Штрафы до 25 миллионов, но Роскомнадзор не принимает уведомление? Инструкция

Главное новшество — ужесточение наказания за утечку персональных данных. Размер штрафов теперь зависит от количества пострадавших и характера утечки. Например, если из компании «утекли» данные более 100 тысяч человек или 1 миллиона идентификаторов — штраф может составить до 15 миллионов рублей. Ещё дороже обойдётся утечка биометрических данных — до 20 миллионов. При повторных нарушениях возможно наложение оборотных штрафов в размере 1–3% от годовой выручки (или, для банков, от собственных средств). При этом минимальная сумма штрафа в ряде случаев — не менее 20 или 25 миллионов рублей.

Также существенно увеличены штрафы за несвоевременное или неполное уведомление Роскомнадзора о начале обработки данных. Теперь предприниматели обязаны заранее подать соответствующее уведомление. В противном случае — штраф до 300 тысяч рублей. Причём с 30 мая отменяется и 50-процентная скидка за быструю оплату штрафа по этой категории нарушений.

Малый бизнес — в зоне риска

Именно малые компании первыми столкнулись с практическими трудностями исполнения новых требований. У большинства нет штатных юристов и специалистов по информационной безопасности. Но, тем не менее, они формально подпадают под действие закона: клиентская база, e-mail-рассылки, номера телефонов сотрудников — всё это персональные данные, и за их обработку нужно отчитываться.

Особенно остро проблема проявилась на фоне сбоя в работе сайта Роскомнадзора. Накануне вступления закона в силу — 28 и 29 мая — форма подачи уведомления о начале обработки данных на сайте ведомства либо не открывалась вовсе, либо работала с перебоями. По словам представителей бизнеса, многие предприниматели пытались подать уведомление в последний момент, но просто не смогли этого сделать.

«Сайт не выдержал нагрузки, и теперь компании рискуют получить штраф только потому, что не смогли зайти на портал вовремя», — жалуются предприниматели.

При этом Роскомнадзор подтвердил сбои, объяснив их наплывом пользователей: если в обычные дни ведомство получало 500–800 уведомлений, то в последние дни мая — более 150 тысяч в сутки.

Альтернативы есть, но не все о них знают

Юристы призывают сохранять спокойствие и напоминают, что уведомление можно подать не только онлайн. Допускается отправка по почте на бумажном носителе или через портал «Госуслуги» с использованием квалифицированной электронной подписи. Датой подачи будет считаться именно день отправки, а не момент занесения в реестр. Однако далеко не все малые компании об этом знают или имеют техническую возможность воспользоваться этими каналами.

Нарушил впервые — получи предупреждение

Есть и небольшой «запас прочности»: если нарушение произошло впервые, согласно статье 4.1.1 КоАП, компания может отделаться предупреждением. Но если после него предприниматель снова не выполнит требования закона — штрафа не избежать.

Юристы обращают внимание, что не все компании обязаны подавать уведомление. Закон делает исключения для случаев, когда данные обрабатываются вручную, используются в рамках госсистем, либо касаются транспортной безопасности. Но подавляющее большинство малых и средних бизнесов — особенно те, кто работает с клиентами, — обязаны это сделать.

Будет ли «охота» на нарушителей?

Специалисты пока не ожидают массовых проверок. Роскомнадзор физически не сможет проконтролировать каждую из более чем миллиона компаний, уже внесённых в реестр. Однако это не означает, что нарушения останутся без последствий. Особенно рискуют те, кто игнорировал требования раньше и не готов внедрять изменения сейчас.

Эксперты советуют предпринимателям внимательно подойти к вопросу, изучить инструкцию по подаче уведомлений и, при необходимости, воспользоваться альтернативными способами подачи документов. Любая задержка может обойтись дорого — особенно если в компании произойдёт утечка данных.

IT-World подготовил небольшую инструкцию по применению новых правил для бизнеса:

Нужно ли вам подавать уведомление в Роскомнадзор?

• Вы храните данные клиентов: ФИО, телефоны, email, адреса и пр.
• У вас есть CRM-система, онлайн-запись, рассылка, личный кабинет, подписки и т.п.
• Вы собираете резюме, анкеты, данные сотрудников, клиентов или партнёров.
• Вы обрабатываете данные с помощью компьютеров, серверов, приложений.

НЕ НУЖНО, если:

• Вы ведёте всё вручную (на бумаге), и объём данных минимальный.
• Данные используются только в рамках госфункций (например, для судов или полиции).
• Вы обрабатываете данные в рамках транспортной безопасности.

Если сомневаетесь — лучше подать уведомление. За отсутствие — штраф до 300 000 руб.

Как подать уведомление в Роскомнадзор?

• Через сайт: pd.rkn.gov.ru
• Через Госуслуги (только с квалифицированной электронной подписью)
• По почте (на бумаге)

Когда подавать уведомление?

• До начала обработки персональных данных.
• Если уже обрабатываете, но ранее не подавали уведомление — подайте как можно скорее.
• Повторно — при изменении перечня данных, целей или способов обработки.

Что грозит за нарушение?

Первое нарушение может закончиться предупреждением, если быстро исправить проблему.

Что можно сделать прямо сейчас?

• Проверьте, обрабатывают ли в вашей организации персональные данные.
• Оцените, подавали ли вы уведомление раньше.
• Подготовьте уведомление — через сайт, Госуслуги или по почте.
• Назначьте ответственного за работу с персональными данными. Разработайте политику обработки персональных данных и разместите на сайте.
• Оформите согласие клиентов на обработку данных.