С 30 мая 2025 года вступает в силу закон №420-ФЗ, который вводит так называемые «оборотные» штрафы за утечку персональных данных. Эти штрафы зависят от дохода компании за определенный период, а сама утечка подразумевает передачу, предоставление, распространение или открытие доступа к персональной информации третьим лицам.
Штрафы зависят от количества пострадавших граждан, вот минимальные:
- от 100к до 200к — для физлиц;
- от 200к до 400к — для должностных лиц;
- от 3 млн до 5 млн рублей — для организаций и ИП.
С января 2025 года Роскомнадзор требует от всех сайтов, собирающие персональные данные, уведомлять об использовании Google Analytics, Google Форм и т.д. Это связано с тем, что сервисы осуществляют трансграничную передачу персональных данных (ПД) за пределы России.
Владельцы сайтов обязаны уведомить РКН о такой передаче данных в соответствии с ФЗ-152 «О персональных данных».
Алгоритм действий:
- Удалить код Google Analytics/Форм с сайта;
- Подать уведомление на сайте РКН;
- Дождаться решения (до 10 рабочих дней).
Если РКН уже зафиксировал трансграничную передачу данных, то недостаточно будет удалить счётчик. В РКН нужно будет направить уведомление о прекращении передачи данных.
Дополнительно Роскомнадзор требует от владельцев сайтов информировать пользователей о работе с аналитическими инструментами — Яндекс.Метрикой и Google Analytics.
В данном требование РКН ссылается на:
- ч. 1 ст. 9 Закона № 152-ФЗ «О персональных данных».
- п. 18 Условий использования сервиса Яндекс Метрика и AppMetrica.
Для выполнения требования, необходимо разместить на сайте форму согласия на обработку персональных данных с указанием использования этих сервисов (можно реализовать через добавление соответствующего текста во всплывающее окно с информацией про сбор cookies). Данная информация также должна быть включена в Политику конфиденциальности ресурса.
Не запрашивали согласие и пользуетесь Google Analytics и Формами?
Штрафы (п.8 ст.13.11 КоАП РФ):
- Физлицам от 30к до 50к;
- ИП от 100к до 200к;
- Юридическим лицам от 1 до 6 млн, повторное до 18 млн.
Роскомнадзор не запрещает использование Google Analytics, но требует соблюдения установленного порядка уведомления и получения согласия пользователей.
