ИТ-дайджест из нашего телеграм – канала «IT Правила игры» за июнь 2025 года
Делимся материалами из нашего телеграм - канала «IT Правила игры». Здесь вы узнаете все актуальные новости из сферы информационных технологий
1
Как уведомить Роскомнадзор об обработке персональных данных
На Хабр вышла статья, прочтение которой поможет корректно подать уведомление в Роскомнадзор о намерении обрабатывать персональные данные. Особенно она будет полезна для ИТ-компаний и стартапов.
Из статьи вы узнаете:
Полезную информацию вы можете найти не только в статье на Хабр, но и комментариях к ней, где эксперты продолжают отвечать на волнующие вопросы пользователей.
Из статьи вы узнаете:
- кто и в какие сроки должен подать уведомление
- как правильно заполнить уведомление
- как подготовиться к подаче уведомления и что нужно не забыть сделать после отправки
Полезную информацию вы можете найти не только в статье на Хабр, но и комментариях к ней, где эксперты продолжают отвечать на волнующие вопросы пользователей.
Отметим, что на практике операторы ПДн часто совершают ошибки при заполнении уведомления. Делимся наиболее частыми из них:
- использование зарубежных серверов в нарушение требований к локализации ПДн
- указание неполного перечня целей обработки ПДн
- отсутствие информации об использовании метрик
- неверное определение категорий ПДн
- несоответствие содержания уведомления тому, как компания на самом деле обрабатывает ПДн
- отсутствие или недостаточная проработанность внутренних документов, на основе которых составляется уведомление
Напоминаем, что с 30 мая 2025 штраф за неуведомление Роскомнадзора о намерении обрабатывать персональные данные для организаций и индивидуальных предпринимателей составляет от 100 до 300 тыс. руб. (ч. 10 ст. 13.11 КоАП РФ).
Статья опубликована на Хабр нашего партнера — ITSM-эксперта Анны Юрченко — и составлена совместно с юристами ЦПО групп.
Статья опубликована на Хабр нашего партнера — ITSM-эксперта Анны Юрченко — и составлена совместно с юристами ЦПО групп.
2
Штрафы за нарушения защиты информации: что изменилось с 23 мая 2025 года?
В России ужесточили административную ответственность за нарушения в сфере защиты информации (предусмотрена ст. 13.12 КоАП РФ) с 23 мая 2025 года. Это связано с увеличением количества случаев несанкционированного доступа к значимой информации.
Штрафы за использование несертифицированных информационных систем, баз и банков данных (за исключением гостайны) выросли:
Повышение штрафов коснулось и использования несертифицированных средств, предназначенных для защиты информации, составляющей гостайну:
Аналогичное увеличение штрафов предусмотрено также за нарушение законодательных требований о защите информации.
Срок давности привлечения к ответственности по ст. 13.12 КоАП РФ теперь составляет 1 год с даты нарушения (ранее не превышал 60 дней).
- для граждан - с 1,5-2,5 тыс. до 5-10 тыс. руб.
- для должностных лиц - с 2,5-3 тыс. до 10-50 тыс. руб.
- для юридических лиц - с 20-25 тыс. до 50-100 тыс. руб.
Повышение штрафов коснулось и использования несертифицированных средств, предназначенных для защиты информации, составляющей гостайну:
- для должностных лиц штраф увеличился с 3-4 тыс. до 20-25 тыс. руб
- для юридических лиц - с 20-30 тыс. до 50-100 тыс. руб
Аналогичное увеличение штрафов предусмотрено также за нарушение законодательных требований о защите информации.
Срок давности привлечения к ответственности по ст. 13.12 КоАП РФ теперь составляет 1 год с даты нарушения (ранее не превышал 60 дней).
Изменение размера ответственности напрямую коснется, например, операторов персональных данных, на которых возложена обязанность принимать меры по обеспечению безопасности ПДн при их обработке (ст. 19 ФЗ “О персональных данных”).
Для того, чтобы определить, необходимо ли оператору Пдн применять сертифицированные средства защиты информации, потребуется:
Требования к защите ПДн установлены постановлением Правительства РФ от 01.11.2012 №1119 и Приказом ФСТЭК России от 18.02.2013 №21.
Проверить наличие сертификации у используемого средства защиты можно по названию продукта в реестре ФСТЭК.
Для того, чтобы определить, необходимо ли оператору Пдн применять сертифицированные средства защиты информации, потребуется:
- определить, какой у вас тип угрозы безопасности персональных данных;
- подобрать один из четырех уровней защиты персональных данных, исходя из вашего типа угрозы.
