14 октября 2025 по инициативе Комитета по безопасности предпринимательской деятельности ТПП Ростовской области прошел семинар для предпринимателей, руководителей организаций, юристов и HR-менеджеров «Самые популярные нарушения в 2025 году по закону о персональных данных, которые есть в каждой организации».
Семинар продолжил цикл мероприятий по повышению правовой грамотности предпринимателей. Открыл мероприятие вице-президент ТПП Ростовской области Юрий Алексеевский. Он рассказал об услугах, предоставляемых Палатой, и предложил коллегам следить за информационными сообщениями на официальном сайте и ТГ-канале ТПП РО, где размещаются анонсы мероприятий, организованных для бизнеса на площадке ТПП или с участием ее экспертов. Главным спикером семинара выступил эксперт по информационному праву, генеральный директор ООО «РЭАЦ «Эксперт», председатель Комитета по безопасности предпринимательской деятельности ТПП Ростовской области Николай Мисник. Он рассказал о типичных ошибках предпринимателей в сфере информационной безопасности и о том, как можно избежать штрафных санкций, предусмотренных законодательством о персональных данных.
Он рассказал о последних изменениях в области надзора за обработкой персональных данных и рассмотрел основные источники рисков в этой сфере. Случаев обработки может быть много, и рассматривать персональные данные следует в совокупности с конкретным случаем, отметил спикер. Например, номер телефона используется для уведомлений клиентов, а фотографии сотрудников – для размещения на сайте. Для каждого случая должно быть законное основание. При его отсутствии Роскомнадзор может применить меры воздействия.
Одни и те же данные могут использоваться в различных случаях: при приеме на работу, выплате зарплаты, оформлении допуска, больничного, обучении. Для каждой цели необходимо правовое основание: закон, договор или согласие. В Трудовом кодексе четко прописано, что обработка персональных данных допустима строго в случаях, необходимых для оформления на работу, заключения трудового договора, исполнения обязанностей работодателя, обеспечения безопасности сотрудника и компании. Все эти случаи закреплены в Кодексе, поэтому излишние данные запрашивать запрещено.
- Представьте себе современный бизнес, взаимодействующий с клиентами через сайт, где собираются заявки обратного звонка, включающие имя, телефон, адрес электронной почты. Роскомнадзор проводит мониторинг, выявляет нарушение на сайте, что приводит к штрафам, так как на сайте идет сбор персональных данных, включающий имя, номер телефона, адрес электронной почты. Роскомнадзор добавляет сайт в реестр, тем самым блокируя доступ к нему, - привел пример Николай Мисник.
Он также подробно остановился на требованиях Роскомнадзора по подаче уведомлений. Ситуации, когда их можно не подавать, сейчас почти не существует. Раньше было 12 исключений, потом девять, теперь всего два: не подавать уведомление можно, только если обработка персональных данных ведется исключительно на бумаге. Если придет запрос из Роскомнадзора о причинах отсутствия уведомления, на запрос нужно ответить, что автоматизированная обработка не используется, особенно важно при отсутствии сайта с активным сбором данных. Он также рассказал о новом штрафе за невыполнение обязанности по уведомлению при утечке данных до 3 млн рублей. В законе о персональных данных говорится об обязанности уведомить Роскомнадзор с момента выявления неправомерной или случайной передачи персональных данных в течение 24 часов. Дальше может последовать штраф за утечку от 3 до 15 млн рублей.
Вячеслав Кудрич, руководитель проекта «Информационные системы Юга», эксперт по информационной безопасности, анализу и управлению рисками рассказал о перспективах для компании, сайт которой был взломан, и информация утекла. По его мнению, важно вовремя обнаружить признаки компрометации системы. В случае утечки данных, необходимо оперативно принять меры, например, уничтожить жесткий диск компьютера, чтобы избежать негативных последствий. Законодательство предусматривает наказание за неуведомление Роскомнадзора о факте утечки персональных данных. Уведомление необходимо направить в течение 24 часов, а в последующие 72 часа провести внутреннее расследование. В заключении расследования необходимо отразить все известные факты утечки, определить ответственных сотрудников и приложить необходимые материалы. Важно подтвердить сам факт утечки или доказать, что она произошла не по вашей вине.
Спикер также отметил, что каждая компания должна иметь политику обработки данных, причем это правило действует и для группы компаний, так как каждая является отдельным юрлицом. Распространена ошибка размещения одной политики для всех. Если компании взаимодействуют, необходимо учитывать передачу данных между системами. Допустим, один бухгалтер ведет учет для трех компаний, но информационные системы разные. Передача данных должна быть отражена в политике.
В ходе семинара предпринимателям рассказали, какие нарушения законодательства о персональных данных могут привести к большим штрафам уже сегодня ( до 700 тысяч рублей), и как предотвратить штрафы до 20 млн рублей за утечку персональных данных. По итогам семинара все участники могли задать свои вопросы и получить на них ответы.
Следующие новости
Мошенники предлагают уплатить членские взносы в ТПП, а также перечислить средства на благотворительность переводом на банковскую карту
17.10.2025
