С 30 мая 2025 года компании, работающие с персональными данными россиян, столкнутся с резким ужесточением штрафов. Законодательство коснется всех, в том числе рискуют кинотеатры, даже если они уверены, что «ничего не нарушают». Юрист Анна Козловская рассказывает о нюансах требований к сбору данных.

Почему это относится и к кинобизнесу? Вообще данное положение относится ко всем, кто собирает персональные данные.

По закону представлять уведомления о начале обработки персональных данных в Роскомнадзор должны организации, ИП и самозанятые, собирающие и обрабатывающие персональные данные (ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»):

• сотрудников и кандидатов на работу;
• контрагентов;
• членов общественных объединений и религиозных организаций;
• посетителей для однократного пропуска на территорию компании;
• ФИО любого лица, полученное организацией.

Некоторые компании хитрят,  пытаются, обойти закон  «а мы вот не обрабатываем персональные данные».

Вот, например, яркие примеры известных киносетей. Здесь по закону должно быть «согласие на обработку данных», и пользовательское соглашение. Условие покупки билетов есть (пользовательское соглашение), а «согласия» нет.

У известной объединённой киносети «Формула кино» и «Синемапарк» видим такую же картину.

Подозреваю, что юристы киносетей решили таким образом, не вписав графу «имя», обойти требования уведомлении Роскомнадзора об обработке персональных данных.

Но это немного странно, так как у таких крупных компаний точно есть официальные сотрудники и контрагенты,  данные которых они обрабатывают.  А это уже как мы говорили выше подпадает под требование уведомления Роскомнадзора по сбору персональных данных.

Вопрос о том, что относится к персональным данным до сих пор является дискуссионным. Являются ли имя и номер телефона персональными данными гражданина? Если организация запрашивает эти данные на своем сайте «Обратная связь или оставить заявку», то подпадает ли она под действие Закона №152-ФЗ? Если форма обратной связи не предполагает предоставления, помимо номера телефона или электронного адреса, дополнительных сведений, идентифицирующих пользователя, относится ли такая информация к персональным данным?

В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее — Закон №152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных. Как видим, Закон №152-ФЗ определяет персональные данные достаточно широко, поэтому какого-либо перечня сведений, относящихся к персональным данным субъекта, не существует.

Суды к персональным данным относят фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы (определения Курганского областного суда от 07.09.2017 по делу N 33-2984/2017, Санкт-Петербургского городского суда от 26.03.2013 N 33-3815/13, Московского городского суда от 28.01.2014 N 33-5461/14, Саратовского областного суда от 29.01.2013 по делу N 33-500) и др.

Адрес электронной почты гражданина, по мнению специалистов Роскомнадзора, относится к категории персональных данных, поскольку данный идентификатор уникален: он присваивается конкретному человеку и не может быть отнесен к другому. Даже без дополнительной информации такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных и письмо Минцифры от 17 марта 2022 г. №П25-5623-ОГ «О возможности отнесения адреса электронной почты к персональным данным».

Признание той или иной информации персональными данными зависит от ее объема и от того, можно ли с ее помощью идентифицировать конкретного гражданина или нет. Учитывая, что год назад всех обязывали подтвердить и привязать свой номер телефона к Госуслугам, в такой логике и номер мобильного телефона без ФИО также является персональными данными.

Так стоит ли так рисковать? Ведь за обработку данных без согласия лица, которому они принадлежат, предусматривается отдельная административная ответственность в виде  штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

• 10 000 –15 000. руб. — на физических лиц;
• 100 000–300 000. руб. — на должностных лиц;
• 300 000–700 000. руб. — на юридических лиц.

Полагаем, что во избежание претензий со стороны контролирующих органов форма обратной связи, используемая организацией, должна содержать интерфейс на предоставление субъектом персональных данных согласия на обработку персональных данных в соответствии с политикой оператора в отношении обработки и защиты персональных данных субъектов, т.к. в любом случае для обратной связи одного номера телефона и адреса электронной почты будет недостаточно, необходимо также и имя гражданина, который пожелает воспользоваться подобной формой и, возможно, сам оставит свои данные.

Федеральный закон от 30.11.2024 №420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. Сейчас за неподачу такого уведомления могут оштрафовать по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.

С 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (ч.10 ст.13.11 КоАП РФ):

• от 5 000 до 10 000 рублей – для физлиц
• от 30 000 до 50 000 рублей – для должностных лиц организаций
• от 100 000 до 300 000 рублей – для ИП
• от 100 000 до 300 000 рублей – для организаций

Чтобы избежать указанных штрафов, в Роскомнадзор необходимо направить уведомление по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.

Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует ее дальнейшие действия по сбору и обработке персональных сведений (ч.4 ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Штрафы за неуведомление Роскомнадзора об утечке персональных данных

С 30 мая 2025 года будут увеличены штрафы также и за непредставление в Роскомнадзор уведомления о произошедшей утечке персональных данных. Сейчас компании за неподачу таких уведомлений штрафуют по ст.19.7 КоАП РФ, а штраф назначают в пределах от 3 000 до 5 000 рублей.

С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):

• от 50 000 до 100 000 рублей – для физлиц
• от 400 000 до 800 000 рублей – для должностных лиц организаций
• от 1 до 3 млн рублей – для ИП
• от 1 до 3 млн рублей – для организаций

Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).

Уведомления разрешается направлять в ведомство на бумажном носителе по почте или в электронном виде путем заполнения рекомендованной формы на сайте Роскомнадзора.

Штрафы за утечку персональных данных

Одновременно для компаний будут значительно повышены и штрафы за саму утечку персональных данных – их неправомерную передачу третьим лицам. Сейчас операторы персональных данных несут ответственность за утечку личных сведений граждан по ч.2 ст.13.11 КоАП РФ, а максимальный размер штрафов за указанное нарушение достигает 700 000 рублей.

С 30 мая 2025 года неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек повлечет наложение штрафа в размере (ч.12 ст.13.11 КоАП РФ):

• от 100 000 до 200 000 рублей – для физлиц
• от 200 000 до 400 000 рублей — для должностных лиц организаций
• от 3 до 5 млн рублей – для ИП
• от 3 до 5 млн рублей – для организаций

Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек повлечет наложение штрафов в размере (ч.13 ст.13.11 КоАП РФ):

• от 200 000 до 300 000 рублей – для физлиц
• от 300 000 до 500 000 рублей – для должностных лиц организаций
• от 5 до 10 млн рублей – для ИП
• от 5 до 10 млн рублей — для организаций

За незаконную передачу третьим лицам персональных данных более 100 000 человек накажут штрафами в размере (ч.14 ст.13.11 КоАП РФ):

• от 300 000 до 400 000 рублей – для физлиц
• от 400 000 до 600 000 рублей – для должностных лиц организаций
• от 10 до 15 млн рублей – для ИП
• от 10 до 15 млн рублей – для организаций

Повторная передача третьим лицам персональных данных без законных оснований станет грозить следующими штрафами (новая ч.15 ст.13.11 КоАП РФ):

• от 400 000 до 600 000 рублей – для физлиц
• от 800 000 до 1,2 млн рублей – для должностных лиц организаций
• от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.

Штрафы за утечку биометрических персональных данных

Отдельные штрафы будут введены за незаконную передачу третьим лицам биометрических персональных данных, под которыми понимаются в том числе изображения лиц, записи голосов, и отпечатки пальцев.

С 30 мая 2025 года незаконная передача биометрических сведений повлечет наложение штрафов в размере (ч.17 ст.13.11 КоАП РФ):

• от 400 000 до 500 000 рублей – для физлиц
• от 1,3 до 1,5 млн рублей – для должностных лиц организаций
• от 15 до 20 млн рублей – для ИП
• от 15 до 20 млн рублей – для организаций

Повторная передача биометрических данных без законных оснований станет наказываться штрафами в следующих размерах (ч.18 ст.13.11 КоАП РФ):

• от 500 000 до 800 000 рублей – для физлиц
• от 1,5 до 2 млн рублей – для должностных лиц организаций
• от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций

Минимальный штраф, назначаемый организациям и ИП за повторную утечку биометрических данных, будет равен 25 млн рублей, а максимальный – 500 млн рублей.

Уголовная ответственность за нарушения в работе с персональными данными

Кроме штрафов, с 11 декабря 2024 года действует статья 272.1 УК РФ, устанавливающая уголовную ответственность за незаконное использование, сбор и хранение компьютерной информации, содержащей персональные данные граждан. Данные действия сейчас могут грозить:

• штрафом в размере до 300 000 рублей
• принудительными работами на срок до 4 лет
• лишением свободы на срок до 4 лет

Те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, грозят:

• штрафом в размере до 700 000 рублей
• принудительными работами на срок до 5 лет
• лишением свободы на срок до 5 лет

Те же деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба или группой лиц по предварительному сговору наказываются:

• штрафом в размере до 1 млн рублей
• принудительными работами на срок до 5 лет со штрафом в размере до 1 млн рублей
• лишением свободы на срок до 6 лет со штрафом в размере до 1 млн рублей

Обратите внимание! Уголовная ответственность не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных или семейных нужд.