Требования к защите ПДн установлены постановлением Правительства РФ от 01.11.2012 №1119 и Приказом ФСТЭК России от 18.02.2013 №21.
Проверить наличие сертификации у используемого средства защиты можно по названию продукта в реестре ФСТЭК.
3
Можно ли использовать в работе персональные данные из соцсетей
Рассмотрим случай из практики, когда финансовая организация собирала персональные данные (контактные данные, сведения о месте работы, наличии образования, семейном положении) из соц. сетей для оценки текущих и потенциальных клиентов. При этом согласие клиентов на обработку таких данных у организации отсутствует.
Роскомнадзор провел проверку, по результатам которой требовал устранить следующие нарушения:
Дело прошло три инстанции и дошло до Верховного суда (определение № 305-КГ17-21291).
Суды встали на сторону Роскомнадзора, указав, что для признания персональных данных общедоступными необходимо соблюдение одновременно нескольких условий:
К общедоступным источникам относятся телефонные справочники, адресные книги, данные на сайте компании и т.п.
Верховный суд указал, что ПДн, содержащиеся в открытых источниках (социальных сетях), не являются общедоступными (аналогичная позиция суда в деле №33-32266/2021). На такие сведения распространяется требование о необходимости получения согласия субъекта на обработку Пдн.
Роскомнадзор провел проверку, по результатам которой требовал устранить следующие нарушения:
- При подаче уведомления в Роскомнадзор не предоставлено информации об обработке ПДн, полученных из открытых источников (ст. 19.7. КоАП РФ)
- Не получено согласия пользователей на обработку ПДн (п.1 ч.1 ст.6 закона о персональных данных)
- Финансовая организация, посчитав требования Роскомнадзора незаконными, обратилась в суд
- Позиция организации: данные из соц. сетей размещены в открытых источниках и являются общедоступными, в связи с чем их можно использовать без согласия пользователей
Дело прошло три инстанции и дошло до Верховного суда (определение № 305-КГ17-21291).
Суды встали на сторону Роскомнадзора, указав, что для признания персональных данных общедоступными необходимо соблюдение одновременно нескольких условий:
- ПДн доступны неопределенному кругу лиц
- ПДн предоставлены непосредственно самим субъектом (с его письменного согласия)
- ПДн размещены исключительно для целей информационного обеспечения
К общедоступным источникам относятся телефонные справочники, адресные книги, данные на сайте компании и т.п.
Верховный суд указал, что ПДн, содержащиеся в открытых источниках (социальных сетях), не являются общедоступными (аналогичная позиция суда в деле №33-32266/2021). На такие сведения распространяется требование о необходимости получения согласия субъекта на обработку Пдн.
Дело в том, что при регистрации Вконтакте пользователь дает согласие на обработку ПДн и подписывает пользовательское соглашение, предоставляя свои данные не неопределенному кругу лиц, а конкретному лицу (администрации соц. сети) и только в соответствии с ограниченными целями (например, для получения таргетированной рекламы).
Таким образом, использование ПДн из социальных сетей для работы третьими лицами возможно только после получения согласия пользователя на обработку ПДн, при этом в личных целях такое использование допускается.
4
Отвечаем на вопросы по персональным данным (часть 1)
С 30 мая 2025 г. в России значительно выросли штрафы за утечку персональных данных и другие нарушения в этой сфере. Специалисты ЦПО групп ответили на самые распространенные вопросы в связи с изменениями.
1. Как понять, что компания является оператором ПДн?
Оператором ПДн становится любое физическое или юридическое лицо, которое осуществляет обработку ПДн. То есть если ваша компания, например, собирает и хранит информацию о гражданине (работнике, контрагенте, представителе юр лица), она является оператором ПДн. Отметим, что речь идет не о любой информации, а именно о той, по которой можно определить конкретное лицо.
2. Распространяется ли действие закона на самозанятых?
Да, самозанятые, обрабатывающие ПДн, также являются операторами. Это касается и компаний, состоящих из одного сотрудника. Статус оператора не зависит от масштаба компании или от количества лиц, чьи данные обрабатываются. Ключевое - это сам факт того, что персональные данные граждан подвергаются обработке.
3. Компания не включена в реестр и подает уведомление об обработке ПДн после 30 мая - какие будут последствия?
Обязанность уведомлять Роскомнадзор существует с сентября 2022 года, однако за ее невыполнение до 30.05 были предусмотрены невысокие штрафы:
С 30 мая 2025 года все, кто обрабатывает ПДн без уведомления Роскомнадзора и подает уведомление позже, рискуют получить новые штрафы. Однако, компании, нарушившие закон впервые, с высокой вероятностью, могут получить предупреждение вместо крупного штрафа (ст. 4.1.1 КоАП РФ) или вообще не будут подвергнуты наказанию.
