В 2025 году был внесен ряд изменений в законодательство о персональных данных. Читайте, в чем заключаются нововведения и какая ответственность грозит организации за утечку данных.
Содержание:
Что такое персональные данные?
Персональные данные — это любая информация, так или иначе относящаяся к субъекту персональных данных, гласит статья 3 Федерального закона «О персональных данных» от 27 июля 2006 года N 152-ФЗ.
Персданные включают себя как прямые, так и косвенные признаки, позволяющие идентифицировать человека. Например:
- ФИО,
- дата рождения,
- пол,
- гражданство,
- серия и номер паспорта,
- ИНН,
- СНИЛС,
- адрес проживания,
- номера телефонов,
- адреса электронной почты,
- биометрические данные,
- геолокация,
- результаты анализов,
- история болезни,
- информация о дипломах,
- семейное положение,
- место работы,
- заработная плата,
- номер банковской карты и т.д.
Обратите внимание. Даже если какая-либо информация сама по себе не позволяет напрямую идентифицировать человека, ее комбинация с другими данными может привести к его идентификации.
Подробнее о работе с персональными данными сотрудниками мы писали в отдельном материале.
Изменения в работе с персональными данными
В связи с поправками в закон № 152-ФЗ у организаций появились новые обязанности по обработке и защите персональных данных.
1. Обновленная форма согласия на обработку персональных данных
Распоряжение Правительства от 9 апреля 2024 года № 856-р утвердило бумажные и электронные формы согласия на размещение и обработку персональных данных в ЕСИА (Единая система идентификации и аутентификации) и ЕБС (Единая биометрическая система).
Специальная форма начала действовать с 1 января 2025 года. В форму, образец которой указан в Распоряжении, вносятся:
- сведения о субъекте персональных данных или о несовершеннолетнем, которого представляет субъект;
- цель настоящего согласия;
- данные оператора персональных данных и/или организации, обрабатывающей персданные по поручению оператора;
- список персональных данных, подлежащих обработке;
- перечень действий с персональными данными;
- срок действия согласия;
- подпись и дата подписания формы.
2. Передача обезличенных данных в ГИС
Федеральным законом от 8 августа 2024 года № 233-ФЗ были утверждены изменения, которые призваны сформировать обезличенное обращение персональных данных. То есть установить принадлежность данных тому или иному субъекту не получится.
Для этих целей по требованию Минцифры операторы (включая частные и государственные компании) будут передавать персональные данные в определенную Правительством РФ государственную информационную систему (далее – ГИС).
Предполагается, что доступ к данным будет осуществляться исключительно в рамках закрытой информационной системы: извлечение и передача данных запрещены. Также поправки запрещают включение в систему биометрических данных и информации о состоянии здоровья.
Бизнес сможет использовать данные только через год после включения в систему. Для получения доступа к ГИС необходимо соблюсти ряд условий:
- быть внесенным в реестр операторов персональных данных на 2025 год;
- не находиться под контролем иностранных физических или юридических лиц;
- отсутствие записей о недостоверных данных в ЕГРЮЛ;
- отсутствие связей с терроризмом или экстремистской деятельностью;
- отсутствие иностранного гражданства, действующей судимости или привлечения к уголовной ответственности в течение последних 5 лет.
Система начнет работу 1 сентября 2025 года.
3. Ужесточение ответственности за утечку данных
Федеральный закон от 30 ноября 2024 года № 420-ФЗ привязал размер штрафа за утечку персональных данных к их объему.
- Утечка данных 1-10 тысяч субъектов (или 10-100 тысяч их идентификаторов): от 100 до 200 тысяч рублей штрафа для физических лиц, для должностных лиц — от 200 до 400 тысяч рублей, для юрлиц — до 5 миллионов рублей.
- От 100 тысяч субъектов персональных данных (или от одного миллиона идентификаторов): до 400 тысяч рублей для физических лиц, для должностных лиц — до 600 тысяч рублей, для юрлиц — до 15 миллионов рублей.
- За повторную утечку: до 600 тысяч рублей для физических лиц, до 1 миллиона 200 тысяч для должностных лиц, 1-3% от выручки за год, предшествовавший нарушению, для юрлиц.
Также, согласно Федеральному закону от 30 ноября 2024 года № 421-ФЗ, была ужесточена ответственность за преступления, связанные со злоупотреблением при сборе и обработке персональных данных.
- За несанкционированное распространение персональных данных, полученных незаконным путем, а также за создание ресурсов для их получения — лишение свободы на срок до четырех лет. Если нарушения касаются данных несовершеннолетнего, срок увеличивается до пяти лет.
- В случае, если незаконное распространение данных привело к тяжким последствиям или осуществлялось организованной группой, виновному может грозить до 10 лет лишения свободы со штрафом до 3 миллионов рублей.
Возможные изменения в работе с персональными данными
В прошлом году в Государственную думу был внесен законопроект № 679980-8, вносящий изменения в статью 9 Федерального закона «О персональных данных» и статью 10 Закона «О защите прав потребителей».
Авторы проекта предлагают запретить продавцу ограничивать потребителя в информации о товарах и услугах в случае, если он не предоставил свои персональные данные. А также вводят требование о том, что согласие на обработку персональных данных должно быть оформлено отдельно от иных документов, например, от согласий на обработку данных в иных целях.
Согласно тексту пояснительной записки к законопроекту, меры направлены на борьбу с избыточной обработкой персональных данных и на минимизацию рисков, связанных с неправомерным доступом к информации.
Как безопасно работать с персональными данными?
Система КЭДО — кадрового электронного документооборота — от EasyDocs предлагает надежные и эффективные решения для обработки и хранения персональных данных.
Система КЭДО от EasyDocs зарегистрирована в реестре операторов персональных данных Роскомнадзора и включена в список отечественного программного обеспечения. Наша компания хранит данные в защищенном дата-центре Selectel и гарантирует их резервное копирование, а также надежную защиту от злоумышленников.
Дополнительную защиту обеспечивает двухфакторная аутентификация пользователей и регулярные аудиты безопасности.