Другие новости
Персональные данные: новые штрафы с 30 мая 2025 года
12.05.2025
30 мая 2025 года вступают в силу новые изменения в отношении правил сбора и хранения персональных данных. Данные изменения коснутся, в том числе, и аптек!
30 мая 2025 года вступают в силу новые изменения в отношении правил сбора и хранения персональных данных. ВАЖНО - данные изменения коснутся, в том числе, и аптек!
Ранее мы уже писали, что аптека является оператором персональных данных, и, соответственно, должна соблюдать требования ФЗ 152.
Основные моменты, касающиеся аптек, согласно ФЗ 152:
Подробнее в нашей статьей "Аптека - оператор персональных данных?"
Какие изменения стоит ждать аптекам после 30 мая 2025 года?
Увеличится штраф за отсутствие регистрации в Роскомнадзоре в связи с работой с ПД:
С 30 мая 2025 года вводятся штрафы за незаконную передачу персональных данных. Размер штрафов будет зависеть от количества идентификаторов физлиц, которые подверглись утечке, от того, первое ли это нарушение или повторное, от того, на кого наложен штраф - на должностное лицо или организацию.
От 1 000 до 10 тыс. субъектов персональных данных, и/или включает от 10 тыс. до 100 тыс. уникальных идентификаторов пользователей
От 10 тыс. – 100 тыс. субъектов или 100 тыс. – 1 млн идентификаторов:
Утечка персональных данных представляет собой несанкционированное распространение, копирование или передачу конфиденциальной информации, хранимой в защищенных системах, таких как базы данных, серверы и облачные хранилища. Это действие нарушает права субъекта персональных данных, регламентированные статьей 21 Федерального закона № 152-ФЗ "О персональных данных".
В результате утечки могут быть скомпрометированы самые разнообразные данные, включая паспортные данные (серия, номер, дата выдачи), банковские реквизиты (номера карт, CVV-коды, счета), учетные данные (логины и пароли от социальных сетей, электронной почты, банковских приложений), контактную информацию (номера телефонов, email-адреса), медицинские данные (истории болезней, результаты анализов), а также мультимедийные материалы (фотографии, переписки, геолокационные данные).
Основные источники утечек персональных данных можно классифицировать следующим образом:
Случайные действия сотрудников:
- Непреднамеренное ознакомление с конфиденциальной информацией коллег,
- Ошибочная отправка данных на неверный адрес электронной почты.
Умышленные действия сотрудников:
- Преднамеренный поиск и распространение конфиденциальной информации,
- Действия, направленные на нанесение ущерба компании или получение личной выгоды.
Потеря физического носителя данных:
- Утрата устройств хранения данных (жесткие диски, ноутбуки), не обеспеченных адекватной защитой (шифрование, пароли).
Умышленные действия третьих лиц:
- Кибератаки, осуществляемые хакерами,
- Мошеннические схемы, направленные на несанкционированное получение персональных данных.
Кто несет ответственность за утечку персональных данных клиентов или сотрудников аптеки?
Основную ответственность за ПД, в т.ч. и за их утечку, несет компания, которая эти данные собирала от физических лиц, в нашем случае - это аптека, либо лицо, ответственное за работу с ПД в аптеке.
Ранее мы уже писали, что аптека является оператором персональных данных, и, соответственно, должна соблюдать требования ФЗ 152.
Основные моменты, касающиеся аптек, согласно ФЗ 152:
- Аптека является оператором персональных данных (ПД), так как собирает, обрабатывает и хранит персональные данные своих сотрудников и, часто, покупателей.
- Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи ФЗ 152.
- Аптека должна разработать свой регламент (политику) по работе с ПД и довести ее до своих клиентов при передаче ПД клиентами.
Подробнее в нашей статьей "Аптека - оператор персональных данных?"
Какие изменения стоит ждать аптекам после 30 мая 2025 года?
Увеличится штраф за отсутствие регистрации в Роскомнадзоре в связи с работой с ПД:
- от 30 000 до 50 000 рублей — для должностных лиц
- от 100 000 до 300 000 рублей — для организаций и ИП.
Штрафы за утечку персональных данных
С 30 мая 2025 года вводятся штрафы за незаконную передачу персональных данных. Размер штрафов будет зависеть от количества идентификаторов физлиц, которые подверглись утечке, от того, первое ли это нарушение или повторное, от того, на кого наложен штраф - на должностное лицо или организацию.
От 1 000 до 10 тыс. субъектов персональных данных, и/или включает от 10 тыс. до 100 тыс. уникальных идентификаторов пользователей
- для граждан – от 100 тыс. до 200 тыс. руб.;
- для должностных лиц – от 200 тыс. до 400 тыс. руб.
- для компаний – от 3 млн до 5 млн руб.
От 10 тыс. – 100 тыс. субъектов или 100 тыс. – 1 млн идентификаторов:
- гражданам от 200 тыс. до 300 тыс. руб;
- должностным лицам от 300 тыс. до 500 тыс. руб.;
- компаниям – от 5 млн до 10 млн руб.
- гражданам грозит штраф в размере от 300 тыс. до 400 тыс. руб;
- должностным лицам – от 400 тыс. до 600 тыс. руб.;
- компаниям – от 10 млн до 15 млн руб.
- от 400 000 до 600 000 рублей – для физлиц
- от 800 000 до 1,2 млн рублей – для должностных лиц организаций
- от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.
Что является утечкой или незаконной передачей персональных данных?
Утечка персональных данных представляет собой несанкционированное распространение, копирование или передачу конфиденциальной информации, хранимой в защищенных системах, таких как базы данных, серверы и облачные хранилища. Это действие нарушает права субъекта персональных данных, регламентированные статьей 21 Федерального закона № 152-ФЗ "О персональных данных".
В результате утечки могут быть скомпрометированы самые разнообразные данные, включая паспортные данные (серия, номер, дата выдачи), банковские реквизиты (номера карт, CVV-коды, счета), учетные данные (логины и пароли от социальных сетей, электронной почты, банковских приложений), контактную информацию (номера телефонов, email-адреса), медицинские данные (истории болезней, результаты анализов), а также мультимедийные материалы (фотографии, переписки, геолокационные данные).
Основные источники утечек персональных данных можно классифицировать следующим образом:
Случайные действия сотрудников:
- Непреднамеренное ознакомление с конфиденциальной информацией коллег,
- Ошибочная отправка данных на неверный адрес электронной почты.
Умышленные действия сотрудников:
- Преднамеренный поиск и распространение конфиденциальной информации,
- Действия, направленные на нанесение ущерба компании или получение личной выгоды.
Потеря физического носителя данных:
- Утрата устройств хранения данных (жесткие диски, ноутбуки), не обеспеченных адекватной защитой (шифрование, пароли).
Умышленные действия третьих лиц:
- Кибератаки, осуществляемые хакерами,
- Мошеннические схемы, направленные на несанкционированное получение персональных данных.
Кто несет ответственность за утечку персональных данных клиентов или сотрудников аптеки?
Основную ответственность за ПД, в т.ч. и за их утечку, несет компания, которая эти данные собирала от физических лиц, в нашем случае - это аптека, либо лицо, ответственное за работу с ПД в аптеке.
Штрафы за несообщение Роскомнадзору о произошедшей утечке ПД
- должностным лицам государственного или муниципального органа либо некоммерческой организации – от 400 тыс. до 800 тыс. руб.;
- ИП и компаниям – от 1 млн до 3 млн руб
-
Такие же наказания установят для тех, кто известил Роскомнадзор несвоевременно.