1. Как понять, что компания является оператором ПДн?
Оператором ПДн становится любое физическое или юридическое лицо, которое осуществляет обработку ПДн. То есть если ваша компания, например, собирает и хранит информацию о гражданине (работнике, контрагенте, представителе юр лица), она является оператором ПДн. Отметим, что речь идет не о любой информации, а именно о той, по которой можно определить конкретное лицо.
2. Распространяется ли действие закона на самозанятых?
Да, самозанятые, обрабатывающие ПДн, также являются операторами. Это касается и компаний, состоящих из одного сотрудника. Статус оператора не зависит от масштаба компании или от количества лиц, чьи данные обрабатываются. Ключевое - это сам факт того, что персональные данные граждан подвергаются обработке.
3. Компания не включена в реестр и подает уведомление об обработке ПДн после 30 мая - какие будут последствия?
Обязанность уведомлять Роскомнадзор существует с сентября 2022 года, однако за ее невыполнение до 30.05 были предусмотрены невысокие штрафы:
- по ст. 19.7 КоАП РФ (непредставление сведений) в размере до 5 тыс. руб.;
- по ч. 1 ст. 19.5 КоАП РФ (невыполнение в установленный срок предписания Роскомнадзора) размером до 20 тыс. руб.
С 30 мая 2025 года все, кто обрабатывает ПДн без уведомления Роскомнадзора и подает уведомление позже, рискуют получить новые штрафы. Однако, компании, нарушившие закон впервые, с высокой вероятностью, могут получить предупреждение вместо крупного штрафа (ст. 4.1.1 КоАП РФ) или вообще не будут подвергнуты наказанию.
5
Отвечаем на вопросы по персональным данным (часть 2)
1. Какие последствия, если не уведомил РКН об изменениях ранее представленных сведений?
Повышение штрафов не коснулось этого аспекта, так что если не будете актуализировать информацию в реестре в установленный срок (до 15 числа месяца, следующего за возникновением изменений), вас могут привлечь к ответственности по ст. 19.7 КоАП РФ с максимальным штрафом 5 тыс. руб.
2. Будет ли действовать 50-процентная скидка при быстрой уплате штрафа?
Нет, согласно изменениям, скидка не применяется к штрафам за нарушения законодательства в области персональных данных.
3. Может ли прийти штраф с момента подачи уведомления до включения компании в реестр операторов?
Формально, оператор считается исполнившим обязанность после поступления уведомления в уполномоченный орган. Далее у Роскомнадзора есть еще 30 календарных дней, чтобы внести сведения в реестр операторов на основании поступившего уведомления.
В период между подачей уведомления и включением в реестр операторов риск получения требования РКН минимален, но возможен. Ведь по закону уведомление должно было быть направлено до начала обработки ПДн (то есть даты создания ИП или компании).
В случае получения требования РКН, подтвердить отправку уведомления можно так:
Повышение штрафов не коснулось этого аспекта, так что если не будете актуализировать информацию в реестре в установленный срок (до 15 числа месяца, следующего за возникновением изменений), вас могут привлечь к ответственности по ст. 19.7 КоАП РФ с максимальным штрафом 5 тыс. руб.
2. Будет ли действовать 50-процентная скидка при быстрой уплате штрафа?
Нет, согласно изменениям, скидка не применяется к штрафам за нарушения законодательства в области персональных данных.
3. Может ли прийти штраф с момента подачи уведомления до включения компании в реестр операторов?
Формально, оператор считается исполнившим обязанность после поступления уведомления в уполномоченный орган. Далее у Роскомнадзора есть еще 30 календарных дней, чтобы внести сведения в реестр операторов на основании поступившего уведомления.
В период между подачей уведомления и включением в реестр операторов риск получения требования РКН минимален, но возможен. Ведь по закону уведомление должно было быть направлено до начала обработки ПДн (то есть даты создания ИП или компании).
В случае получения требования РКН, подтвердить отправку уведомления можно так:
- При формировании уведомления в электронном виде - наличием номера и ключа для проверки статуса уведомления, которое свидетельствует о том, что сведения переданы в информационную систему РКН
- При направлении уведомления почтой России без использования Портала РКН - описью вложения и уведомлением о вручении.
6
Ожидаемые изменения для бизнеса: кому и к чему готовиться
Владимир Путин утвердил поручения Правительству РФ по итогам диалога с «Деловой Россией», главное:
Налоги
Налог на профессиональный доход: к 1 ноября 2025 года ожидается пересмотр в направлении борьбы с «заменой трудовых отношений».
