверьте поручение на обработку персональных данных

Что еще нужно сделать, если вы — юрлицо

Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

  1. Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.
  2. Подписать с сотрудниками согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
  3. Защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Всё это прописано в приказе № 21 Федеральной службы по техническому и экспортному контролю.

    С 30 мая 2025 года Роскомнадзор начнёт штрафовать за утечки персональных данных в размере до 15 млн рублей, а при повторных утечках — в размере до 3% от годовой выручки, но не менее 20 млн рублей.

  4. Если произошла утечка персональных данных, оператор теперь обязан в течение 24 часов уведомить РКН: сообщить предполагаемые причины утечки и оценить вред. Затем в течение 72 часов провести расследование инцидента и сообщить о его результатах. С 30 мая 2025 года невыполнение или несвоевременное выполнение обязанности по уведомлению РКН будет наказываться штрафом в размере от 1 до 3 миллионов рублей.

Чек-лист для владельцев сайта

  • Определите, какие персональные данные собираются на сайте.
  • Проверьте, добавлена ли на сайт политика обработки персональных данных и актуализируйте её содержание в соответствие с требованиями федерального закона «О персональных данных».
  • Добавьте ссылку на политику обработку персональных данных в подвал сайта.
  • Проверьте, чтобы под формами сбора персональных данных на сайте был чек-бокс с предупреждающим текстом о том, что пользователь соглашается на обработку персональных данных. В тексте должна быть ссылка на пользовательское соглашение или согласие на обработку персональных данных.
  • Разместите на сайте уведомление об использовании cookie.
  • Если вы не подали уведомление об обработке персональных данных в реестр операторов — сделайте это.
  • Разработайте регламент реагирования на запросы пользователей и проведите тренинг для сотрудников, обрабатывающих персональные данные.
  • Если у вас интернет-магазин, проверьте содержание оферты и формы на предмет «избыточных» персональных данных.
  • Если вы планируете осуществлять трансграничную передачу персональных данных — подайте уведомление в РКН.
  • Если вы юрлицо — разработайте пакет внутренних документов по защите персональных данных, подпишите согласие с сотрудниками на обработку персональных данных, защитите данные необходимыми мерами.
Бизнесу
Категории
Поиск по сайту:
Содержание статьи
Другие статьи