УСН: до 1 декабря 2025 пересмотрят снижение порога дохода для перехода на ОСН для постепенного отказа от УСН в сфере торговли, что ударит по ИП и среднему бизнесу в ритейле.
Нерезиденты
Уже к 1 сентября 2025 года для них должен быть разработан новый механизм налогообложения.
Сделки M&A: барьеры
До 1 июля 2025 Правительство рассмотрит предложения по порядку согласования сделок, где бенефициары из недружественных стран:
Привлечение инвестиций от фондов или частных лиц из недружественных юрисдикций может стать существенно сложнее или потребовать обязательного предварительного согласования.
Инвестиционные стимулы
К 1 августа 2025 предполагается корректировка параметров применения инвестиционного налогового вычета, в том числе:
Это откроет новые возможности для среднего и крупного бизнеса, планирующего серьезные капиталовложения, включая IT-инфраструктуру.
Также для IT-стартапов, ориентированных на выход на IPO, и их инвесторов важна инициатива по отмене минимального срока владения акциями и предела дохода для налоговых льгот физлиц – решение по ней ожидается к 1 октября 2025 года.
Реформа реестра МТК и новые возможности для IT-компаний
К 1 октября 2025 планируется реформа, стимулирующая технологический суверенитет.
Главная идея – преобразование реестра МТК в единый реестр технологических компаний с выделением раздела для проектов, соответствующих критериям технологического суверенитета.
Ключевое для IT-стартапов – распространение мер поддержки, включая стимулы для первичного размещения акций (IPO), в том числе на компании из этого раздела, а не только на малые.
Планируется стимулировать институциональных инвесторов к покупке акций таких компаний и смягчить требования для банков при инвестициях в них. В сочетании с потенциальными налоговыми льготами для физлиц-инвесторов это создает мощный импульс для российского рынка венчурного капитала и IPO IT-компаний, соответствующих заданным приоритетам.
Налоги
Налог на профессиональный доход: к 1 ноября 2025 года ожидается пересмотр в направлении борьбы с «заменой трудовых отношений».
УСН: до 1 декабря 2025 пересмотрят снижение порога дохода для перехода на ОСН для постепенного отказа от УСН в сфере торговли, что ударит по ИП и среднему бизнесу в ритейле.
Нерезиденты
Уже к 1 сентября 2025 года для них должен быть разработан новый механизм налогообложения.
Сделки M&A: барьеры
До 1 июля 2025 Правительство рассмотрит предложения по порядку согласования сделок, где бенефициары из недружественных стран:
- приобретают бизнес-недвижимость или активы в РФ;
- получают права контроля.
Привлечение инвестиций от фондов или частных лиц из недружественных юрисдикций может стать существенно сложнее или потребовать обязательного предварительного согласования.
Инвестиционные стимулы
К 1 августа 2025 предполагается корректировка параметров применения инвестиционного налогового вычета, в том числе:
- совместного применение федерального и регионального вычета;
- расширение допустимых видов деятельности.
Это откроет новые возможности для среднего и крупного бизнеса, планирующего серьезные капиталовложения, включая IT-инфраструктуру.
Также для IT-стартапов, ориентированных на выход на IPO, и их инвесторов важна инициатива по отмене минимального срока владения акциями и предела дохода для налоговых льгот физлиц – решение по ней ожидается к 1 октября 2025 года.
Реформа реестра МТК и новые возможности для IT-компаний
К 1 октября 2025 планируется реформа, стимулирующая технологический суверенитет.
Главная идея – преобразование реестра МТК в единый реестр технологических компаний с выделением раздела для проектов, соответствующих критериям технологического суверенитета.
Ключевое для IT-стартапов – распространение мер поддержки, включая стимулы для первичного размещения акций (IPO), в том числе на компании из этого раздела, а не только на малые.
Планируется стимулировать институциональных инвесторов к покупке акций таких компаний и смягчить требования для банков при инвестициях в них. В сочетании с потенциальными налоговыми льготами для физлиц-инвесторов это создает мощный импульс для российского рынка венчурного капитала и IPO IT-компаний, соответствующих заданным приоритетам.
Читайте в разделе Новое в законодательстве
-
Комментарии в СМИ03.07.2025
Проконсультируйтесь и узнайте стоимость услуг
Оставьте контакты и мы свяжемся с вами, чтобы проанализировать ситуацию и сформировать индивидуальное коммерческое предложение
Спасибо! Ваше сообщение получено
Нажимая кнопку "Отправить" и отправляя данную форму, Вы соглашаетесь с Политикой конфиденциальности
Получить консультацию
Спасибо! Ваше сообщение получено
